Olvasás angol nyelven Szerkesztés

Megosztás a következőn keresztül:


A Microsoft Entra eszközfelügyeletével kapcsolatos gyakori kérdések

Általános GYIK

Nemrég regisztráltam az eszközt. Miért nem látom az eszközt a felhasználói adataim alatt? Vagy miért van megjelölve az eszköz tulajdonosa a Microsoft Entra hibrid csatlakoztatott eszközeinek N/A-ként?

A Windows 10 vagy újabb, hibrid Microsoft Entra csatlakoztatott eszközök nem jelennek meg a FELHASZNÁLÓI eszközök alatt. Használja a Minden eszköz nézetet. PowerShell Get-MgDevice parancsmagot is használhat.

Csak a következő eszközök szerepelnek a FELHASZNÁLÓI eszközök listában:

  • Minden olyan személyes eszköz, amely nem a Microsoft Entra hibrid csatlakozója.
  • Minden nem Windows 10 vagy újabb és Windows Server 2016-os vagy újabb rendszerű eszköz.
  • Minden nem Windows rendszerű eszköz.

Hogyan állapíthatom meg, hogy mi az ügyfél eszközregisztrációjának állapota?

Ugrás az Összes eszközre. Keressen rá az eszközre az eszközazonosító használatával. Ellenőrizze az illesztéstípus oszlop alatti értéket. Előfordulhat, hogy az eszköz alaphelyzetbe áll vagy újra van építve. Ezért elengedhetetlen az eszközregisztrációs állapot ellenőrzése is az eszközön:

  • Windows 10 vagy újabb és Windows Server 2016 vagy újabb rendszerű eszközök esetén futtassa a következőt dsregcmd.exe /status: .
  • Alacsonyabb szintű operációsrendszer-verziók esetén futtassa a következőt %programFiles%\Microsoft Workplace Join\autoworkplace.exe: .

Hibaelhárítási információkért tekintse meg az alábbi cikkeket:

A szervezeti helyszíni AD-felhasználók két vagy több különböző bérlőre vannak felosztva a Microsoft Entra ID-ban. Lekérhetem a Windows PRT-t minden bérlőhöz az ügyfélszámítógépen?

A Windows-ügyfelek lekérik a PRT-t a Microsoft Entra-azonosítóból, ha a felhasználó és az eszköz ugyanahhoz a bérlőhöz tartozik. A felhasználók nem kapnak prT-t egy másik bérlőhöz, ha az eszköz nincs regisztrálva, vagy ha a felhasználó nem tagja annak. Ha a két bérlő megbízik egymással a B2B-en keresztül, akkor mindig létrehozhat bérlők közötti B2B-hozzáférést, és megbízhat az eszközjogcímekben az otthoni bérlőtől.

Az eszközrekordot a FELHASZNÁLÓI adatok alatt látom, és regisztrálva látom az állapotot. Helyesen vagyok beállítva a feltételes hozzáférés használatára?

A deviceID által megjelenített eszközcsatlakozási állapotnak meg kell egyeznie a Microsoft Entra-azonosító állapotával, és meg kell felelnie a feltételes hozzáférésre vonatkozó értékelési feltételeknek. További információ: Felügyelt eszközök megkövetelése felhőalkalmazás-hozzáféréshez feltételes hozzáféréssel.

Miért jelenik meg a felhasználók hibaüzenete a "Szervezet törölte az eszközt" vagy "A szervezet letiltotta az eszközt" üzenet a Windows 10/11-eszközökön?

A Microsoft Entra ID-hez csatlakoztatott vagy regisztrált Windows 10/11-eszközökön a felhasználók egy elsődleges frissítési jogkivonatot (PRT) bocsátanak ki, amely lehetővé teszi az egyszeri bejelentkezést. A PRT érvényessége az eszköz érvényességén alapul. A felhasználók akkor látják ezt az üzenetet, ha az eszköz törölve van vagy le van tiltva a Microsoft Entra-azonosítóban anélkül, hogy maga az eszköz kezdeményezné a műveletet. Az eszköz törölhető vagy letiltható a Microsoft Entra-ban az alábbi forgatókönyvek egyikével:

  • A felhasználó letiltja az eszközt a Saját alkalmazások portálon.
  • A rendszergazda (vagy felhasználó) törli vagy letiltja az eszközt.
  • Csak a Microsoft Entra hibrid csatlakoztatása: A rendszergazda eltávolítja az eszközök szervezeti egységét a szinkronizálási hatókörből, így az eszközök törlődnek a Microsoft Entra-azonosítóból.
  • Csak a Microsoft Entra hibrid csatlakoztatása: A rendszergazda letiltja a számítógépfiókot a helyszínen, így az eszköz le van tiltva a Microsoft Entra-azonosítóban.
  • A Microsoft Entra Connect frissítése az 1.4.xx.x-es verzióra. A Microsoft Entra Connect 1.4.xx.x és az eszköz eltűnésének ismertetése.

Letiltottam vagy töröltem az eszközömet, de az eszköz helyi állapota szerint még regisztrálva van. Mit tegyek?

Ez a művelet terv szerint történik. Ebben az esetben az eszköz nem rendelkezik hozzáféréssel a felhőbeli erőforrásokhoz. A rendszergazdák elvégezhetik ezt a műveletet elavult, elveszett vagy ellopott eszközök esetén a jogosulatlan hozzáférés megakadályozása érdekében. Ha ezt a műveletet véletlenül hajtották végre, az alábbi lépések végrehajtásával újra engedélyeznie vagy újra kell regisztrálnia az eszközt:

  • Ha az eszköz le lett tiltva a Microsoft Entra-azonosítóban, a megfelelő jogosultságokkal rendelkező rendszergazdák engedélyezhetik azt a Microsoft Entra felügyeleti központban.

    Megjegyzés

    Ha az eszközöket a Microsoft Entra Connect használatával szinkronizálja, a hibrid Microsoft Entra csatlakoztatott eszközök automatikusan újra engedélyezve lesznek a következő szinkronizálási ciklus során. Ha tehát le kell tiltania egy Hibrid Microsoft Entra-eszközt, le kell tiltania azt a helyszíni AD-ből.

  • Ha az eszközt törölték a Microsoft Entra-azonosítóból, újra regisztrálnia kell az eszközt. Az újbóli regisztráláshoz végre kell hajtania egy manuális műveletet az eszközön. Az eszközállapot alapján történő újraregisztrálásra vonatkozó utasításokért tekintse meg az alábbi lépéseket.

    A Hibrid Microsoft Entra csatlakoztatott Windows 10/11 és Windows Server 2016/2019 rendszerű eszközök újbóli regisztrálásához kövesse az alábbi lépéseket:

    1. Nyissa meg a parancssort rendszergazdaként.
    2. Írja be dsregcmd.exe /debug /leave.
    3. Jelentkezzen ki, és jelentkezzen be az eszköz Microsoft Entra-azonosítóval való ismételt regisztráló ütemezett feladat aktiválásához.

    A Microsoft Entra hibrid csatlakoztatott windowsos operációsrendszer-verziók esetében hajtsa végre a következő lépéseket:

    1. Nyissa meg a parancssort rendszergazdaként.
    2. Írja be "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
    3. Írja be "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

    A Microsoft Entra-hoz csatlakoztatott Windows 10/11-eszközök esetén hajtsa végre a következő lépéseket:

    1. A parancssor megnyitása rendszergazdaként
    2. Enter dsregcmd /forcerecovery (A művelet végrehajtásához rendszergazdának kell lennie).
    3. Kattintson a "Bejelentkezés" gombra a megnyíló párbeszédpanelen, és folytassa a bejelentkezési folyamatot.
    4. Jelentkezzen ki, és jelentkezzen be újra az eszközön a helyreállítás befejezéséhez.

    A Microsoft Entra regisztrált Windows 10/11-eszközök esetében hajtsa végre a következő lépéseket:

    1. Nyissa meg a Beállítások>fiókok hozzáférést biztosító munkahelyi vagy iskolai fiókokat.>
    2. Válassza ki a fiókot, és válassza a Leválasztás lehetőséget.
    3. Kattintson a "+ Csatlakozás" elemre, és regisztrálja újra az eszközt a bejelentkezési folyamaton keresztül.

Miért láthatók ismétlődő eszközbejegyzések?

  • A Windows 10 vagy újabb, valamint a Windows Server 2016 vagy újabb verziók esetén az ismétlődő próbálkozások megszakítják a csatlakoztatást és újracsatlakozást ugyanazon eszközhöz, ismétlődő bejegyzéseket okozhatnak.
  • Minden Windows-felhasználó, aki használja a Munkahelyi vagy iskolai fiók hozzáadása lehetőséget, létrehoz egy új eszközrekordot ugyanazzal az eszköznévvel.
  • Az automatikus regisztráció a helyszíni Azure Directory-tartományhoz csatlakoztatott régebbi verziójú Windows operációs rendszerhez létrehoz egy új eszközrekordot ugyanazzal az eszköznévvel minden tartományi felhasználó számára, aki bejelentkezik az eszközre.
  • Egy Microsoft Entra csatlakozott gép, amelyet töröltek, újratelepítettek, majd ugyanazzal a névvel újra csatlakoztattak, egy másik rekordként jelenik meg ugyanazon az eszköznévvel.

Támogatja a Windows 10/11 eszközregisztráció a Microsoft Entra-ban a TPM-eket FIPS módban?

A Windows 10/11-eszközregisztráció csak a FIPS-kompatibilis TPM 2.0-hoz támogatott, és a TPM 1.2-ben nem támogatott. Ha az eszközei fips-kompatibilis TPM 1.2-vel rendelkeznek, le kell tiltania őket a Microsoft Entra-csatlakozás vagy a Microsoft Entra hibrid csatlakoztatása előtt. A Microsoft nem biztosít eszközöket a FIPS mód letiltására a TPM-ekhez, mivel az a TPM gyártójától függ. Kérjen támogatást a hardvergyártótól.

Miért férhetnek hozzá a felhasználók továbbra is az erőforrásokhoz egy letiltott eszközről?

A visszavonás a Microsoft Entra-eszköz letiltottként való megjelölésétől számítva akár egy órát is igénybe vehet.

Megjegyzés

Regisztrált eszközök esetén javasoljuk, hogy törölje az eszközt, hogy a felhasználók ne férhessenek hozzá az erőforrásokhoz. További információ: Mi az eszközregisztráció?

Egy Windows 10/11-eszközön nem tudok 3-nál több Microsoft Entra-felhasználói fiókot hozzáadni ugyanabban a felhasználói munkamenetben, miért?

A Microsoft Entra ID a Windows 10 1803 kiadástól kezdve több Microsoft Entra-fiók támogatását is hozzáadta. A Windows 10/11 azonban 3-ra korlátozza az eszközön található Microsoft Entra-fiókok számát a jogkivonat-kérelmek méretének korlátozásához és a megbízható egyszeri bejelentkezés (SSO) engedélyezéséhez. Ha 3 fiókot ad hozzá, a felhasználók hibaüzenetet látnak a későbbi fiókok esetében. A hibaképernyőn található további problémainformációk a következő üzenetet küldik, amely azt jelzi, hogy "A fiók hozzáadása művelet le van tiltva, mert elérte a fiókkorlátot".

Mik az MS-Organization-Access-tanúsítványok a Windows 10/11-eszközökön?

Az MS-Organization-Access tanúsítványokat a Microsoft Entra eszközregisztrációs szolgáltatás állítja ki az eszközregisztrációs folyamat során. Ezek a tanúsítványok a Windows rendszeren támogatott összes illesztéstípusra ki vannak állítva – a Microsoft Entra csatlakozik, a Microsoft Entra hibrid csatlakozó és a Microsoft Entra által regisztrált eszközök. A kibocsátás után a rendszer az eszköz hitelesítési folyamatának részeként használja őket egy elsődleges frissítési jogkivonat (PRT) igényléséhez. A Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközök esetében ez a tanúsítvány a Helyi számítógép\Személyes\Tanúsítványok területen található, míg a Microsoft Entra által regisztrált eszközök esetében a tanúsítvány a Jelenlegi felhasználó\Személyes\Tanúsítványok mappában található. Az MS-Organization-Access összes tanúsítványának alapértelmezett élettartama 10 év. Ezeket a tanúsítványokat a rendszer törli a megfelelő tanúsítványtárolóból, ha az eszköz nincs regisztrálva a Microsoft Entra-azonosítóról. A tanúsítvány véletlen törlése hitelesítési hibákhoz vezet a felhasználó számára, és ilyen esetekben az eszköz újraregisztrációját igényli.

Microsoft Entra csatlakozás – gyakori kérdések

Hogyan a Microsoft Entra-hoz csatlakoztatott eszköz helyi csatlakoztatását az eszközön?

Tiszta Microsoft Entra-csatlakoztatott eszközök esetén győződjön meg arról, hogy rendelkezik offline helyi rendszergazdai fiókkal, vagy hozzon létre egyet. Nem tud bejelentkezni a Microsoft Entra felhasználói hitelesítő adataival. Ezután nyissa meg a Beállítások>fiókok hozzáférést biztosító munkahelyi vagy iskolai fiókokat.> Válassza ki a fiókját, és válassza a Leválasztás lehetőséget. Kövesse az utasításokat, és adja meg a helyi rendszergazda hitelesítő adatait, amikor a rendszer kéri. Indítsa újra az eszközt a csatlakoztatási folyamat befejezéséhez.

Bejelentkezhetnek a felhasználóim a Microsoft Entra-azonosítóban törölt vagy letiltott Microsoft Entra-eszközökre?

Igen. A Windows gyorsítótárazott felhasználónévvel és jelszóval rendelkezik, amely lehetővé teszi a korábban bejelentkezett felhasználók számára, hogy hálózati kapcsolat nélkül is gyorsan elérhessék az asztalt.

Ha egy eszköz törlődik vagy le van tiltva a Microsoft Entra-azonosítóban, a Windows-eszköz nem ismeri. Így a korábban bejelentkezett felhasználók továbbra is hozzáférnek az asztalhoz a gyorsítótárazott felhasználónévvel és jelszóval. Mivel azonban az eszköz törölve vagy letiltva van, a felhasználók nem férhetnek hozzá az eszközalapú feltételes hozzáféréssel védett erőforrásokhoz.

Azok a felhasználók, akik korábban nem jelentkeznek be, nem férhetnek hozzá az eszközhöz. Számukra nincs engedélyezve gyorsítótárazott felhasználónév és jelszó.

Bejelentkezhet egy letiltott vagy törölt felhasználó egy Microsoft Entra-eszközre?

Igen, de csak korlátozott ideig. Ha egy felhasználót törölnek vagy letiltanak a Microsoft Entra-azonosítóban, az nem azonnal ismert a Windows-eszközön. Így a korábban bejelentkezett felhasználók hozzáférhetnek az asztalhoz a gyorsítótárazott felhasználónévvel és jelszóval.

Az eszköz általában kevesebb mint négy órán belül észleli a felhasználói állapotot. Ezután a Windows letiltja a felhasználók asztali hozzáférését. Mivel a felhasználót törölték vagy letiltották a Microsoft Entra-azonosítóban, az összes jogkivonatukat visszavonjuk. Így nem férnek hozzá az erőforrásokhoz.

Azok a törölt vagy letiltott felhasználók, akik korábban nem jelentkeznek be, nem férnek hozzá az eszközhöz. Számukra nincs engedélyezve gyorsítótárazott felhasználónév és jelszó.

Bejelentkezhet egy vendégfelhasználó a Microsoft Entra-hoz csatlakoztatott eszközre?

Nem, a vendégfelhasználók jelenleg nem tudnak bejelentkezni a Microsoft Entra-hoz csatlakoztatott eszközre.

A felhasználók nem tudnak nyomtatókat keresni a Microsoft Entra csatlakoztatott eszközeiről. Hogyan engedélyezhetem a nyomtatást ezekről az eszközökről?

A szervezetek dönthetnek úgy, hogy a Windows Server hibrid felhőalapú nyomtatást előzetes hitelesítéssel vagy univerzális nyomtatással helyezik üzembe a Microsoft Entra-hoz csatlakoztatott eszközeiken.

Hogyan csatlakozni egy távoli Microsoft Entra-eszközhöz?

Miért látják a felhasználóim a következőt: "Innen nem lehet eljutni" című témakört?

Konfigurált bizonyos feltételes hozzáférési szabályokat egy adott eszközállapot megkövetelésére? Ha az eszköz nem felel meg a feltételeknek, a rendszer letiltja a felhasználókat, és látják az üzenetet. Értékelje ki a feltételes hozzáférési szabályzat szabályait. Az üzenet elkerülése érdekében győződjön meg arról, hogy az eszköz megfelel a feltételeknek.

Miért kapok "felhasználónév vagy jelszó helytelen" üzenetet egy olyan eszközhöz, amelyet most csatlakoztam a Microsoft Entra-azonosítóhoz?

A forgatókönyv gyakori okai a következők:

  • A felhasználói hitelesítő adatok már nem érvényesek.
  • A számítógép nem tud kommunikálni a Microsoft Entra-azonosítóval. Ellenőrizze, hogy vannak-e hálózati csatlakozási problémák.
  • Az összevont bejelentkezésekhez az összevonási kiszolgálónak támogatnia kell az engedélyezett és elérhető WS-Trust végpontokat.
  • Engedélyezte az átmenő hitelesítést. Ezért a bejelentkezéskor módosítani kell az ideiglenes jelszót.

Hogyan módosíthatják a felhasználók ideiglenes vagy lejárt jelszavukat a Microsoft Entra által csatlakoztatott eszközökön?

A Microsoft Entra-hoz csatlakoztatott eszközök jelenleg nem kényszerítik a felhasználókat a jelszó módosítására a zárolási képernyőn. Így az ideiglenes vagy lejárt jelszóval rendelkező felhasználók csak akkor lesznek kénytelenek jelszavakat módosítani, ha egy alkalmazáshoz férnek hozzá (amelyhez Microsoft Entra-jogkivonat szükséges), miután bejelentkeztek a Windowsba.

Miért látom a "Hoppá... hiba történt!' párbeszédpanelt, amikor megpróbálok csatlakozni a Microsoft Entra-hoz a PC-hez?

Ez a hiba akkor fordul elő, ha a Microsoft Entra automatikus regisztrációját a megfelelő licenc hozzárendelése nélkül állítja be az Intune-ban. Győződjön meg arról, hogy a Microsoft Entra-hez csatlakozni próbáló felhasználóhoz a megfelelő Intune-licenc van hozzárendelve. További információt a Windows-eszközök regisztrációjának beállítása című témakörben talál.

Miért nem sikerült csatlakozni a Microsoft Entra-hoz egy pc-hez, bár nem kaptam hibainformációt?

Ennek valószínűleg az az oka, hogy a helyi beépített rendszergazdai fiók használatával jelentkezett be az eszközre. Hozzon létre egy másik helyi fiókot, mielőtt a Microsoft Entra-csatlakozással befejezené a telepítést.

Mi a P2P Server alkalmazás, és miért van regisztrálva a bérlőmben?

A P2P Server-alkalmazás a Microsoft Entra ID által regisztrált alkalmazás, amely engedélyezi a Távoli asztali protokoll (RDP) kapcsolatokat a microsoft entra-hoz csatlakoztatott vagy a Microsoft Entra hibrid csatlakoztatott Windows-eszközökhöz a bérlőben. Ez az alkalmazás létrehoz egy bérlőszintű tanúsítványt, amelyet a Microsoft Entra hitelesítésszolgáltatója állít ki, és RDP-eszköz- és felhasználói tanúsítványok kiállítására szolgál az RDP-kapcsolathoz. Annak érdekében, hogy ez a megfelelő alkalmazás legyen, megtalálhatja a P2P Server-alkalmazás objektumazonosítóját a Microsoft Entra Felügyeleti központ>Nagyvállalati alkalmazások területén>. Távolítsa el az alapértelmezett alkalmazott szűrőt, hogy az összes alkalmazás látható-e. Hasonlítsa össze ezt az objektumazonosítót a Microsoft Graph API-val a részletek lekérdezéséhez a GET /servicePrincipals/{objectid} használatával, és győződjön meg arról, hogy a servicePrincipalNames tulajdonság az urn:p2p_cert.

Mik az MS-Organization-P2P-Access tanúsítványok a Windows 10/11-eszközökön?

Az MS-Organization-P2P-Access tanúsítványokat a Microsoft Entra ID állítja ki mindkettőre, a Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközökre. Ezek a tanúsítványok az azonos bérlőben lévő eszközök közötti megbízhatóság engedélyezésére szolgálnak távoli asztali forgatókönyvek esetén. Az egyik tanúsítványt az eszköz, a másikat pedig a felhasználó állítja ki. Az eszköztanúsítvány jelen van, Local Computer\Personal\Certificates és egy napig érvényes. Ez a tanúsítvány megújul (új tanúsítvány kiállításával), ha az eszköz továbbra is aktív a Microsoft Entra-azonosítóban. A felhasználói tanúsítvány nem állandó, és egy órán át érvényes, de igény szerint ki van állítva, amikor egy felhasználó távoli asztali munkamenetet kísérel meg egy másik Microsoft Entra-eszközre. Lejáratkor nem újul meg. Mindkét tanúsítványt a rendszer az MS-Organization-P2P-Access tanúsítvány használatával állítja ki, amely a Local Computer\AAD Token Issuer\Certificatesfájlban található. Ezt a tanúsítványt a Microsoft Entra ID állítja ki az eszközregisztráció során.

Hogyan tilthatjuk le a gyorsítótáras bejelentkezést/a felhasználó gyorsítótár-bejelentkezésének lejáratát a Microsoft Entra-hoz csatlakoztatott eszközökön?

A Microsoft Entra-hoz csatlakoztatott eszközökön nem lehet letiltani vagy lejárni a korábbi gyorsítótárazott bejelentkezéseket.

Microsoft Entra hibrid csatlakozás – gyakori kérdések

Hogyan tudok leválasztani egy, a hibrid Microsoft Entrához csatlakoztatott eszközt helyileg az eszközön?

A Hibrid Microsoft Entra-eszközök esetében az Ellenőrzött érvényesítési cikk használatával kapcsolja ki az automatikus regisztrációt az AD-ben. Ezután az ütemezett feladat nem regisztrálja újra az eszközt. Ezután nyisson meg egy parancssort rendszergazdaként, és írja be a következőt dsregcmd.exe /debug /leave. Vagy futtassa ezt a parancsot szkriptként több eszközön a tömeges bekapcsolódáshoz.

Hol találok hibaelhárítási információkat a hibrid Microsoft Entra-csatlakozás hibáinak diagnosztizálásához?

Miért látom a Windows 10/11 Microsoft Entra hibrid csatlakoztatott eszközöm duplikált Microsoft Entra-rekordját a Microsoft Entra-eszközök listájában?

Amikor a felhasználók hozzáadják a fiókjukat egy tartományhoz csatlakoztatott eszközön lévő alkalmazásokhoz, előfordulhat, hogy a rendszer a Fiók hozzáadása a Windowshoz kéréssel kéri őket? Ha igent adnak meg a parancssorban, az eszköz regisztrál a Microsoft Entra-azonosítóval. A megbízhatósági típus a Microsoft Entra regisztráltjaként van megjelölve. Miután engedélyezte a Microsoft Entra hibrid csatlakozást a szervezetében, az eszköz a Microsoft Entra hibrid csatlakoztatását is megkapja. Ezután két eszközállapot jelenik meg ugyanahhoz az eszközhöz.

A legtöbb esetben a Microsoft Entra hibrid illesztése elsőbbséget élvez a Microsoft Entra regisztrált állapotával szemben, ami azt eredményezi, hogy az eszköz a Microsoft Entra hibrid csatlakoztatásának minősül a hitelesítés és a feltételes hozzáférés kiértékelése során. Néha azonban ez a kettős állapot az eszköz nemdeterminista kiértékelését eredményezheti, és hozzáférési problémákat okozhat. Határozottan javasoljuk, hogy frissítsen a Windows 10 1803-es vagy újabb verziójára, ahol automatikusan töröljük a Microsoft Entra regisztrált állapotát. Megtudhatja, hogyan kerülheti el vagy törölheti ezt a kettős állapotot a Windows 10 rendszerű gépen.

Miért vannak problémák a felhasználók számára a Windows 10 Microsoft Entra hibrid csatlakoztatott eszközein az UPN módosítása után?

Az UPN-módosítások támogatottak a Windows 10 2004-frissítéssel, és a Windows 11-ben is alkalmazhatók. A frissítéssel rendelkező eszközök felhasználói nem fognak problémát tapasztalni az UPN-jük módosítása után.

A Windows 10 régebbi verzióinak UPN-módosításai nem támogatottak teljes mértékben a Microsoft Entra hibrid csatlakoztatott eszközeivel. Bár a felhasználók bejelentkezhetnek az eszközre, és hozzáférhetnek a helyszíni alkalmazásukhoz, a Microsoft Entra-azonosítóval történő hitelesítés az UPN-módosítás után meghiúsul. Ennek eredményeképpen a felhasználók SSO- és feltételes hozzáféréssel kapcsolatos problémákat tapasztalnak az eszközeiken. A probléma megoldásához meg kell szüntetnie az eszköz csatlakoztatását a Microsoft Entra-azonosítóból (a "dsregcmd /leave" futtatása emelt szintű jogosultságokkal) és újracsatlakozni (automatikusan történik).

A Windows 10/11 Hibrid Microsoft Entra csatlakoztatott eszközöknek szükségük van-e a tartományvezérlőre a felhőbeli erőforrásokhoz való hozzáféréshez?

Nem, kivéve, ha a felhasználó jelszava módosul. A Windows 10/11-es Microsoft Entra hibrid csatlakoztatása után, és a felhasználó legalább egyszer bejelentkezett, az eszköz nem igényel látóvonalat a tartományvezérlőnek a felhőbeli erőforrások eléréséhez. A Windows 10/11 bárhonnan, internetkapcsolattal rendelkező eszközről be tud jelentkezni a Microsoft Entra-alkalmazásokba, kivéve, ha egy jelszó módosul. Azok a felhasználók, akik Vállalati Windows Hello bejelentkeznek, a jelszómódosítás után is egyszeri bejelentkezést kapnak a Microsoft Entra-alkalmazásokba, még akkor is, ha nem látják a tartományvezérlőjüket.

Mi történik, ha egy felhasználó megváltoztatja a jelszavát, és megpróbál bejelentkezni a Windows 10/11 Microsoft Entra hibrid csatlakoztatott eszközére a vállalati hálózaton kívül?

Ha a vállalati hálózaton kívül (például a Microsoft Entra SSPR használatával) módosít egy jelszót, akkor a felhasználó nem tud bejelentkezni az új jelszóval. A Microsoft Entra hibrid csatlakoztatott eszközei esetében a helyi Active Directory az elsődleges szolgáltató. Ha egy eszköznek nincs látóvonala egy tartományvezérlőhöz, nem tudja érvényesíteni az új jelszót. A felhasználónak kapcsolatot kell létesítenie a tartományvezérlővel (VPN-en keresztül vagy a vállalati hálózaton keresztül), mielőtt új jelszavával bejelentkezhet az eszközre. Ellenkező esetben csak a régi jelszavukkal jelentkezhetnek be a Windows gyorsítótárazott bejelentkezési képessége miatt. A Microsoft Entra ID azonban érvényteleníti a régi jelszót a jogkivonat-kérések során, ezért megakadályozza az egyszeri bejelentkezést, és nem hajtja el az eszközalapú feltételes hozzáférési szabályzatokat, amíg a felhasználó nem hitelesíti az új jelszavával egy alkalmazásban vagy böngészőben. Ez a probléma nem fordul elő, ha Microsoft Entra-hez csatlakoztatott eszközöket használ.

A Microsoft Entra regisztrálása – gyakori kérdések

Hogyan eltávolítja a Microsoft Entra által regisztrált állapotot egy eszköz helyileg?

  • Windows 10/11 Microsoft Entra regisztrált eszközök esetén nyissa meg a Beállítások>fiókok>hozzáférése munkahelyi vagy iskolai verziót. Válassza ki a fiókját, és válassza a Leválasztás lehetőséget. Az eszközregisztráció felhasználói profilonként történik a Windows 10/11 rendszerben.
  • iOS és Android esetén használhatja a Microsoft Authenticator alkalmazás beállításai>eszközregisztrációt, és kiválaszthatja az eszköz regisztrációjának megszüntetését.
  • MacOS esetén a Microsoft Intune Céges portál alkalmazással törölheti az eszköz regisztrációját a felügyeletből, és eltávolíthatja a regisztrációt.

A Windows 10 2004-es és régebbi verziói esetében ez a folyamat automatizálható a Munkahelyi csatlakozás (WPJ) eltávolító eszközzel.

Megjegyzés

Ez az eszköz eltávolítja az eszközön lévő összes SSO-fiókot. A művelet után az összes alkalmazás elveszíti az SSO-állapotot, és az eszköz ki lesz léptetve a felügyeleti eszközökből (MDM) és regisztrációja kikerül a felhőből. Amikor egy alkalmazás legközelebb megpróbál bejelentkezni, a rendszer felkéri a felhasználókat, hogy ismét adják hozzá a fiókot.

Hogyan akadályozhatom meg, hogy a felhasználók további munkahelyi fiókokat (Regisztrált Microsoft Entra) vegyenek fel a vállalati Windows 10/11-eszközökön?

Engedélyezze a következő beállításjegyzéket, hogy megakadályozza a felhasználókat, hogy más munkahelyi fiókokat vegyenek fel a vállalati tartományhoz, a Microsoft Entra-hoz csatlakoztak vagy a Microsoft Entra hibrid csatlakoztatott Windows 10/11-eszközökhöz. Ezzel a szabályzattal azt is letilthatja, hogy a tartományhoz csatlakoztatott gépek véletlenül regisztrálják a Microsoft Entrát ugyanazzal a felhasználói fiókkal.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001