Memecahkan masalah Microsoft Entra hibrid yang tergabung dengan perangkat tingkat rendah
Artikel ini hanya berlaku untuk perangkat berikut:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Untuk Windows 10 atau yang lebih baru dan Windows Server 2016, lihat Pemecahan masalah perangkat Windows 10 dan Windows Server 2016 yang bergabung dengan Microsoft Entra.
Artikel ini mengasumsikan bahwa Anda mengonfigurasi perangkat gabungan hibrid Microsoft Entra untuk mendukung skenario berikut:
- Akses Bersyarat Berbasis Perangkat
Artikel ini memberi Anda panduan pemecahan masalah tentang cara mengatasi masalah potensial.
Yang harus Anda ketahui:
- Gabungan hibrid Microsoft Entra untuk perangkat Windows tingkat bawah bekerja secara berbeda dari yang ada di Windows 10 atau yang lebih baru. Banyak pelanggan tidak menyadari bahwa mereka membutuhkan Layanan Federasi Direktori Aktif (untuk domain federasi) atau SSO Tanpa Hambatan yang dikonfigurasi (untuk domain terkelola).
- SSO Tanpa Hambatan tidak berfungsi dalam mode penelusuran privat di browser Firefox dan Microsoft Edge. Ini juga tidak berfungsi pada Internet Explorer jika browser berjalan dalam mode Terproteksi Tingkat Tinggi atau jika Konfigurasi Keamanan Tingkat Tinggi diaktifkan.
- Untuk pelanggan dengan domain federasi, jika Service Koneksi ion Point (SCP) dikonfigurasi sedih sehingga menunjuk ke nama domain terkelola (misalnya, contoso.onmicrosoft.com, alih-alih contoso.com), maka gabungan hibrid Microsoft Entra untuk perangkat Windows downlevel tidak berfungsi.
- Perangkat fisik yang sama muncul beberapa kali di ID Microsoft Entra saat beberapa pengguna domain masuk ke perangkat gabungan hibrid Microsoft Entra downlevel. Misalnya, jika jdoe dan jharnett masuk ke perangkat, pendaftaran terpisah (DeviceID) dibuat untuk masing-masing di tab info USER.
- Anda juga bisa mendapatkan beberapa entri untuk perangkat pada tab info pengguna karena penginstalan ulang sistem operasi atau pendaftaran ulang manual.
- Pendaftaran awal / gabungan perangkat dikonfigurasi untuk melakukan upaya masuk atau mengunci / membuka kunci. Mungkin ada penundaan 5 menit yang dipicu oleh tugas penjadwal tugas.
- Pastikan KB4284842 diinstal pada Windows 7 SP1 atau Windows Server 2008 R2 SP1. Pembaruan ini mencegah kegagalan autentikasi di masa mendatang karena kehilangan akses pelanggan ke kunci yang dilindungi setelah mengubah kata sandi.
- Gabungan hibrid Microsoft Entra mungkin gagal setelah pengguna mengubah UPN mereka, merusak proses autentikasi SSO Tanpa Hambatan. Selama proses gabungan, Anda mungkin melihat bahwa itu masih mengirim UPN sebelumnya ke ID Microsoft Entra, kecuali cookie sesi browser dihapus atau pengguna secara eksplisit keluar dan menghapus UPN lama.
Langkah 1: Ambil status pendaftaran
Untuk memeriksa status pendaftaran:
- Masuk dengan akun pengguna yang melakukan gabungan hibrid Microsoft Entra.
- Membuka prompt perintah
- Ketikkan
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Perintah ini menampilkan kotak dialog yang memberi Anda detail tentang status gabungan.
Langkah 2: Mengevaluasi status gabungan hibrid Microsoft Entra
Jika perangkat tidak bergabung dengan hibrid Microsoft Entra, Anda dapat mencoba melakukan gabungan hibrid Microsoft Entra dengan mengklik tombol "Gabung". Jika upaya untuk melakukan gabungan hibrid Microsoft Entra gagal, detail tentang kegagalan akan ditampilkan.
Beberapa masalah umum adalah:
Masalah LAYANAN Federasi Direktori Aktif atau ID Microsoft Entra atau Jaringan yang salah dikonfigurasi
- Autoworkplace.exe tidak dapat mengautentikasi secara diam-diam dengan ID Microsoft Entra atau LAYANAN Federasi Direktori Aktif. Masalah ini dapat disebabkan oleh LAYANAN Federasi Direktori Aktif yang hilang atau salah dikonfigurasi (untuk domain federasi) atau akses menyeluruh Microsoft Entra yang hilang atau salah dikonfigurasi (untuk domain terkelola) atau masalah jaringan.
- Bisa jadi autentikasi multifaktor (MFA) diaktifkan/dikonfigurasi untuk pengguna dan WIAORMULTIAUTHN tidak dikonfigurasi di server AD FS.
- Kemungkinan lain adalah halaman penemuan ranah rumah (HRD) sedang menunggu interaksi pengguna, yang mencegah autoworkplace.exe diam-diam meminta token.
- Bisa jadi AD FS dan URL Microsoft Entra hilang di zona intranet IE pada klien.
- Masalah konektivitas jaringan mungkin mencegah autoworkplace.exe mencapai LAYANAN Federasi Direktori Aktif atau URL Microsoft Entra.
- Autoworkplace.exe mengharuskan klien untuk memiliki garis pandang langsung dari klien ke pengontrol domain AD lokal organisasi, yang berarti bahwa gabungan hibrid Microsoft Entra hanya berhasil ketika klien terhubung ke intranet organisasi.
- Jika organisasi Anda menggunakan akses menyeluruh Tanpa Hambatan Microsoft Entra,
https://autologon.microsoftazuread-sso.com
tidak ada di pengaturan intranet IE perangkat. - Pengaturan
Do not save encrypted pages to disk
internet diperiksa.
Anda tidak masuk sebagai pengguna domain
Ada beberapa alasan berbeda mengapa masalah ini dapat terjadi:
- Pengguna yang masuk bukan pengguna domain (misalnya, pengguna lokal). Gabungan hibrid Microsoft Entra pada perangkat tingkat bawah hanya didukung untuk pengguna domain.
- Klien tidak dapat tersambung ke pengontrol domain.
Kuota tercapai
Layanan tidak merespons
Anda juga dapat menemukan informasi status dalam log kejadian di bawah: Aplikasi dan Log Layanan\Microsoft-Workplace Join
Penyebab paling umum untuk gabungan hibrid Microsoft Entra yang gagal adalah:
- Komputer Anda tidak tersambung ke jaringan internal organisasi Anda atau ke VPN dengan koneksi ke pengontrol domain AD lokal Anda.
- Anda masuk ke komputer Anda dengan akun komputer lokal.
- Masalah konfigurasi layanan:
- Server Layanan Federasi Direktori Aktif tidak dikonfigurasi untuk mendukung WIAORMULTIAUTHN.
- Forest komputer Anda tidak memiliki objek Service Koneksi ion Point yang menunjuk ke nama domain terverifikasi Anda di ID Microsoft Entra
- Atau jika domain Anda dikelola, SSO Tanpa Hambatan tidak dikonfigurasi atau berfungsi.
- Pengguna mencapai batas perangkat.