Domande frequenti sulla gestione dei dispositivi Microsoft Entra

I dispositivi Windows 10 o versioni successive aggiunti a Microsoft Entra ibrido non vengono visualizzati nei dispositivi U edizione Standard R. Usare la visualizzazione Tutti i dispositivi . È anche possibile usare un cmdlet Get-MgDevice di PowerShell.

Sotto Dispositivi utente vengono elencati solo i dispositivi seguenti:

• Tutti i dispositivi personali che non sono aggiunti a Microsoft Entra ibrido.
• Tutti i dispositivi non Windows 10 o versioni successive e Windows Server 2016 o versioni successive.
• Tutti i dispositivi non Windows.

Passare a Tutti i dispositivi. Cercare il dispositivo usando l'ID dispositivo. Controllare il valore nella colonna Tipo di join. In alcuni casi, è possibile che il dispositivo sia stato reimpostato o che ne sia stata ricreata l'immagine. È quindi importante controllare anche lo stato di registrazione del dispositivo all'interno del dispositivo:

• Per i dispositivi Windows 10 o versioni successive e Windows Server 2016 o versioni successive, eseguire dsregcmd.exe /status.
• Per le versioni del sistema operativo di livello inferiore, eseguire %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Per informazioni sulla risoluzione dei problemi, vedere gli articoli seguenti:

• Risoluzione dei problemi dei dispositivi con il comando dsregcmd
• Risoluzione dei problemi relativi alla registrazione dei dispositivi Windows 10 e Windows Server 2016 aggiunti a Microsoft Entra ibrido
• Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido

I client Windows recuperano la richiesta pull dall'ID Microsoft Entra se l'utente e il dispositivo appartengono allo stesso tenant. Gli utenti non riceveranno un token di aggiornamento primario per un altro tenant se il dispositivo non è registrato o l'utente non è membro. Se i due tenant si considerano attendibili tramite B2B, è sempre possibile creare attestazioni di accesso B2B tra tenant e attendibilità dei dispositivi dal tenant principale.

Lo stato di join del dispositivo, visualizzato da deviceID, deve corrispondere allo stato in Microsoft Entra ID e soddisfare i criteri di valutazione per l'accesso condizionale. Per altre informazioni, vedere Richiedere dispositivi gestiti per l'accesso alle app cloud con l'accesso condizionale.

Nei dispositivi Windows 10/11 aggiunti o registrati con l'ID Microsoft Entra, gli utenti eseguono un token di aggiornamento primario (PRT) che abilita l'accesso Single Sign-On. La validità del PRT si basa sulla validità del dispositivo stesso. Gli utenti visualizzano questo messaggio se il dispositivo viene eliminato o disabilitato in Microsoft Entra ID senza avviare l'azione dal dispositivo stesso. Un dispositivo può essere eliminato o disabilitato in Microsoft Entra uno degli scenari seguenti:

• L'utente disabilita il dispositivo dal portale App personali.
• Un amministratore (o un utente) elimina o disabilita il dispositivo.
• Solo aggiunto a Microsoft Entra ibrido: un amministratore rimuove l'unità organizzativa dei dispositivi dall'ambito di sincronizzazione, causando l'eliminazione dei dispositivi dall'ID Microsoft Entra.
• Solo aggiunto a Microsoft Entra ibrido: un amministratore disabilita l'account computer in locale, con conseguente disabilitazione del dispositivo in Microsoft Entra ID.
• Aggiornamento di Microsoft Entra Connessione alla versione 1.4.xx.x. Informazioni sulla scomparsa di Microsoft Entra Connessione 1.4.xx.x e del dispositivo.

Questa operazione viene eseguita per prassi. In questo caso, il dispositivo non ha accesso alle risorse nel cloud. Gli amministratori possono eseguire questa azione per i dispositivi obsoleti, persi o rubati per impedire accessi non autorizzati. Se questa azione è stata eseguita involontariamente, è necessario riabilitare o registrare nuovamente il dispositivo seguendo questa procedura:

• Se il dispositivo è stato disabilitato in Microsoft Entra ID, un amministratore con privilegi sufficienti può abilitarlo nell'interfaccia di amministrazione di Microsoft Entra.

  Nota

  Se si sincronizzano i dispositivi con Microsoft Entra Connessione, i dispositivi aggiunti all'ibrido Microsoft Entra verranno riabilitato automaticamente durante il ciclo di sincronizzazione successivo. Pertanto, se è necessario disabilitare un dispositivo aggiunto a Microsoft Entra ibrido, è necessario disabilitarlo da AD locale.

• Se il dispositivo viene eliminato in Microsoft Entra ID, è necessario registrare nuovamente il dispositivo. Se si vuole registrare nuovamente il dispositivo, sarà necessario farlo manualmente da quest'ultimo. Per istruzioni sulla registrazione in base allo stato del dispositivo, vedere i passaggi seguenti.

  Per registrare nuovamente i dispositivi Windows 10/11 e Windows Server 2016/2019 aggiunti a Microsoft Entra ibrido, seguire questa procedura:

  1. Aprire il prompt dei comandi come amministratore.
  2. Immetti dsregcmd.exe /debug /leave.
  3. Disconnettersi e accedere per attivare l'attività pianificata che registra nuovamente il dispositivo con Microsoft Entra ID.

  Per le versioni del sistema operativo Windows di livello inferiore aggiunte a Microsoft Entra ibrido, seguire questa procedura:

  1. Aprire il prompt dei comandi come amministratore.
  2. Immetti "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Immetti "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Per i dispositivi Windows 10/11 aggiunti a Microsoft Entra, seguire questa procedura:

  1. Aprire il prompt dei comandi come amministratore
  2. Immettere dsregcmd /forcerecovery. Per eseguire questa azione è necessario essere un amministratore.
  3. Fare clic su "Accedi" nella finestra di dialogo visualizzata e continuare con il processo di accesso.
  4. Disconnettersi e accedere di nuovo nel dispositivo per completare il ripristino.

  Per i dispositivi Windows 10/11 registrati da Microsoft Entra, seguire questa procedura:

  1. Passare a Impostazioni>Account>Accedi all'azienda o all'istituto di istruzione.
  2. Selezionare l'account e quindi Disconnetti.
  3. Fare clic su "+ Connetti" e registrare di nuovo il dispositivo tramite il processo di accesso.

• Per Windows 10 o versioni successive e Windows Server 2016 o versioni successive, ripetuti tentano di annullare la connessione e di ricongiunire lo stesso dispositivo potrebbero causare voci duplicate.
• Ogni utente Windows che usa l'opzione Aggiungi account aziendale o dell'istituto di istruzione creerà un nuovo record di dispositivo con lo stesso nome.
• Per le versioni di sistemi operativi Windows di livello inferiore aggiunte a un dominio Azure Directory locale, la registrazione automatica crea un nuovo record di dispositivo con lo stesso nome per ogni utente del dominio che accede al dispositivo.
• Un computer aggiunto a Microsoft Entra cancellato, reinstallato e aggiunto nuovamente con lo stesso nome viene visualizzato con un record diverso ma con lo stesso nome dispositivo.

La registrazione dei dispositivi Windows 10/11 è supportata solo per TPM 2.0 conforme a FIPS e non è supportata per TPM 1.2. Se i dispositivi hanno TPM 1.2 conforme a FIPS, è necessario disabilitarli prima di procedere con l'aggiunta a Microsoft Entra o l'aggiunta ibrida a Microsoft Entra. Microsoft non fornisce strumenti per disabilitare la modalità FIPS per i TPM perché dipende dal produttore del TPM. Contattare l'OEM hardware per assistenza.

L'applicazione di una revoca dal momento in cui il dispositivo Microsoft Entra è contrassegnato come disabilitato richiede fino a un'ora.

Microsoft Entra ID ha aggiunto il supporto per più account Microsoft Entra a partire dalla versione di Windows 10 1803. Tuttavia, Windows 10/11 limita il numero di account Microsoft Entra in un dispositivo a 3 per limitare le dimensioni delle richieste di token e abilitare l'accesso Single Sign-On (SSO) affidabile. Dopo l'aggiunta di 3 account, gli utenti visualizzano un errore per gli account successivi. Le informazioni aggiuntive sul problema nella schermata di errore forniscono il messaggio seguente che indica il motivo : "L'operazione Aggiungi account è bloccata perché viene raggiunto il limite di account".

I certificati MS-Organization-Access vengono rilasciati dal servizio Registrazione dispositivi Microsoft Entra durante il processo di registrazione del dispositivo. Questi certificati vengono rilasciati a tutti i tipi di join supportati in Windows- Microsoft Entra join, Microsoft Entra ibrido e dispositivi registrati microsoft Entra. Una volta rilasciati, vengono usati come parte del processo di autenticazione dal dispositivo per richiedere un token di aggiornamento primario (PRT). Per i dispositivi aggiunti a Microsoft Entra e Microsoft Entra ibridi, questo certificato è presente in Computer locale\Personal\Certificates, mentre per i dispositivi registrati Microsoft Entra, il certificato è presente in Current User\Personal\Certificates. Tutti i certificati MS-Organization-Access hanno una durata predefinita di 10 anni. Questi certificati vengono eliminati dall'archivio certificati corrispondente quando il dispositivo non viene registrato dall'ID Microsoft Entra. Qualsiasi eliminazione accidentale di questo certificato comporta errori di autenticazione per l'utente e richiede la nuova registrazione del dispositivo in tali casi.

Per i dispositivi aggiunti a Microsoft Entra puri, assicurarsi di avere un account amministratore locale offline o crearne uno. Non è possibile accedere con le credenziali utente di Microsoft Entra. A questo punto, passare a Impostazioni>Account>Accedi all'azienda o all'istituto di istruzione. Selezionare l'account e quindi Disconnetti. Seguire le istruzioni e, quando richiesto, fornire le credenziali di amministratore locale. Riavviare il dispositivo per completare il processo di separazione.

Sì. Windows dispone di un nome utente memorizzato nella cache e della funzionalità di password che consente agli utenti che hanno effettuato l'accesso in precedenza di accedere al desktop rapidamente anche senza la connettività di rete.

Quando un dispositivo viene eliminato o disabilitato in Microsoft Entra ID, non è noto al dispositivo Windows. Pertanto, gli utenti registrati in precedenza continuano ad accedere al desktop con il nome utente memorizzato nella cache e la password. Tuttavia, poiché il dispositivo è stato eliminato o disabilitato, gli utenti non possono accedere alle risorse protette dall'accesso condizionale basato sul dispositivo.

Gli utenti che non hanno effettuato l'accesso in precedenza non possono accedere al dispositivo. Non c'è alcun nome utente memorizzato nella cache né password abilitate per tale utente.

Sì, ma solo per un periodo di tempo limitato. Quando un utente viene eliminato o disabilitato in Microsoft Entra ID, non è immediatamente noto al dispositivo Windows. Pertanto, gli utenti registrati in precedenza possono accedere al desktop con il nome utente memorizzato nella cache e la password.

In genere, il dispositivo è a conoscenza dello stato utente in meno di quattro ore. Quindi Windows blocca l'accesso degli utenti sul desktop. Quando l'utente viene eliminato o disabilitato in Microsoft Entra ID, tutti i relativi token vengono revocati. Pertanto, non può accedere alle risorse.

Gli utenti eliminati o disabilitati che non hanno effettuato l'accesso in precedenza non possono accedere al dispositivo. Non c'è alcun nome utente memorizzato nella cache né password abilitate per tale utente.

No, attualmente, gli utenti guest non possono accedere a un dispositivo aggiunto a Microsoft Entra.

Le organizzazioni possono scegliere di distribuire Windows Server Hybrid Cloud Print con preautenticazione o stampa universale per i dispositivi aggiunti a Microsoft Entra.

Vedi Connessione al PC aggiunto a Microsoft Entra remoto.

Sono state configurate alcune regole di accesso condizionale per richiedere un stato specifico del dispositivo? Se il dispositivo non soddisfa i criteri, gli utenti vengono bloccati e viene visualizzato tale messaggio. Valutare i criteri di accesso condizionale. Assicurarsi che il dispositivo soddisfi i criteri in modo da evitare il messaggio.

I motivi più comuni per questo scenario sono i seguenti:

• Le credenziali dell'utente non sono più valide.
• Il computer non può comunicare con Microsoft Entra ID. Verificare la presenza di eventuali problemi di connettività di rete.
• Gli accessi federati richiedono un server federativo con supporto per endpoint WS-Trust abilitati e accessibili.
• Autenticazione pass-through abilitata. Pertanto, la password temporanea deve essere modificata quando si accede.

Attualmente, i dispositivi aggiunti a Microsoft Entra non forzano gli utenti a modificare la password nella schermata di blocco. Pertanto, gli utenti con password temporanee o scadute verranno costretti a modificare le password solo quando accedono a un'applicazione (che richiede un token Microsoft Entra) dopo l'accesso a Windows.

Questo errore si verifica quando si configura la registrazione automatica di Microsoft Entra con Intune senza assegnare una licenza appropriata. Assicurarsi che all'utente che tenta di partecipare a Microsoft Entra sia assegnata la licenza di Intune corretta. Per altre informazioni, vedere Set up enrollment for Windows devices (Configurare la registrazione in blocco per i dispositivi Windows).

È probabile che l'utente abbia effettuato l'accesso al dispositivo tramite l'account amministratore predefinito locale. Creare un account locale diverso prima di usare l'aggiunta a Microsoft Entra per completare la configurazione.

L'applicazione P2P Server è un'applicazione registrata da Microsoft Entra ID per abilitare le connessioni RDP (Remote Desktop Protocol) a qualsiasi dispositivo Windows aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido nel tenant. Questa applicazione crea un certificato a livello di tenant rilasciato dall'autorità di certificazione di Microsoft Entra e viene usato per rilasciare i certificati utente e dispositivo RDP per la connettività RDP. Per assicurarsi che questa sia l'applicazione corretta, è possibile trovare l'ID oggetto dell'applicazione P2P Server nell'interfaccia di amministrazione>di Microsoft Entra Applicazioni>aziendali. Rimuovere il filtro predefinito applicato per visualizzare tutte le applicazioni. Confrontare questo ID oggetto usando l'API Microsoft Graph per cercare i dettagli usando GET /servicePrincipals/{objectid} e verificare che la proprietà servicePrincipalNames sia urn:p2p_cert.

I certificati MS-Organization-P2P-Access vengono rilasciati da Microsoft Entra ID per entrambi i dispositivi aggiunti a Microsoft Entra e Microsoft Entra ibridi. Tali certificati vengono usati per abilitare l'attendibilità tra i dispositivi nello stesso tenant per scenari di desktop remoti. Un certificato viene rilasciato al dispositivo e un altro viene rilasciato all'utente. Il certificato del dispositivo è presente in Local Computer\Personal\Certificates ed è valido per un giorno. Questo certificato viene rinnovato (emettendo un nuovo certificato) se il dispositivo è ancora attivo in Microsoft Entra ID. Il certificato utente non è persistente ed è valido per un'ora, ma viene rilasciato su richiesta quando un utente tenta una sessione desktop remoto in un altro dispositivo aggiunto a Microsoft Entra. Non viene rinnovato alla scadenza. Entrambi questi certificati vengono emessi usando il certificato MS-Organization-P2P-Access presente in Local Computer\AAD Token Issuer\Certificates. Questo certificato viene rilasciato da Microsoft Entra ID durante la registrazione del dispositivo.

Non è possibile disabilitare o scadere gli accessi memorizzati nella cache precedenti nei dispositivi aggiunti a Microsoft Entra.

Per i dispositivi aggiunti a Microsoft Entra ibrido, assicurarsi di disattivare la registrazione automatica in AD usando l'articolo Convalida controllata. In questo modo l'attività pianificata non registrerà nuovamente il dispositivo. A questo punto, aprire il prompt dei comandi come amministratore e immettere dsregcmd.exe /debug /leave. O eseguire questo comando come uno script in più dispositivi per separare in blocco.

Per informazioni sulla risoluzione dei problemi, vedere gli articoli seguenti:

• Risoluzione dei problemi relativi alla registrazione dei dispositivi Windows 10 e Windows Server 2016 aggiunti a Microsoft Entra ibrido
• Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido

Quando gli utenti aggiungono gli account alle app in un dispositivo aggiunto a un dominio, potrebbe essere richiesto aggiungi account a Windows? Se immettono Sì al prompt, il dispositivo viene registrato con Microsoft Entra ID. Il tipo di attendibilità è contrassegnato come Registrato da Microsoft Entra. Dopo aver abilitato l'aggiunta ibrida di Microsoft Entra all'interno dell'organizzazione, il dispositivo ottiene anche l'aggiunta ibrida di Microsoft Entra. Vengono visualizzati due stati dei dispositivi per lo stesso dispositivo.

Nella maggior parte dei casi, l'aggiunta ibrida Microsoft Entra ha la precedenza sullo stato registrato di Microsoft Entra, con conseguente presa in considerazione del dispositivo aggiunto ibrido a Microsoft Entra per qualsiasi autenticazione e valutazione dell'accesso condizionale. Tuttavia, a volte, questo doppio stato può causare una valutazione non deterministica del dispositivo e causare problemi di accesso. Consigliamo vivamente di eseguire l'aggiornamento a Windows 10 versione 1803 e versioni successive in cui pulisciamo automaticamente lo stato registrato di Microsoft Entra. Informazioni su come evitare o eliminare il doppio stato nel computer Windows 10.

Le modifiche UPN sono supportate con l'aggiornamento di Windows 10 2004 e applicabili anche a Windows 11. Gli utenti nei dispositivi con questo aggiornamento non avranno problemi dopo la modifica dei nomi UPN.

Le modifiche UPN nelle versioni precedenti di Windows 10 non sono completamente supportate con i dispositivi aggiunti a Microsoft Entra ibrido. Anche se gli utenti possono accedere al dispositivo e accedere alle applicazioni locali, l'autenticazione con MICROSOFT Entra ID ha esito negativo dopo una modifica dell'UPN. Di conseguenza, gli utenti riscontreranno problemi a livello di accesso SSO e accesso condizionale sui propri dispositivi. Per risolvere il problema, è necessario annullare la registrazione del dispositivo da Microsoft Entra ID (eseguire "dsregcmd /leave" con privilegi elevati).

No, tranne quando la password dell'utente viene modificata. Al termine dell'aggiunta ibrida a Windows 10/11 Microsoft Entra e l'utente ha eseguito l'accesso almeno una volta, il dispositivo non richiede la visualizzazione del controller di dominio per accedere alle risorse cloud. Windows 10/11 può ottenere l'accesso Single Sign-On alle applicazioni Microsoft Entra da qualsiasi posizione con una connessione Internet, tranne quando viene modificata una password. Gli utenti che accedono con Windows Hello for Business continuano a ottenere l'accesso Single Sign-On alle applicazioni Microsoft Entra anche dopo una modifica della password, anche se non hanno una linea di vista per il controller di dominio.

Se una password viene modificata all'esterno della rete aziendale (ad esempio, usando la reimpostazione della password self-service di Microsoft Entra), l'accesso utente con la nuova password ha esito negativo. Per i dispositivi aggiunti a Microsoft Entra ibrido, Active Directory locale è l'autorità primaria. Quando un dispositivo non ha una linea di vista a un controller di dominio, non è in grado di convalidare la nuova password. L'utente deve stabilire una connessione con il controller di dominio (tramite VPN o nella rete aziendale) prima di poter accedere al dispositivo con la nuova password. In caso contrario, possono accedere solo con la vecchia password a causa della funzionalità di accesso memorizzata nella cache in Windows. Tuttavia, la vecchia password viene invalidata da Microsoft Entra ID durante le richieste di token e pertanto impedisce l'accesso Single Sign-On e non riesce a qualsiasi criterio di accesso condizionale basato su dispositivo fino a quando l'utente non esegue l'autenticazione con la nuova password in un'app o in un browser. Questo problema non si verifica se si usano dispositivi aggiunti a Microsoft Entra.

• Per i dispositivi registrati con Windows 10/11 Microsoft Entra, passare a Impostazioni> Account>Accesso all'azienda o all'istituto di istruzione. Selezionare l'account e quindi Disconnetti. La registrazione del dispositivo è per profilo utente in Windows 10/11.
• Per iOS e Android, è possibile usare l'applicazione Microsoft Authenticator: aprire Impostazioni>Registrazione dispositivo e selezionare Annulla registrazione dispositivo.
• Per macOS, è possibile usare l'applicazione Portale aziendale Intune di Microsoft per annullare la registrazione del dispositivo dalla gestione e rimuovere qualsiasi registrazione.

Per Windows 10 versione 2004 e versioni precedenti, questo processo può essere automatizzato con lo strumento di rimozione di Workplace Join (WPJ).

Abilitare il registro seguente per impedire agli utenti di aggiungere altri account aziendali ai dispositivi Windows 10/11 aggiunti al dominio aziendale, aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. Questo criterio può essere usato anche per impedire ai computer aggiunti a un dominio di ottenere inavvertitamente la registrazione di Microsoft Entra con lo stesso account utente.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Contenuto correlato

• Microsoft Error Lookup Tool