Tanya Jawab Umum manajemen perangkat Microsoft Entra

Perangkat Windows 10 atau yang lebih baru yang bergabung dengan hibrid Microsoft Entra tidak muncul di bawah perangkat PENGGUNA. Gunakan tampilan Semua perangkat. Anda juga dapat menggunakan cmdlet PowerShell Get-MgDevice .

Hanya perangkat berikut yang tercantum di bawah perangkat USER:

• Semua perangkat pribadi yang tidak bergabung dengan Microsoft Entra hybrid.
• Semua perangkat non-Windows 10 atau yang lebih baru dan Windows Server 2016 atau yang lebih baru.
• Semua perangkat non-Windows.

Buka Semua perangkat. Cari perangkat dengan menggunakan ID perangkat. Periksa nilai di bawah kolom jenis gabungan. Terkadang, perangkat mungkin direset atau dicitrakan ulang. Jadi sangat penting untuk juga memeriksa status pendaftaran perangkat pada perangkat:

• Untuk perangkat Windows 10 dan Windows Server 2016 atau yang lebih baru, jalankan dsregcmd.exe /status.
• Untuk versi OS tingkat bawah, jalankan %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Untuk informasi penyelesaian masalah, lihat artikel berikut:

• Perangkat pemecahan masalah menggunakan perintah dsregcmd
• Pemecahan masalah Microsoft Entra hibrid yang tergabung dengan perangkat Windows 10 dan Windows Server 2016
• Memecahkan masalah Microsoft Entra hibrid yang tergabung dengan perangkat tingkat rendah

Klien Windows mengambil PRT dari ID Microsoft Entra jika pengguna dan perangkat milik penyewa yang sama. Pengguna tidak akan mendapatkan PRT untuk penyewa lain jika perangkat tidak terdaftar atau pengguna bukan anggota di sana. Jika kedua penyewa saling mempercayai melalui B2B, Anda selalu dapat membuat akses B2B lintas penyewa dan mempercayai klaim perangkat dari penyewa rumah Anda.

Status gabungan perangkat, yang ditunjukkan oleh deviceID, harus sesuai dengan status pada ID Microsoft Entra dan memenuhi kriteria evaluasi apa pun untuk Akses Bersyarah. Untuk informasi selengkapnya, lihat Mengharuskan perangkat terkelola untuk akses aplikasi cloud dengan Akses Bersyarat.

Pada perangkat Windows 10/11 yang bergabung atau terdaftar dengan MICROSOFT Entra ID, pengguna mengeluarkan token refresh utama (PRT) yang memungkinkan akses menyeluruh. Validitas PRT didasarkan pada validitas perangkat itu sendiri. Pengguna melihat pesan ini jika perangkat dihapus atau dinonaktifkan di ID Microsoft Entra tanpa memulai tindakan dari perangkat itu sendiri. Perangkat dapat dihapus atau dinonaktifkan di Microsoft Entra salah satu skenario berikut:

• Pengguna menonaktifkan perangkat dari portal Aplikasi Saya.
• Administrator (atau pengguna) menghapus atau menonaktifkan perangkat.
• Microsoft Entra hybrid hanya bergabung: Administrator menghapus perangkat OU di luar cakupan sinkronisasi yang mengakibatkan perangkat dihapus dari ID Microsoft Entra.
• Microsoft Entra hybrid hanya bergabung: Administrator menonaktifkan akun komputer lokal, yang mengakibatkan perangkat dinonaktifkan di ID Microsoft Entra.
• Meningkatkan Microsoft Entra Koneksi ke versi 1.4.xx.x. Memahami Microsoft Entra Koneksi 1.4.xx.x dan hilangnya perangkat.

Operasi ini adalah menurut desain. Dalam hal ini, perangkat tidak memiliki akses ke sumber daya di cloud. Administrator dapat melakukan tindakan ini untuk perangkat yang basi, hilang, atau dicuri untuk mencegah akses yang tidak sah. Jika tindakan ini dilakukan secara tidak sengaja, Anda perlu mengaktifkan kembali atau mendaftarkan ulang perangkat menggunakan langkah-langkah berikut:

• Jika perangkat dinonaktifkan di ID Microsoft Entra, administrator dengan hak istimewa yang memadai dapat mengaktifkannya di pusat admin Microsoft Entra.

  Catatan

  Jika Anda menyinkronkan perangkat menggunakan Microsoft Entra Koneksi, perangkat gabungan hibrid Microsoft Entra akan diaktifkan kembali secara otomatis selama siklus sinkronisasi berikutnya. Jadi, jika Anda perlu menonaktifkan perangkat gabungan hibrid Microsoft Entra, Anda perlu menonaktifkannya dari AD lokal Anda.

• Jika perangkat dihapus di ID Microsoft Entra, Anda perlu mendaftarkan ulang perangkat. Untuk mendaftar ulang, Anda harus melakukan tindakan manual pada perangkat. Lihat langkah-langkah berikut untuk instruksi untuk mendaftar ulang berdasarkan status perangkat.

  Untuk mendaftarkan kembali perangkat Microsoft Entra hybrid yang bergabung dengan Windows 10/11 dan Windows Server 2016/2019, lakukan langkah-langkah berikut:

  1. Buka prompt perintah sebagai administrator.
  2. Memasuki dsregcmd.exe /debug /leave.
  3. Keluar dan masuk untuk memicu tugas terjadwal yang mendaftarkan perangkat lagi dengan ID Microsoft Entra.

  Untuk versi OS Windows tingkat bawah yang bergabung dengan hibrid Microsoft Entra, lakukan langkah-langkah berikut:

  1. Buka prompt perintah sebagai administrator.
  2. Memasuki "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Memasuki "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Untuk perangkat yang bergabung dengan Microsoft Entra perangkat Windows 10/11, lakukan langkah-langkah berikut:

  1. Buka prompt perintah sebagai administrator
  2. Masukkan dsregcmd /forcerecovery (Anda perlu menjadi administrator untuk melakukan tindakan ini).
  3. Klik "Masuk" dalam dialog yang terbuka dan lanjutkan dengan proses masuk.
  4. Keluar dan masuk kembali di perangkat untuk menyelesaikan pemulihan.

  Untuk perangkat Windows 10/11 terdaftar Microsoft Entra, lakukan langkah-langkah berikut:

  1. Buka Pengaturan>Akun>Akses Kerja atau Sekolah.
  2. Pilih akun dan pilih Putuskan sambungan.
  3. Klik "+ Sambungkan" dan daftarkan perangkat lagi dengan melalui proses masuk.

• Untuk Windows 10 serta Windows Server 2016 atau yang lebih baru, percobaan berulang untuk terlepas dan bergabung kembali dengan perangkat yang sama dapat menyebabkan entri duplikat.
• Setiap pengguna Windows yang menggunakan Tambahkan Akun Kerja atau Sekolah membuat catatan perangkat baru dengan nama perangkat yang sama.
• Untuk versi OS Windows tingkat bawah yang tergabung dengan domain Azure Directory lokal, pendaftaran otomatis membuat catatan perangkat baru dengan nama perangkat yang sama untuk setiap pengguna domain yang masuk ke perangkat.
• Mesin gabungan Microsoft Entra yang dihapus, diinstal ulang, dan digabungkan kembali dengan nama sama ditampilkan sebagai catatan lain dengan nama perangkat yang sama.

Pendaftaran perangkat Windows 10/11 hanya didukung untuk TPM 2.0 yang mematuhi FIPS dan tidak didukung untuk TPM 1.2. Jika perangkat Anda memiliki TPM 1.2 yang mematuhi FIPS, Anda harus menonaktifkannya sebelum melanjutkan gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra. Microsoft tidak menyediakan alat apa pun guna menonaktifkan mode FIPS untuk TPM karena mode tersebut bergantung pada produsen TPM. Hubungi OEM perangkat keras Anda untuk dukungan.

Diperlukan waktu hingga satu jam agar pencabutan diterapkan sejak perangkat Microsoft Entra ditandai sebagai dinonaktifkan.

ID Microsoft Entra menambahkan dukungan untuk beberapa akun Microsoft Entra mulai rilis Windows 10 1803. Namun, Windows 10/11 membatasi jumlah akun Microsoft Entra pada perangkat hingga 3 untuk membatasi ukuran permintaan token dan mengaktifkan akses menyeluruh (SSO) yang andal. Setelah 3 akun ditambahkan, pengguna melihat kesalahan untuk akun berikutnya. Informasi masalah tambahan pada layar kesalahan menyediakan pesan berikut yang menunjukkan alasan - "Tambahkan operasi akun diblokir karena batas akun tercapai".

Sertifikat MS-Organization-Access dikeluarkan oleh Layanan Pendaftaran Perangkat Microsoft Entra selama proses pendaftaran perangkat. Sertifikat ini dikeluarkan untuk semua jenis gabungan yang didukung pada Windows - Microsoft Entra bergabung, gabungan hibrid Microsoft Entra, dan perangkat terdaftar Microsoft Entra. Setelah diterbitkan, mereka digunakan sebagai bagian dari proses autentikasi dari perangkat untuk meminta Token Refresh Utama (PRT). Untuk gabungan Microsoft Entra dan perangkat gabungan hibrid Microsoft Entra, sertifikat ini ada di Komputer Lokal\Pribadi\Sertifikat sedangkan untuk perangkat terdaftar Microsoft Entra, sertifikat ada di User\Personal\Certificates Saat Ini. Semua sertifikat MS-Organization-Access memiliki masa pakai default 10 tahun. Sertifikat ini dihapus dari penyimpanan sertifikat yang sesuai saat perangkat tidak terdaftar dari ID Microsoft Entra. Penghapusan sertifikat ini yang tidak disengaja menyebabkan kegagalan autentikasi bagi pengguna, dan mengharuskan pendaftaran ulang perangkat dalam kasus seperti itu.

Untuk perangkat gabungan Microsoft Entra murni, pastikan Anda memiliki akun administrator lokal offline atau membuatnya. Anda tidak dapat masuk dengan kredensial pengguna Microsoft Entra apa pun. Selanjutnya, buka Pengaturan>Akun>Akses Kerja atau Sekolah. Pilih akun Anda dan pilih Putuskan sambungan. Ikuti perintah dan berikan info masuk administrator lokal saat diminta. Reboot perangkat untuk menyelesaikan proses batal bergabung.

Ya. Windows memiliki kemampuan nama pengguna dan kata sandi yang di-cache yang memungkinkan pengguna yang masuk sebelumnya untuk mengakses desktop dengan cepat bahkan tanpa konektivitas jaringan.

Saat perangkat dihapus atau dinonaktifkan di ID Microsoft Entra, perangkat Windows tidak diketahui. Jadi pengguna yang masuk sebelumnya terus mengakses desktop dengan nama pengguna dan kata sandi yang di-cache. Tetapi karena perangkat dihapus atau dinonaktifkan, pengguna tidak dapat mengakses semua sumber daya yang dilindungi oleh Akses Bersyarat berbasis perangkat.

Pengguna yang tidak masuk sebelumnya tidak dapat mengakses perangkat. Tidak ada nama pengguna dan kata sandi yang di-cache yang diaktifkan untuk mereka.

Ya, tapi hanya untuk waktu yang terbatas. Saat pengguna dihapus atau dinonaktifkan di ID Microsoft Entra, pengguna tidak segera diketahui oleh perangkat Windows. Jadi pengguna yang masuk sebelumnya dapat mengakses desktop dengan nama pengguna dan kata sandi yang di-cache.

Biasanya, perangkat mengetahui status pengguna dalam waktu kurang dari empat jam. Kemudian Windows memblokir akses pengguna tersebut ke desktop. Saat pengguna dihapus atau dinonaktifkan di ID Microsoft Entra, semua token mereka dicabut. Jadi mereka tidak bisa mengakses sumber daya apa pun.

Pengguna yang dihapus atau dinonaktifkan yang tidak masuk sebelumnya tidak dapat mengakses perangkat. Tidak ada nama pengguna dan kata sandi yang di-cache yang diaktifkan untuk mereka.

Tidak, saat ini, pengguna tamu tidak dapat masuk ke perangkat yang bergabung dengan Microsoft Entra.

Organisasi dapat memilih untuk menyebarkan Windows Server Hybrid Cloud Print dengan Pra-Autentikasi atau Universal Print untuk perangkat yang bergabung dengan Microsoft Entra mereka.

Lihat Koneksi ke PC gabungan Microsoft Entra jarak jauh.

Apakah Anda mengonfigurasi aturan Akses Bersyarat tertentu untuk memerlukan status perangkat tertentu? Jika perangkat tidak memenuhi kriteria, pengguna diblokir, dan mereka melihat pesan tersebut. Mengevaluasi aturan kebijakan Akses Bersyarat. Pastikan perangkat memenuhi kriteria untuk menghindari pesan.

Alasan umum untuk skenario ini adalah sebagai berikut:

• Info masuk pengguna Anda tidak lagi valid.
• Komputer Anda tidak dapat berkomunikasi dengan ID Microsoft Entra. Periksa masalah konektivitas jaringan apa pun.
• Masuk gabungan mengharuskan server federasi Anda untuk mendukung titik akhir WS-Trust yang diaktifkan dan dapat diakses.
• Anda mengaktifkan autentikasi pass-through. Jadi kata sandi sementara Anda perlu diubah saat Anda masuk.

Saat ini, perangkat yang bergabung dengan Microsoft Entra tidak memaksa pengguna untuk mengubah kata sandi di layar kunci. Jadi, pengguna dengan kata sandi sementara atau kedaluwarsa akan dipaksa untuk mengubah kata sandi hanya ketika mereka mengakses aplikasi (yang memerlukan token Microsoft Entra) setelah mereka masuk ke Windows.

Kesalahan ini terjadi ketika Anda menyiapkan pendaftaran otomatis Microsoft Entra dengan Intune tanpa lisensi yang tepat yang ditetapkan. Pastikan bahwa pengguna yang mencoba bergabung dengan Microsoft Entra memiliki lisensi Intune yang benar yang ditetapkan. Untuk informasi selengkapnya, lihat Menyiapkan pendaftaran untuk perangkat Windows.

Kemungkinan penyebabnya adalah Anda masuk ke perangkat dengan menggunakan akun administrator bawaan lokal. Buat akun lokal lain sebelum Anda menggunakan gabungan Microsoft Entra untuk menyelesaikan penyiapan.

Aplikasi P2P Server adalah aplikasi yang didaftarkan oleh MICROSOFT Entra ID untuk mengaktifkan koneksi Protokol Desktop Jauh (RDP) ke perangkat Windows gabungan Microsoft Entra atau Microsoft Entra yang bergabung dengan hibrid di penyewa Anda. Aplikasi ini membuat sertifikat luas penyewa yang dikeluarkan oleh otoritas sertifikat Microsoft Entra dan digunakan untuk menerbitkan perangkat RDP dan sertifikat pengguna untuk konektivitas RDP. Untuk memastikan ini adalah aplikasi yang benar, Anda dapat menemukan ID Objek aplikasi P2P Server di pusat>admin Microsoft Entra Aplikasi> Perusahaan. Hapus filter default yang diterapkan apakah Anda dapat melihat semua aplikasi. Bandingkan ID Objek ini menggunakan Microsoft Graph API untuk mengkueri detail menggunakan GET /servicePrincipals/{objectid} dan konfirmasikan bahwa properti servicePrincipalNames adalah urn:p2p_cert.

Sertifikat MS-Organization-P2P-Access dikeluarkan oleh MICROSOFT Entra ID untuk keduanya, microsoft Entra bergabung dan perangkat gabungan hibrid Microsoft Entra. Sertifikat ini digunakan untuk mengaktifkan kepercayaan antar perangkat dalam penyewa yang sama untuk skenario desktop jarak jauh. Satu sertifikat dikeluarkan untuk perangkat dan sertifikat lainnya dikeluarkan untuk pengguna. Sertifikat perangkat ada di dalam Local Computer\Personal\Certificates dan berlaku selama satu hari. Sertifikat ini diperbarui (dengan mengeluarkan sertifikat baru) jika perangkat masih aktif di ID Microsoft Entra. Sertifikat pengguna tidak persisten dan valid selama satu jam, tetapi dikeluarkan sesuai permintaan saat pengguna mencoba sesi desktop jarak jauh ke perangkat yang bergabung dengan Microsoft Entra lainnya. Ini tidak diperbarui pada kedaluwarsa. Kedua sertifikat ini diterbitkan menggunakan sertifikat MS-Organization-P2P-Access yang ada di Local Computer\AAD Token Issuer\Certificates. Sertifikat ini dikeluarkan oleh ID Microsoft Entra selama pendaftaran perangkat.

Tidak dimungkinkan untuk menonaktifkan atau kedaluwarsa logon cache sebelumnya di perangkat yang bergabung dengan Microsoft Entra.

Untuk perangkat gabungan hibrid Microsoft Entra, pastikan untuk menonaktifkan pendaftaran otomatis di AD menggunakan artikel Validasi terkontrol. Kemudian tugas terjadwal tidak akan mendaftarkan perangkat lagi. Selanjutnya, buka prompt perintah sebagai administrator dan masukkan dsregcmd.exe /debug /leave. Atau jalankan perintah ini sebagai skrip di beberapa perangkat untuk membatalkan gabungan secara massal.

Untuk informasi penyelesaian masalah, lihat artikel berikut:

• Pemecahan masalah Microsoft Entra hibrid yang tergabung dengan perangkat Windows 10 dan Windows Server 2016
• Memecahkan masalah Microsoft Entra hibrid yang tergabung dengan perangkat tingkat rendah

Saat pengguna Anda menambahkan akun mereka ke aplikasi di perangkat yang bergabung dengan domain, mereka mungkin diminta dengan Menambahkan akun ke Windows? Jika mereka memasukkan Ya pada perintah, perangkat mendaftar dengan ID Microsoft Entra. Jenis kepercayaan ditandai sebagai Microsoft Entra terdaftar. Setelah Anda mengaktifkan gabungan hibrid Microsoft Entra di organisasi Anda, perangkat juga bergabung dengan Microsoft Entra hybrid. Kemudian dua keadaan perangkat muncul untuk perangkat yang sama.

Dalam kebanyakan kasus, gabungan hibrid Microsoft Entra lebih diutamakan daripada status terdaftar Microsoft Entra, yang mengakibatkan perangkat Anda dianggap sebagai gabungan hibrid Microsoft Entra untuk autentikasi dan evaluasi Akses Bersyariah apa pun. Namun, terkadang, status ganda ini dapat mengakibatkan evaluasi perangkat yang tidak deterministik dan menyebabkan masalah akses. Kami sangat menyarankan untuk meningkatkan ke Windows 10 versi 1803 ke atas di mana kami secara otomatis membersihkan status terdaftar Microsoft Entra. Pelajari cara menghindari atau membersihkan status ganda ini pada mesin Windows 10.

Perubahan UPN didukung dengan pembaruan Windows 10 2004 dan juga berlaku untuk Windows 11. Pengguna di perangkat dengan pembaruan ini tidak akan memiliki masalah apa pun setelah mengubah UPN mereka.

Perubahan UPN pada versi Windows 10 yang lebih lama tidak sepenuhnya didukung dengan perangkat gabungan hibrid Microsoft Entra. Meskipun pengguna dapat masuk ke perangkat dan mengakses aplikasi lokal mereka, autentikasi dengan ID Microsoft Entra gagal setelah perubahan UPN. Akibatnya, pengguna memiliki masalah SSO dan Akses Bersyarat di perangkat mereka. Anda perlu membatalkan bergabung dengan perangkat dari MICROSOFT Entra ID (jalankan "dsregcmd /leave" dengan hak istimewa yang ditinggikan) dan bergabung kembali (terjadi secara otomatis) untuk menyelesaikan masalah.

Tidak, kecuali ketika kata sandi pengguna diubah. Setelah gabungan hibrid Microsoft Entra Windows 10/11 selesai, dan pengguna telah masuk setidaknya sekali, perangkat tidak memerlukan garis pandang ke pengontrol domain untuk mengakses sumber daya cloud. Windows 10/11 bisa mendapatkan akses menyeluruh ke aplikasi Microsoft Entra dari mana saja dengan koneksi internet, kecuali ketika kata sandi diubah. Pengguna yang masuk dengan Windows Hello untuk Bisnis terus mendapatkan akses menyeluruh ke aplikasi Microsoft Entra bahkan setelah perubahan kata sandi, bahkan jika mereka tidak memiliki garis pandang ke pengendali domain mereka.

Jika kata sandi diubah di luar jaringan perusahaan (misalnya, dengan menggunakan Microsoft Entra SSPR), maka pengguna masuk dengan kata sandi baru gagal. Untuk perangkat gabungan hibrid Microsoft Entra, Active Directory lokal adalah otoritas utama. Saat perangkat tidak memiliki garis pandang ke pengendali domain, perangkat tidak dapat memvalidasi kata sandi baru. Pengguna perlu membuat koneksi dengan pengendali domain (baik melalui VPN atau berada di jaringan perusahaan) sebelum mereka dapat masuk ke perangkat dengan kata sandi baru mereka. Jika tidak, mereka hanya dapat masuk dengan kata sandi lama mereka karena kemampuan masuk cache di Windows. Namun, kata sandi lama tidak valid oleh ID Microsoft Entra selama permintaan token dan karenanya, mencegah akses menyeluruh dan gagal kebijakan Akses Bersyarat berbasis perangkat hingga pengguna mengautentikasi dengan kata sandi baru mereka di aplikasi atau browser. Masalah ini tidak terjadi jika Anda menggunakan perangkat yang bergabung dengan Microsoft Entra.

• Untuk perangkat terdaftar Microsoft Entra Windows 10/11, Buka Pengaturan> Akses>Akun Kerja atau Sekolah. Pilih akun Anda dan pilih Putuskan sambungan. Pendaftaran perangkat berlaku per profil pengguna di Windows 10/11.
• Untuk iOS dan Android, Anda dapat menggunakan aplikasi Microsoft Authenticator Pengaturan>Pendaftaran Perangkat dan pilih Batalkan pendaftaran perangkat.
• Untuk macOS, Anda dapat menggunakan aplikasi Microsoft Intune Company Portal untuk membatalkan pendaftaran perangkat dari manajemen dan menghapus pendaftaran apa pun.

Untuk Windows 10 versi 2004 dan yang lebih lama, proses ini dapat diotomatisasi dengan alat penghapusan Workplace Join (WPJ).

Aktifkan registri berikut untuk memblokir pengguna Anda agar tidak menambahkan akun kerja lain ke domain perusahaan Anda yang bergabung, bergabung dengan Microsoft Entra, atau perangkat Windows 10/11 yang bergabung dengan Microsoft Entra hybrid. Kebijakan ini juga dapat digunakan untuk memblokir komputer yang bergabung dengan domain secara tidak sengaja membuat Microsoft Entra terdaftar dengan akun pengguna yang sama.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Konten terkait

• Alat Pencarian Kesalahan Microsoft