Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido

Questo articolo è applicabile solo ai dispositivi seguenti:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Per Windows 10 o versioni successive e Windows Server 2016, vedere Risoluzione dei problemi relativi ai dispositivi Windows 10 e Windows Server 2016 aggiunti all'ambiente ibrido di Microsoft Entra.

Questo articolo presuppone che siano stati configurati dispositivi aggiunti a Microsoft Entra ibridi per supportare gli scenari seguenti:

  • Accesso condizionale basato sul dispositivo

Questo articolo fornisce indicazioni sulla risoluzione di potenziali problemi.

Informazioni utili:

  • Il join ibrido di Microsoft Entra per i dispositivi Windows di livello inferiore funziona in modo leggermente diverso rispetto a quello di Windows 10 o versione successiva. Molti clienti non si rendono conto che hanno bisogno di AD FS (per domini federati) o SSO facile configurato (per i domini gestiti).
  • L'accesso SSO facile non funziona in modalità di esplorazione privata nei browser Firefox e Microsoft Edge. Non funziona anche in Internet Explorer se il browser è in esecuzione in modalità protetta avanzata o se è abilitata la configurazione di sicurezza avanzata.
  • Per i clienti con domini federati, se il punto di Connessione ion del servizio è stato configurato in modo che punti al nome di dominio gestito (ad esempio, contoso.onmicrosoft.com, anziché contoso.com), l'aggiunta ibrida a Microsoft Entra per i dispositivi Windows di livello inferiore non funziona.
  • Lo stesso dispositivo fisico viene visualizzato più volte in Microsoft Entra ID quando più utenti di dominio accedono ai dispositivi aggiunti a Microsoft Entra ibrido di livello inferiore. Ad esempio: se jdoe e jharnett accedono a questo dispositivo, viene creata una registrazione separata (DeviceID) per ciascuno di questi utenti nella scheda di informazioni UTENTE.
  • È anche possibile ottenere più voci per un dispositivo nella scheda delle informazioni sull'utente in seguito a una reinstallazione del sistema operativo o a una nuova registrazione manuale.
  • La registrazione/aggiunta iniziale dei dispositivi è configurata in modo da eseguire un tentativo di accesso o blocco/sblocco. Potrebbero esserci 5 minuti di ritardo causati da un'attività dell'utilità di pianificazione.
  • Assicurarsi che KB4284842 sia installato in Windows 7 SP1 o Windows Server 2008 R2 SP1. Questo aggiornamento impedisce che si verifichino errori di autenticazione futuri a causa della perdita di accesso del cliente alle chiavi protette dopo la modifica della password.
  • L'aggiunta ibrida a Microsoft Entra potrebbe non riuscire dopo che un utente ha modificato il proprio UPN, interrompendo il processo di autenticazione Seamless SSO. Durante il processo di aggiunta, si noterà che sta ancora inviando il vecchio UPN all'ID Microsoft Entra, a meno che i cookie di sessione del browser non vengano cancellati o che l'utente si disconnette esplicitamente e rimuove il vecchio UPN.

Passaggio 1: Recuperare lo stato della registrazione

Per verificare lo stato della registrazione

  1. Accedere con l'account utente che ha eseguito un join ibrido di Microsoft Entra.
  2. Aprire il prompt dei comandi
  3. Digitare "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Questo comando consente di visualizzare una finestra di dialogo che fornisce dettagli relativi allo stato delle aggiunte.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Passaggio 2: Valutare lo stato di join ibrido di Microsoft Entra

Se il dispositivo non è stato aggiunto a Microsoft Entra ibrido, è possibile tentare di eseguire l'aggiunta ibrida a Microsoft Entra facendo clic sul pulsante "Partecipa". Se il tentativo di eseguire l'aggiunta ibrida di Microsoft Entra ha esito negativo, vengono visualizzati i dettagli sull'errore.

I problemi più comuni sono:

  • Problemi di AD FS o Microsoft Entra ID o Rete non configurati correttamente

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe non è in grado di eseguire automaticamente l'autenticazione con Microsoft Entra ID o AD FS. Questo problema può essere causato da problemi di accesso Single Sign-On mancanti o non configurati correttamente (per domini federati) o mancanti o non configurati correttamente da Microsoft Entra (per domini gestiti) o da problemi di rete.
    • Potrebbe essere che l'autenticazione a più fattori (MFA) sia abilitata/configurata per l'utente e WIAORMULTIAUTHN non sia configurata nel server AD FS.
    • È anche possibile che la pagina di individuazione dell'area di autenticazione principale sia in attesa dell'interazione dell'utente, impedendo ad autoworkplace.exe di richiedere automaticamente un token.
    • Potrebbe essere che AD FS e Gli URL di Microsoft Entra non sono presenti nell'area Intranet di Internet Explorer nel client.
    • I problemi di connettività di rete potrebbero impedire a autoworkplace.exe di raggiungere AD FS o gli URL di Microsoft Entra.
    • Autoworkplace.exe richiede che il client abbia una linea diretta di vista dal client al controller di dominio AD locale dell'organizzazione, il che significa che l'aggiunta ibrida a Microsoft Entra ha esito positivo solo quando il client è connesso alla intranet dell'organizzazione.
    • Se l'organizzazione usa l'accesso Single Sign-On facile di Microsoft Entra, https://autologon.microsoftazuread-sso.com non è presente nelle impostazioni Intranet di Internet Explorer del dispositivo.
    • L'impostazione Do not save encrypted pages to disk Internet è selezionata.
  • Non si è connessi come utente di dominio

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Esistono diversi motivi per cui questo problema può verificarsi:

    • L'utente connesso non è un utente di dominio, ad esempio un utente locale. L'aggiunta ibrida di Microsoft Entra nei dispositivi di livello inferiore è supportata solo per gli utenti di dominio.
    • Il client non è in grado di connettersi a un controller di dominio.
  • È stata raggiunta una quota

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Il servizio non risponde

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

È inoltre possibile trovare le informazioni sullo stato nel registro eventi in Registri applicazioni e servizi\Microsoft-Workplace Join

Le cause più comuni per un join ibrido di Microsoft Entra non riuscito sono:

  • Il computer non è connesso alla rete interna dell'organizzazione o a una VPN con una connessione al controller di dominio AD locale.
  • Si è connessi al computer con un account computer locale.
  • Problemi di configurazione del servizio:
    • Il server AD FS non è stato configurato per supportare WIAORMULTIAUTHN.
    • La foresta del computer non ha alcun oggetto Service Connessione ion Point che punta al nome di dominio verificato in Microsoft Entra ID
    • In alternativa, se il dominio è gestito, l'accesso Single Sign-On facile non è stato configurato o funzionante.
    • Un utente ha raggiunto il limite di dispositivi.

Passaggi successivi