Bagikan melalui

Memecahkan masalah Microsoft Entra hibrid yang tergabung dengan perangkat tingkat rendah

Artikel ini hanya berlaku untuk perangkat berikut:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Untuk informasi penting tentang dukungan versi OS yang lebih lama, lihat Versi klien Windows yang didukung dan Masalah dan pemberitahuan yang diketahui untuk Windows 8.1 dan Windows Server 2012 R2.

Untuk Windows 10 atau yang lebih baru dan Windows Server 2016, lihat Pemecahan Masalah Microsoft Entra untuk perangkat Windows 10 dan Windows Server 2016 yang bergabung secara hibrida.

Artikel ini mengasumsikan bahwa Anda mengonfigurasi perangkat gabungan hibrid Microsoft Entra untuk mendukung skenario berikut:

  • Akses Bersyarat Berbasis Perangkat

Artikel ini memberi Anda panduan pemecahan masalah tentang cara mengatasi masalah potensial.

Yang harus Anda ketahui:

  • Gabungan hibrid Microsoft Entra untuk perangkat Windows tingkat bawah bekerja secara berbeda dari yang ada di Windows 10 atau yang lebih baru. Banyak pelanggan tidak menyadari bahwa mereka membutuhkan Active Directory Federation Services (untuk domain federasi) atau seamless SSO yang dikonfigurasi (untuk domain terkelola).
  • SSO Tanpa Hambatan tidak berfungsi dalam mode penelusuran privat di browser Firefox dan Microsoft Edge. Ini juga tidak berfungsi pada Internet Explorer jika browser berjalan dalam mode Terproteksi Tingkat Tinggi atau jika Konfigurasi Keamanan Tingkat Tinggi diaktifkan.
  • Untuk pelanggan dengan domain federasi, jika Titik Koneksi Layanan (SCP) dikonfigurasi sed sehingga menunjuk ke nama domain terkelola (misalnya, contoso.onmicrosoft.com, alih-alih contoso.com), maka gabungan hibrid Microsoft Entra untuk perangkat Windows tingkat bawah tidak berfungsi.
  • Perangkat fisik yang sama muncul beberapa kali di ID Microsoft Entra ketika beberapa pengguna domain masuk ke perangkat yang tergabung secara hibrida pada tingkat bawah Microsoft Entra. Misalnya, jika Person1 dan Person2 login ke perangkat, registrasi terpisah (DeviceID) dibuat untuk masing-masing di tab info PENGGUNA.
  • Anda juga bisa mendapatkan beberapa entri untuk perangkat pada tab info pengguna karena penginstalan ulang sistem operasi atau pendaftaran ulang manual.
  • Pendaftaran awal / gabungan perangkat dikonfigurasi untuk melakukan upaya masuk atau mengunci / membuka kunci. Mungkin ada penundaan 5 menit yang dipicu oleh tugas penjadwal tugas.
  • Pastikan KB4284842 diinstal pada Windows 7 SP1 atau Windows Server 2008 R2 SP1. Pembaruan ini mencegah kegagalan autentikasi di masa mendatang karena kehilangan akses pelanggan ke kunci yang dilindungi setelah mengubah kata sandi.
  • Gabungan hibrid Microsoft Entra mungkin gagal setelah pengguna mengubah UPN mereka, merusak proses autentikasi SSO Tanpa Hambatan. Selama proses bergabung, Anda mungkin melihat bahwa sistem masih mengirimkan UPN sebelumnya ke Entra ID Microsoft, kecuali jika cookie sesi peramban dihapus atau pengguna secara eksplisit keluar dan menghapus UPN lama.

Langkah 1: Ambil status pendaftaran

Untuk memeriksa status pendaftaran:

  1. Masuklah dengan akun pengguna yang melakukan penyambungan hibrid Microsoft Entra.
  2. Buka command prompt
  3. Ketikkan "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Perintah ini menampilkan kotak dialog yang memberi Anda detail tentang status keterhubungan.

Cuplikan layar kotak dialog Gabung Tempat Kerja untuk Windows. Teks yang menyertakan alamat email menyatakan bahwa perangkat tertentu bergabung ke tempat kerja.

Langkah 2: Mengevaluasi status gabungan hibrid Microsoft Entra

Jika perangkat belum bergabung dengan Microsoft Entra hybrid, Anda dapat mencoba melakukan penggabungan hybrid Microsoft Entra dengan mengklik tombol "Gabung". Jika upaya untuk melakukan gabungan hibrid Microsoft Entra gagal, detail tentang kegagalan akan ditampilkan.

Beberapa masalah umum adalah:

  • Masalah salah konfigurasi pada Layanan Federasi Direktori Aktif, ID Microsoft Entra, atau pada jaringan.

    Cuplikan layar kotak dialog Gabung Tempat Kerja untuk Windows. Teks melaporkan bahwa terjadi kesalahan selama autentikasi akun.

    • Autoworkplace.exe tidak dapat mengautentikasi tanpa pemberitahuan dengan Microsoft Entra ID atau AD FS. Masalah ini dapat disebabkan oleh AD FS yang hilang atau salah dikonfigurasi (untuk domain federasi) atau login tunggal Microsoft Entra yang hilang atau salah dikonfigurasi (untuk domain terkelola) atau masalah jaringan.
    • Bisa jadi autentikasi multifaktor (MFA) diaktifkan/dikonfigurasi untuk pengguna dan WIAORMULTIAUTHN tidak dikonfigurasi di server AD FS.
    • Kemungkinan lain adalah halaman deteksi ranah rumah (HRD) sedang menunggu interaksi pengguna, yang mencegah autoworkplace.exe meminta token secara diam-diam.
    • Bisa jadi AD FS dan URL Microsoft Entra hilang di zona intranet IE pada klien.
    • Masalah konektivitas jaringan mungkin sedang mencegah autoworkplace.exe untuk mencapai AD FS (Layanan Federasi Active Directory) atau URL Microsoft Entra.
    • Autoworkplace.exe mengharuskan klien untuk memiliki garis pandang langsung dari klien ke pengontrol domain AD lokal organisasi, yang berarti bahwa gabungan hibrid Microsoft Entra hanya berhasil ketika klien terhubung ke intranet organisasi.
    • Jika organisasi Anda menggunakan single sign-on tanpa hambatan Microsoft Entra, https://autologon.microsoftazuread-sso.com tidak ada pada pengaturan intranet IE pada perangkat.
    • Pengaturan internet Do not save encrypted pages to disk telah diperiksa.

  • Anda tidak masuk sebagai pengguna domain

    Cuplikan layar kotak dialog Gabung Tempat Kerja untuk Windows. Teks melaporkan bahwa terjadi kesalahan selama verifikasi akun.

    Ada beberapa alasan berbeda mengapa masalah ini dapat terjadi:

    • Pengguna yang masuk bukan pengguna domain (misalnya, pengguna lokal). Penggabungan hibrid Microsoft Entra pada perangkat dengan level lebih rendah hanya didukung untuk pengguna domain.
    • Klien tidak dapat tersambung ke pengontrol domain.

  • Kuota tercapai

    Tangkapan layar dari kotak dialog Workplace Join untuk Windows. Teks melaporkan kesalahan karena pengguna mencapai jumlah maksimum perangkat yang bergabung.

  • Layanan tidak merespons

    Cuplikan layar kotak dialog Gabungan Tempat Kerja untuk Windows. Teks melaporkan bahwa terjadi kesalahan karena server tidak merespons.

Anda juga dapat menemukan informasi status dalam log kejadian di bawah: Aplikasi dan Log Layanan\Microsoft-Workplace Join

Penyebab paling umum untuk gabungan hibrid Microsoft Entra yang gagal adalah:

  • Komputer Anda tidak tersambung ke jaringan internal organisasi Anda atau ke VPN dengan koneksi ke pengontrol domain AD lokal Anda.
  • Anda masuk ke komputer Anda dengan akun komputer lokal.
  • Masalah konfigurasi layanan:
    • Server Layanan Federasi Direktori Aktif tidak dikonfigurasi untuk mendukung WIAORMULTIAUTHN.
    • Forest komputer Anda tidak memiliki objek Service Connection Point yang menunjuk ke nama domain terverifikasi Anda di Microsoft Entra ID
    • Atau jika domain Anda dikelola, maka Single Sign-On Tanpa Hambatan tidak dikonfigurasi atau tidak berfungsi.
    • Pengguna telah mencapai batas jumlah perangkat.

Langkah berikutnya