Share via

Problemen met hybride gekoppelde downlevel apparaten met Microsoft Entra oplossen

  • Artikel

Dit artikel is alleen van toepassing op de volgende apparaten:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Voor Windows 10 of hoger en Windows Server 2016 raadpleegt u Het oplossen van problemen met hybride Windows 10- en Windows Server 2016-apparaten in Microsoft Entra.

In dit artikel wordt ervan uitgegaan dat u hybride apparaten van Microsoft Entra hebt geconfigureerd ter ondersteuning van de volgende scenario's:

  • Voorwaardelijke toegang op basis van het apparaat

In dit artikel vindt u richtlijnen voor het oplossen van mogelijke problemen.

Wat u moet weten:

  • Hybride koppeling van Microsoft Entra voor downlevel Windows-apparaten werkt iets anders dan in Windows 10 of hoger. Veel klanten realiseren zich niet dat ad FS (voor federatieve domeinen) of naadloze eenmalige aanmelding is geconfigureerd (voor beheerde domeinen).
  • Naadloze eenmalige aanmelding werkt niet in de modus voor privé browsen in Firefox en Microsoft Edge-browsers. Het werkt ook niet in Internet Explorer als de browser wordt uitgevoerd in de uitgebreide beveiligde modus of als verbeterde beveiliging is ingeschakeld.
  • Als voor klanten met federatieve domeinen de Service Verbinding maken ion Point (SCP) zodanig is geconfigureerd dat deze verwijst naar de naam van het beheerde domein (bijvoorbeeld contoso.onmicrosoft.com in plaats van contoso.com), werkt De hybride koppeling van Microsoft Entra voor downlevel Windows-apparaten niet.
  • Hetzelfde fysieke apparaat wordt meerdere keren weergegeven in De Microsoft Entra-id wanneer meerdere domeingebruikers zich aanmelden bij de downlevel aan microsoft Entra hybride gekoppelde apparaten. Als jdoe- en jharnett-aanmelding bij een apparaat bijvoorbeeld wordt gemaakt, wordt er een afzonderlijke registratie (DeviceID) gemaakt voor elk apparaat op het tabblad GEBRUIKERSgegevens.
  • U kunt ook meerdere vermeldingen voor een apparaat ophalen op het tabblad Gebruikersgegevens vanwege een herinstallatie van het besturingssysteem of een handmatige herregistratie.
  • De eerste registratie/join van apparaten is geconfigureerd om een poging uit te voeren bij het aanmelden of vergrendelen/ontgrendelen. Er kan een vertraging van vijf minuten optreden door een taakplanner.
  • Zorg ervoor dat KB4284842 is geïnstalleerd op Windows 7 SP1 of Windows Server 2008 R2 SP1. Deze update voorkomt toekomstige verificatiefouten vanwege het toegangsverlies van de klant tot beveiligde sleutels na het wijzigen van het wachtwoord.
  • Hybride deelname van Microsoft Entra kan mislukken nadat een gebruiker zijn UPN heeft gewijzigd, waardoor het naadloze SSO-verificatieproces wordt onderbroken. Tijdens het deelnameproces ziet u mogelijk dat het nog steeds de oude UPN naar Microsoft Entra ID verzendt, tenzij browsersessiecookies worden gewist of dat de gebruiker zich expliciet afmeldt en oude UPN verwijdert.

Stap 1: De registratiestatus ophalen

De registratiestatus controleren:

  1. Meld u aan met het gebruikersaccount dat een hybride deelname van Microsoft Entra heeft uitgevoerd.
  2. De opdrachtprompt openen
  3. Typ "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Met deze opdracht wordt een dialoogvenster weergegeven met details over de joinstatus.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Stap 2: de hybride deelnamestatus van Microsoft Entra evalueren

Als het apparaat niet is toegevoegd aan Microsoft Entra hybrid, kunt u microsoft Entra hybrid join uitvoeren door te klikken op de knop Deelnemen. Als de poging om hybride deelname van Microsoft Entra uit te voeren mislukt, worden de details over de fout weergegeven.

De meest voorkomende problemen zijn:

  • Een onjuist geconfigureerde AD FS- of Microsoft Entra-id of netwerkproblemen

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe kan niet op de achtergrond worden geverifieerd met Microsoft Entra ID of AD FS. Dit probleem kan worden veroorzaakt door ontbrekende of onjuist geconfigureerde AD FS (voor federatieve domeinen) of ontbrekende of onjuist geconfigureerde microsoft Entra naadloze eenmalige aanmelding (voor beheerde domeinen) of netwerkproblemen.
    • Het kan zijn dat meervoudige verificatie (MFA) is ingeschakeld/geconfigureerd voor de gebruiker en WIAORMULTIAUTHN niet is geconfigureerd op de AD FS-server.
    • Een andere mogelijkheid is dat de HRD-pagina (Home Realm Discovery) wacht op interactie van de gebruiker, waardoor autoworkplace.exe geen token op de achtergrond kan aanvragen.
    • Het kan zijn dat AD FS en Microsoft Entra-URL's ontbreken in de intranetzone van IE op de client.
    • Problemen met de netwerkverbinding verhinderen mogelijk dat autoworkplace.exe AD FS of de MICROSOFT Entra-URL's bereikt.
    • Autoworkplace.exe vereist dat de client direct zicht heeft van de client naar de on-premises AD-domeincontroller van de organisatie. Dit betekent dat hybride deelname van Microsoft Entra alleen slaagt wanneer de client is verbonden met het intranet van de organisatie.
    • Als uw organisatie naadloze eenmalige aanmelding van Microsoft Entra gebruikt, https://autologon.microsoftazuread-sso.com is deze niet aanwezig in de IE-intranetinstellingen van het apparaat.
    • De internetinstelling Do not save encrypted pages to disk is ingeschakeld.

  • U bent niet aangemeld als domeingebruiker

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Er zijn een aantal verschillende redenen waarom dit probleem kan optreden:

    • De aangemelde gebruiker is geen domeingebruiker (bijvoorbeeld een lokale gebruiker). Hybride deelname van Microsoft Entra op downlevel apparaten wordt alleen ondersteund voor domeingebruikers.
    • De client kan geen verbinding maken met een domeincontroller.

  • Er is een quotum bereikt

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • De service reageert niet

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

U vindt ook de statusinformatie in het gebeurtenislogboek onder: Toepassings- en serviceslogboek\Microsoft-Workplace Join

De meest voorkomende oorzaken voor een mislukte hybride koppeling van Microsoft Entra zijn:

  • Uw computer is niet verbonden met het interne netwerk van uw organisatie of met een VPN met een verbinding met uw on-premises AD-domeincontroller.
  • U bent aangemeld bij uw computer met een lokaal computeraccount.
  • Problemen met de serviceconfiguratie:
    • De AD FS-server is niet geconfigureerd ter ondersteuning van WIAORMULTIAUTHN.
    • Het forest van uw computer heeft geen Service Verbinding maken ion Point-object dat verwijst naar uw geverifieerde domeinnaam in Microsoft Entra-id
    • Of als uw domein wordt beheerd, is naadloze eenmalige aanmelding niet geconfigureerd of werkt.
    • Een gebruiker heeft de apparaatlimiet bereikt.

Volgende stappen