Megosztás a következőn keresztül:

A Microsoft Entra hibrid csatlakozású régebbi típusú eszközeinek hibaelhárítása

Ez a cikk csak a következő eszközökre vonatkozik:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

A régebbi operációsrendszer-verziók támogatásával kapcsolatos fontos információkért tekintse meg Windows-ügyfél és Ismert problémák és értesítések a Windows 8.1 és a Windows Server 2012 R2.

Windows 10 vagy újabb és Windows Server 2016 esetén lásd a Microsoft Entra hibrid csatlakoztatott Windows 10- és Windows Server 2016-eszközök hibaelhárítását.

Ez a cikk feltételezi, hogy a Microsoft Entra hibrid csatlakoztatott eszközöket konfigurálta a következő forgatókönyvek támogatásához:

  • Eszközalapú feltételes hozzáférés

Ez a cikk hibaelhárítási útmutatást nyújt a lehetséges problémák megoldásához.

Amit tudnia kell:

  • A Microsoft Entra hibrid csatlakoztatása alacsonyabb szintű Windows-eszközökhöz másként működik, mint a Windows 10-ben vagy újabb rendszerben. Sok ügyfél nem veszi észre, hogy szüksége van az AD FS-re (összevont tartományokhoz) vagy a közvetlen egyszeri bejelentkezésre (felügyelt tartományokhoz).
  • A közvetlen egyszeri bejelentkezés nem működik privát böngészési módban a Firefox és a Microsoft Edge böngészőkben. Az Internet Explorerben sem működik, ha a böngésző fokozott védelem alatt áll, vagy ha engedélyezve van a fokozott biztonsági konfiguráció.
  • Összevont tartományokkal rendelkező ügyfelek esetén, ha a szolgáltatáskapcsolati pont (SCP) úgy lett konfigurálva, hogy a felügyelt tartománynévre mutat (például contoso.onmicrosoft.com contoso.com helyett), akkor a Microsoft Entra hibrid csatlakoztatása nem működik a windowsos alsó szintű eszközökhöz.
  • Ugyanaz a fizikai eszköz többször megjelenik a Microsoft Entra ID-ben, amikor több tartományfelhasználó bejelentkezik a Microsoft Entra hibrid csatlakozott eszközökre. Ha például Person1 és Person2 bejelentkezést egy eszközre, a USER info lapon mindegyikhez külön regisztráció (DeviceID) jön létre.
  • Az eszközhöz több bejegyzést is lekérhet a felhasználói adatok lapon az operációs rendszer újratelepítése vagy a manuális újraregisztráció miatt.
  • Az eszközök kezdeti regisztrációja/csatlakoztatása úgy van beállítva, hogy próbálkozzon a bejelentkezéssel vagy a zárolással/kireteszeléssel. Egy feladatütemező tevékenység 5 perces késést válthat ki.
  • Győződjön meg arról, hogy a KB4284842 telepítve van a Windows 7 SP1 vagy a Windows Server 2008 R2 SP1 rendszeren. Ez a frissítés megakadályozza a későbbi hitelesítési hibákat, mivel az ügyfél a jelszó módosítása után nem fér hozzá a védett kulcsokhoz.
  • Előfordulhat, hogy a Microsoft Entra hibrid csatlakoztatása meghiúsul, miután egy felhasználó módosította az UPN-jét (felhasználói főnevet), és ezzel megszakította a zökkenőmentes SSO hitelesítési folyamatot. A csatlakozási folyamat során előfordulhat, hogy továbbra is elküldi az előző UPN-t a Microsoft Entra-azonosítónak, kivéve, ha a böngésző munkamenet-cookie-jai törlődnek, vagy a felhasználó explicit módon kijelentkezik, és eltávolítja a régi UPN-t.

1. lépés: A regisztrációs állapot lekérése

A regisztrációs állapot ellenőrzése:

  1. Jelentkezzen be azzal a felhasználói fiókkal, amely a Microsoft Entra hibrid csatlakozást hajtotta végre.
  2. A parancssor megnyitása
  3. Írja be a következőt: "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Ez a parancs egy párbeszédpanelt jelenít meg, amely részletesen ismerteti az illesztés állapotát.

Képernyőkép a Munkahelyi csatlakozás a Windowshoz párbeszédpanelről. Az e-mail-címet tartalmazó szöveg azt jelzi, hogy egy adott eszköz csatlakozik egy munkahelyhez.

2. lépés: A Microsoft Entra hibrid csatlakozás állapotának értékelése

Ha az eszköz nem volt Microsoft Entra hibrid csatlakoztatású, a "Csatlakozás" gombra kattintva megpróbálhatja a Microsoft Entra hibrid csatlakoztatást. Ha a Microsoft Entra hibrid csatlakoztatási kísérlete meghiúsul, megjelennek a hiba részletei.

A leggyakoribb problémák a következők:

  • Helytelenül konfigurált AD FS- vagy Microsoft Entra-azonosítóval vagy hálózattal kapcsolatos problémák

    Képernyőkép a Munkahelyi csatlakozás a Windowshoz párbeszédpanelről. Szöveges jelentések arról, hogy hiba történt a fiókhitelesítés során.

    • Autoworkplace.exe nem tud csendesen hitelesíteni a Microsoft Entra-azonosítóval vagy az AD FS-vel. Ezt a problémát okozhatja a hiányzó vagy helytelenül konfigurált AD FS (összevont tartományok esetében), vagy a Microsoft Entra zökkenőmentes egyszeri bejelentkezése (felügyelt tartományok esetében) vagy hálózati problémák.
    • Előfordulhat, hogy a többtényezős hitelesítés (MFA) engedélyezve van/konfigurálva van a felhasználó számára, és a WIAORMULTIAUTHN nincs konfigurálva az AD FS-kiszolgálón.
    • Egy másik lehetőség az, hogy a helyi tartományfelderítési (HRD) oldal a felhasználói interakcióra vár, ami megakadályozza, hogy autoworkplace.exe csendesen kérjen jogkivonatot.
    • Előfordulhat, hogy az AD FS és a Microsoft Entra URL-címek hiányoznak az IE intranetes zónájában az ügyfélen.
    • A hálózati csatlakozási problémák megakadályozhatják , hogy autoworkplace.exe elérjék az AD FS-t vagy a Microsoft Entra URL-címeit.
    • Az Autoworkplace.exe megköveteli, hogy a kliens közvetlen rálátással rendelkezzen a szervezet helyszíni AD-tartományvezérlőjére. Ez azt jelenti, hogy a Microsoft Entra hibrid csatlakozás csak akkor lehet sikeres, ha a kliens a szervezet intranetjére csatlakozik.
    • Ha szervezete a Microsoft Entra közvetlen egyszeri bejelentkezést használ, https://autologon.microsoftazuread-sso.com nem jelenik meg az eszköz IE intranetes beállításai között.
    • Az internetbeállítás Do not save encrypted pages to disk be van jelölve.

  • Nincs bejelentkezve tartományi felhasználóként

    Képernyőkép a Munkahelyi csatlakozás a Windowshoz párbeszédpanelről. Szöveges jelentések arról, hogy hiba történt a fiók ellenőrzése során.

    A probléma több különböző oka is lehet:

    • A bejelentkezett felhasználó nem tartományi felhasználó (például helyi felhasználó). A Microsoft Entra hibrid csatlakoztatása alacsonyabb szintű eszközökön csak a tartományi felhasználók számára támogatott.
    • Az ügyfél nem tud csatlakozni egy tartományvezérlőhöz.

  • Elérte a kvótát

    Képernyőkép a Munkahelyi csatlakozás a Windowshoz párbeszédpanelről. A szöveg hibát jelez, mert a felhasználó elérte a csatlakoztatott eszközök maximális számát.

  • A szolgáltatás nem válaszol

    Képernyőkép a Munkahelyi csatlakozás a Windowshoz párbeszédpanelről. A szöveges jelentés azt jelzi, hogy hiba történt, mert a kiszolgáló nem válaszolt.

Az állapotinformációkat az eseménynaplóban is megtalálhatja a következő alatt: Alkalmazások és szolgáltatások naplója\Microsoft-Workplace Join

A sikertelen Microsoft Entra hibrid illesztés leggyakoribb okai a következők:

  • A számítógép nem csatlakozik a szervezet belső hálózatához vagy a helyszíni AD-tartományvezérlőhöz csatlakozó VPN-hez.
  • A helyi számítógépfiókkal van bejelentkezve a számítógépre.
  • Szolgáltatáskonfigurációs problémák:
    • Az AD FS-kiszolgáló nincs konfigurálva a WIAORMULTIAUTHN támogatására.
    • A számítógép erdőjében nincs olyan szolgáltatáskapcsolati pont objektum, amely az ellenőrzött tartománynévre mutat a Microsoft Entra-azonosítóban
    • Vagy ha a tartomány kezelése folyamatban van, akkor a zökkenőmentes egyszeri bejelentkezés sem lett konfigurálva, sem nem működik.
    • Egy felhasználó elérte az eszközök korlátját.

Következő lépések