Problemen met Enterprise State Roaming-instellingen in Microsoft Entra-id oplossen

  • Artikel

Dit artikel bevat informatie over het oplossen en diagnosticeren van problemen met Enterprise State Roaming en bevat een lijst met bekende problemen.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Notitie

Dit artikel is van toepassing op de oude, op HTML gebaseerde Microsoft Edge-browser die in juli 2015 samen met Windows 10 is geïntroduceerd. Het artikel is niet van toepassing op de nieuwe op Chromium gebaseerde Microsoft Edge-browser die op 15 januari 2020 is uitgebracht. Zie het artikel Microsoft Edge Sync voor meer informatie over het synchronisatiegedrag voor de nieuwe Microsoft Edge.

Voorlopige stappen voor probleemoplossing

Voordat u begint met het oplossen van problemen, controleert u of de gebruiker en het apparaat correct zijn geconfigureerd en of aan alle vereisten van Enterprise State Roaming wordt voldaan.

  1. Windows 10 of nieuwer, met de nieuwste updates en minimaal versie 1511 (OS build 10586 of hoger) is geïnstalleerd op het apparaat.
  2. Het apparaat is gekoppeld aan Microsoft Entra of hybride Microsoft Entra. Zie voor meer informatie hoe u een apparaat onder beheer van Microsoft Entra-id kunt krijgen.
  3. Zorg ervoor dat Enterprise State Roaming is ingeschakeld voor de tenant in Microsoft Entra-id, zoals beschreven in Enterprise State Roaming inschakelen. U kunt roaming inschakelen voor alle gebruikers of alleen voor een geselecteerde groep gebruikers.
  4. De gebruiker krijgt een Licentie voor Microsoft Entra ID P1 of P2 toegewezen.
  5. Het apparaat moet opnieuw worden opgestart en de gebruiker moet zich opnieuw aanmelden om toegang te krijgen tot Enterprise State Roaming-functies.

Benodigde informatie om snel te worden geholpen

Als u uw probleem niet kunt oplossen met de volgende richtlijnen, kunt u contact opnemen met onze ondersteuningstechnici. Neem de volgende informatie op wanneer u contact met hen opneemt:

  • Algemene beschrijving van de fout: Krijgt de gebruiker foutberichten te zien? Als er geen foutbericht is, geeft u een gedetailleerde beschrijving van het onverwachte gedrag u hebt opgemerkt. Welke functies zijn ingeschakeld voor synchronisatie en wat verwacht de gebruiker te synchroniseren? Worden er meerdere functies niet gesynchroniseerd of gaat het om één geïsoleerde functie?
  • Betrokken gebruikers: Werkt/mislukt de synchronisatie voor één gebruiker of meerdere gebruikers? Hoeveel apparaten per gebruiker ondervinden dit probleem? Worden ze allemaal niet gesynchroniseerd of worden sommige wel en sommige niet gesynchroniseerd?
  • Informatie over de gebruiker: Welke identiteit gebruikt de gebruiker om zich aan te melden bij het apparaat? Hoe meldt de gebruiker zich bij het apparaat? Maken ze deel uit van een geselecteerde beveiligingsgroep die toestemming heeft om te synchroniseren?
  • Informatie over het apparaat : is dit apparaat toegevoegd aan Microsoft Entra of lid van een domein? Op welke build bevindt het apparaat zich? Wat zijn de meest recente updates?
  • Datum/tijd/tijdzone: Wat was de exacte datum en tijd van de fout die u hebt gezien (inclusief tijdzone)?

Door deze informatie op te nemen, kunnen we uw probleem zo snel mogelijk oplossen.

Het oplossen en diagnosticeren van problemen

In deze sectie vindt u suggesties voor het oplossen en diagnosticeren van problemen met betrekking tot Enterprise State Roaming.

Synchronisatie en de instellingenpagina 'Uw instellingen synchroniseren' verifiëren

  1. Nadat u uw pc met Windows 10 of hoger hebt toegevoegd aan een domein dat is geconfigureerd om Enterprise State Roaming toe te staan, meldt u zich aan met uw werkaccount. Ga naar Instellingen> Accounts>Sync Your Instellingen en bevestig dat de synchronisatie en de afzonderlijke instellingen zijn ingeschakeld en dat de bovenkant van de instellingenpagina aangeeft dat u synchroniseert met uw werkaccount. Controleer of hetzelfde account ook wordt gebruikt als uw account in Instellingen> Accounts>Your Info.

  2. Controleer of synchronisatie op meerdere computers werkt door enkele wijzigingen aan te brengen op de oorspronkelijke computer, zoals het verplaatsen van de taakbalk rond het scherm. Controleer of de wijziging binnen vijf minuten is doorgegeven aan de tweede machine.

    • Het scherm vergrendelen en ontgrendelen (Win + L) kan helpen bij het activeren van een synchronisatie.
    • Aangezien Enterprise State Roaming is gekoppeld aan het gebruikersaccount en niet het computeraccount, kunt u alleen synchroniseren als u zich op beide pc's aanmeldt met hetzelfde account.

Mogelijk probleem: als de besturingselementen op de pagina Instellingen niet beschikbaar zijn en u het bericht 'Sommige Windows-functies zijn alleen beschikbaar als u een Microsoft-account of werkaccount gebruikt'. Dit probleem kan zich voordoen voor apparaten die zijn ingesteld om lid te zijn van een domein en zijn geregistreerd bij Microsoft Entra-id, maar het apparaat is nog niet geverifieerd bij Microsoft Entra ID. Een mogelijke oorzaak is dat het apparaatbeleid moet worden toegepast, maar deze toepassing gebeurt asynchroon en kan enkele uren duren.

De status van de apparaatregistratie verifiëren

Enterprise State Roaming vereist dat het apparaat is geregistreerd bij Microsoft Entra-id. Hoewel dit niet specifiek is voor Enterprise State Roaming, kunt u aan de hand van de volgende instructies bevestigen dat de Windows 10- of nieuwere client is geregistreerd en de vingerafdruk, de URL van de Microsoft Entra-instellingen, de NGC-status en andere informatie bevestigen.

  1. Open de opdrachtprompt met verlaagde bevoegdheden. Als u dit wilt doen in Windows, opent u via het menu Start het hulpprogramma Uitvoeren (Win + R) en typt u cmd om de opdrachtprompt weer te geven.
  2. Wanneer de opdrachtprompt is geopend, typt u *dsregcmd.exe /status*.
  3. Voor de verwachte uitvoer moet de veldwaarde AzureAdJoined zijn YES, de veldwaarde WamDefaultSet moet zijn YESen moet de veldwaarde WamDefaultGUID een GUID zijn met (AzureAD) aan het einde.

Mogelijk probleem: WamDefaultSet en AzureAdJoined hebben beide 'NEE' in de veldwaarde, het apparaat is toegevoegd aan het domein en geregistreerd bij Microsoft Entra ID, en het apparaat wordt niet gesynchroniseerd. Als dit wordt weergegeven, moet het apparaat mogelijk wachten tot beleid is toegepast of de verificatie voor het apparaat is mislukt bij het maken van verbinding met Microsoft Entra-id. De gebruiker moet mogelijk enkele uren wachten totdat het beleid is toegepast. Andere stappen voor probleemoplossing kunnen bestaan uit het opnieuw proberen automatisch registreren door u af te melden en weer aan te melden of de taak in Task Scheduler te starten. In sommige gevallen kan het uitvoeren van 'dsregcmd.exe /leave' in een opdrachtpromptvenster met verhoogde bevoegdheid, opnieuw opstarten en het opnieuw proberen van de registratie helpen bij dit probleem.

Mogelijk probleem: het veld voor Instellingen Url is leeg en het apparaat wordt niet gesynchroniseerd. De gebruiker heeft zich mogelijk voor het laatst aangemeld bij het apparaat voordat Enterprise State Roaming is ingeschakeld. Start het apparaat opnieuw op en laat de gebruiker zich aanmelden. Probeer eventueel in de portal de IT-Beheer naar Enterprise State Roaming voor identiteitsapparaten>>>uit te schakelen en gebruikers opnieuw in te schakelen, kunnen instellingen en app-gegevens op verschillende apparaten synchroniseren. Zodra het apparaat opnieuw is ingeschakeld, start u het apparaat opnieuw op en meldt u zich aan bij de gebruiker. Als dit het probleem niet oplost, is Instellingen Url mogelijk leeg als er een ongeldig apparaatcertificaat is. In dit geval kan het uitvoeren van 'dsregcmd.exe /leave' in een opdrachtpromptvenster met verhoogde bevoegdheid, opnieuw opstarten en het opnieuw proberen van de registratie mogelijk helpen bij dit probleem.

Enterprise State Roaming en meervoudige verificatie

Onder bepaalde voorwaarden kan Enterprise State Roaming geen gegevens synchroniseren als Microsoft Entra-meervoudige verificatie is geconfigureerd. Zie het ondersteuningsdocument KB3193683 voor meer informatie over deze symptomen.

Mogelijk probleem: als uw apparaat is geconfigureerd voor meervoudige verificatie in het Microsoft Entra-beheercentrum, kunt u instellingen mogelijk niet synchroniseren tijdens het aanmelden bij een Windows 10- of hoger apparaat met behulp van een wachtwoord. Dit type meervoudige verificatieconfiguratie is bedoeld om een Azure-beheerdersaccount te beveiligen. Beheer gebruikers mogelijk nog steeds kunnen synchroniseren door zich aan te melden bij hun Windows 10- of nieuwere apparaten met hun Windows Hello voor Bedrijven pincode of door meervoudige verificatie te voltooien terwijl ze toegang hebben tot andere Azure-services zoals Microsoft 365.

Mogelijk probleem: synchronisatie kan mislukken als de beheerder het beleid voor meervoudige verificatie voor voorwaardelijke toegang van Active Directory Federation Services configureert en het toegangstoken op het apparaat verloopt. Zorg ervoor dat u zich aanmeldt en afmeldt met behulp van de Windows Hello voor Bedrijven pincode of meervoudige verificatie voltooit terwijl u toegang hebt tot andere Azure-services zoals Microsoft 365.

Logboeken

Logboeken worden gebruikt om specifieke fouten te vinden voor geavanceerde probleemoplossing. De gebeurtenissen vindt u onder Logboeken >Logboeken toepassingen en services microsoft>>Windows>SettingSync-Azure en voor identiteitsgerelateerde problemen met synchronisatietoepassingen en serviceslogboeken>Microsoft Windows>Microsoft>Entra ID.

Bekende problemen

Synchroniseren werkt niet op apparaten waarop MDM-software wordt gebruikt voor het sideloaden van apps

Dit is van invloed op apparaten met de Windows 10 Anniversary Update (versie 1607). In Logboeken onder de SettingSync-Azure-logboeken wordt de gebeurtenis-id 6013 met fout 80070259 vaak gezien.

Aanbevolen actie
Zorg dat de cumulatieve update van 23 augustus 2016 (KB3176934 OS Build 14393.82) op de Windows 10 v1607-client is geïnstalleerd.

De datum-, tijd- en land/regio-instellingen worden niet gesynchroniseerd op domein-gekoppelde apparaten

Apparaten die lid zijn van een domein worden niet gesynchroniseerd met de instelling Datum, Tijd en Regio: automatische tijd. Als u automatische tijd gebruikt, worden de andere datum-, tijd- en regio-instellingen mogelijk overschreven en worden deze instellingen niet gesynchroniseerd.

Aanbevolen actie
Geen.

Domein-gekoppeld apparaat wordt niet gesynchroniseerd na het verlaten van het bedrijfsnetwerk

Apparaten die zijn geregistreerd bij Microsoft Entra ID, kunnen synchronisatiefouten ondervinden als het apparaat langere tijd buiten de site is en domeinverificatie niet kan worden voltooid.

Aanbevolen actie
Verbind het apparaat met een bedrijfsnetwerk, zodat de synchronisatie kan worden hervat.

Microsoft Entra-gekoppeld apparaat wordt niet gesynchroniseerd en de gebruiker heeft een mixed case User Principal Name

Als de gebruiker een UPN met gemengde hoofdletters heeft (bijvoorbeeld UserName in plaats van gebruikersnaam) en de gebruiker zich op een Microsoft Entra-gekoppeld apparaat bevindt, dat een upgrade heeft uitgevoerd van Windows 10 Build 10586 naar 14393, kan het apparaat van de gebruiker mogelijk niet worden gesynchroniseerd.

Aanbevolen actie
De gebruiker moet het apparaat ontkoppelen en opnieuw toevoegen aan de cloud. Als u dit proces wilt uitvoeren, meldt u zich aan als de lokale Beheer istratorgebruiker en ontkoppelt u het apparaat door naar Instellingen> System>About te gaan en 'Beheren of de verbinding met werk of school verbreken' te selecteren. Schoon de volgende bestanden op en voeg microsoft Entra vervolgens opnieuw toe aan het apparaat in Instellingen> System>About en selecteer 'Verbinding maken to Work or School'. Ga door met het toevoegen van het apparaat aan De Microsoft Entra-id en voltooi de stroom.

Schoon de volgende bestanden op in de stap voor opschonen:

  • Settings.dat in C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • Alle bestanden in de map C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

Gebeurtenis-id 6065: 80070533: deze gebruiker kan zich niet aanmelden omdat dit account momenteel is uitgeschakeld.

In Logboeken onder de logboeken SettingSync/Foutopsporing kan deze fout worden weergegeven wanneer de referenties van de gebruiker verlopen. Bovendien kan dit gebeuren wanneer de tenant niet automatisch AzureRMS heeft ingericht.

Aanbevolen actie
In het eerste geval moet de gebruiker zijn referenties bijwerken en zich met de nieuwe referenties aanmelden bij het apparaat. Als u het probleem met AzureRMS wilt oplossen, gaat u verder met de stappen die worden vermeld in KB3193791.

Gebeurtenis-id 1098: Fout: 0xCAA5001C Token-brokerbewerking is mislukt

In Logboeken onder de AAD-/operationele logboeken kan deze fout worden weergegeven met Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F. Dit probleem treedt op als er ontbrekende machtigingen of eigendomskenmerken ontbreken.

Aanbevolen actie
Ga door met de stappen die KB3196528 worden vermeld.

Volgende stappen

Zie Overzicht van Enterprise State Roaming voor een overzicht.