Microsoft Entra device management — często zadawane pytania

Ogólne FAQ

Urządzenie zostało ostatnio zarejestrowane. Dlaczego nie widzę urządzenia w obszarze informacji o użytkowniku? Czy też dlaczego właściciel urządzenia jest oznaczony jako N/A dla urządzeń dołączonych hybrydowych firmy Microsoft Entra?

Urządzenia z systemem Windows 10 lub nowszym, które są przyłączone hybrydą firmy Microsoft Entra, nie są wyświetlane na urządzeniach UŻYTKOWNIKÓW. Użyj widoku Wszystkie urządzenia. Możesz również użyć polecenia cmdlet Get-MgDevice programu PowerShell.

W obszarze URZĄDZENIA UŻYTKOWNIKA są wyświetlane tylko następujące urządzenia:

  • Wszystkie urządzenia osobiste, które nie są przyłączone hybrydą firmy Microsoft Entra.
  • Wszystkie urządzenia z systemem innym niż Windows 10 lub nowszy oraz Windows Server 2016 lub nowszy.
  • Wszystkie urządzenia z systemem innych niż Windows.

Jak mogę sprawdzić, jaki jest stan rejestracji urządzenia klienta?

Przejdź do pozycji Wszystkie urządzenia. Wyszukaj urządzenie przy użyciu identyfikatora urządzenia. Sprawdź wartość w kolumnie typ sprzężenia. Czasami urządzenie może zostać zresetowane lub z obrazu. Dlatego ważne jest również sprawdzenie stanu rejestracji urządzenia na urządzeniu:

  • W przypadku urządzeń z systemem Windows 10 lub nowszym i Windows Server 2016 lub nowszym uruchom polecenie dsregcmd.exe /status.
  • W przypadku wersji systemu operacyjnego na poziomie podrzędnym uruchom polecenie %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Aby uzyskać informacje dotyczące rozwiązywania problemów, zobacz następujące artykuły:

Moi lokalni użytkownicy usługi AD w organizacji są podzieleni na co najmniej dwie różne dzierżawy w identyfikatorze Entra firmy Microsoft. Czy otrzymuję żądanie ściągnięcia systemu Windows dla każdej dzierżawy na komputerze klienckim?

Klienci systemu Windows pobierają żądanie PRT z identyfikatora Entra firmy Microsoft, jeśli użytkownik i urządzenie należą do tej samej dzierżawy. Użytkownicy nie otrzymają żądania PRT dla innej dzierżawy, jeśli urządzenie nie jest zarejestrowane lub użytkownik nie jest tam członkiem. Jeśli obie dzierżawy ufają sobie za pośrednictwem usługi B2B, zawsze możesz utworzyć między dzierżawami oświadczenia dostępu B2B i urządzenia zaufania z dzierżawy głównej.

Widzę rekord urządzenia w obszarze informacji o użytkowniku i widzę stan jako zarejestrowany. Czy skonfigurować poprawnie dostęp warunkowy?

Stan sprzężenia urządzenia, wyświetlany przez deviceID, musi być zgodny ze stanem identyfikatora Entra firmy Microsoft i spełniać wszelkie kryteria oceny dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymaganie urządzeń zarządzanych na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego.

Dlaczego moi użytkownicy widzą komunikat o błędzie z informacją "Twoja organizacja usunęła urządzenie" lub "Twoja organizacja wyłączyła urządzenie" na urządzeniach z systemem Windows 10/11?

Na urządzeniach z systemem Windows 10/11 dołączonych lub zarejestrowanych w usłudze Microsoft Entra ID użytkownicy otrzymują podstawowy token odświeżania (PRT), który umożliwia logowanie jednokrotne. Ważność żądania ściągnięcia zależy od ważności samego urządzenia. Użytkownicy widzą ten komunikat, jeśli urządzenie zostało usunięte lub wyłączone w identyfikatorze Entra firmy Microsoft bez inicjowania akcji z samego urządzenia. Urządzenie można usunąć lub wyłączyć w usłudze Microsoft Entra w jednym z następujących scenariuszy:

  • Użytkownik wyłącza urządzenie w portalu Moje aplikacje portal.
  • Administrator (lub użytkownik) usuwa lub wyłącza urządzenie.
  • Tylko przyłączona hybrydowa firma Microsoft Entra: administrator usuwa jednostki organizacyjnej urządzeń z zakresu synchronizacji, co powoduje usunięcie urządzeń z identyfikatora Entra firmy Microsoft.
  • Tylko przyłączona hybrydowa firma Microsoft Entra: administrator wyłącza lokalne konto komputera, co powoduje wyłączenie urządzenia w identyfikatorze Entra firmy Microsoft.
  • Uaktualnianie programu Microsoft Entra Connect do wersji 1.4.xx.x. Omówienie zniknięcia programu Microsoft Entra Connect 1.4.xx.x i urządzenia.

Urządzenie zostało wyłączone lub usunięte, ale stan lokalny na urządzeniu oznacza, że jest on nadal zarejestrowany. Co mam robić?

Ta operacja jest zgodnie z projektem. W takim przypadku urządzenie nie ma dostępu do zasobów w chmurze. Administratorzy mogą wykonać tę akcję dla nieaktualnych, utraconych lub skradzionych urządzeń, aby zapobiec nieautoryzowanemu dostępowi. Jeśli ta akcja została wykonana przypadkowo, musisz ponownie włączyć lub ponownie zarejestrować urządzenie, wykonując następujące czynności:

  • Jeśli urządzenie zostało wyłączone w identyfikatorze Entra firmy Microsoft, administrator z wystarczającymi uprawnieniami może włączyć je w centrum administracyjnym firmy Microsoft Entra.

    Uwaga

    Jeśli synchronizujesz urządzenia przy użyciu programu Microsoft Entra Connect, urządzenia dołączone hybrydowo do firmy Microsoft Entra zostaną automatycznie ponownie włączone podczas następnego cyklu synchronizacji. Jeśli więc musisz wyłączyć urządzenie dołączone hybrydowo do firmy Microsoft Entra, musisz wyłączyć je z lokalnej usługi AD.

  • Jeśli urządzenie zostanie usunięte w identyfikatorze Entra firmy Microsoft, musisz ponownie zarejestrować urządzenie. Aby je ponownie zarejestrować, musisz wykonać ręczną akcję na urządzeniu. Zapoznaj się z poniższymi krokami, aby uzyskać instrukcje dotyczące ponownego rejestrowania na podstawie stanu urządzenia.

    Aby ponownie zarejestrować urządzenia z systemem Windows 10/11 i Windows Server 2016/2019 przyłączone hybrydowo do firmy Microsoft, wykonaj następujące czynności:

    1. Otwórz wiersz polecenia jako administrator.
    2. Wprowadź dsregcmd.exe /debug /leave.
    3. Wyloguj się i zaloguj się, aby wyzwolić zaplanowane zadanie, które ponownie rejestruje urządzenie przy użyciu identyfikatora Entra firmy Microsoft.

    W przypadku starszych wersji systemu operacyjnego Windows, które są przyłączone hybrydowo firmy Microsoft Entra, wykonaj następujące czynności:

    1. Otwórz wiersz polecenia jako administrator.
    2. Wprowadź "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
    3. Wprowadź "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

    W przypadku urządzeń z systemem Windows 10/11 dołączonych do firmy Microsoft wykonaj następujące czynności:

    1. Otwórz wiersz polecenia jako administrator
    2. Wprowadź dsregcmd /forcerecovery (musisz być administratorem, aby wykonać tę akcję).
    3. Kliknij pozycję "Zaloguj się" w wyświetlonym oknie dialogowym i kontynuuj proces logowania.
    4. Wyloguj się i zaloguj się ponownie na urządzeniu, aby ukończyć odzyskiwanie.

    W przypadku zarejestrowanych urządzeń z systemem Windows 10/11 firmy Microsoft wykonaj następujące czynności:

    1. Przejdź do pozycji Ustawienia Konta>>uzyskaj dostęp do miejsca pracy lub nauki.
    2. Wybierz konto i wybierz pozycję Rozłącz.
    3. Kliknij pozycję "+ Połącz" i zarejestruj urządzenie ponownie, przechodząc przez proces logowania.

Dlaczego widzę zduplikowane wpisy urządzenia?

  • W przypadku systemów Windows 10 lub nowszych i Windows Server 2016 lub nowszych powtórzone próby odłączenia i ponownego dołączenia tego samego urządzenia mogą powodować zduplikowane wpisy.
  • Każdy użytkownik systemu Windows, który korzysta z funkcji Dodaj konto służbowe, tworzy nowy rekord urządzenia o tej samej nazwie urządzenia.
  • W przypadku wersji systemu operacyjnego Windows niższego poziomu, które są przyłączone do domeny lokalnej usługi Azure Directory, automatyczna rejestracja powoduje utworzenie nowego rekordu urządzenia o tej samej nazwie dla każdego użytkownika domeny, który loguje się do tego urządzenia.
  • Maszyna przyłączona do usługi Microsoft Entra, która zostanie wyczyszczona, ponownie zainstalowana i ponownie przyłączona z tą samą nazwą, jest wyświetlana jako inny rekord z tą samą nazwą urządzenia.

Czy rejestracja urządzenia z systemem Windows 10/11 w usłudze Microsoft Entra obsługuje moduły TPM w trybie FIPS?

Rejestracja urządzenia z systemem Windows 10/11 jest obsługiwana tylko w przypadku modułu TPM zgodnego ze standardem FIPS 2.0 i nie jest obsługiwana w przypadku modułu TPM 1.2. Jeśli urządzenia mają zgodny ze standardem FIPS moduł TPM 1.2, należy je wyłączyć przed kontynuowaniem dołączania do firmy Microsoft Entra lub dołączania hybrydowego firmy Microsoft Entra. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla modułów TPM, ponieważ jest zależna od producenta modułu TPM. Skontaktuj się ze sprzętem OEM, aby uzyskać pomoc techniczną.

Dlaczego użytkownik może nadal uzyskiwać dostęp do zasobów z urządzenia, które jest wyłączone?

Od momentu, gdy urządzenie Microsoft Entra zostanie oznaczone jako wyłączone, trwa do godziny odwoływanie.

Uwaga

W przypadku zarejestrowanych urządzeń zalecamy wyczyszczenie urządzenia, aby upewnić się, że użytkownicy nie mają dostępu do zasobów. Aby uzyskać więcej informacji, zobacz Co to jest rejestracja urządzeń?.

Nie mogę dodać więcej niż 3 kont użytkowników microsoft Entra w ramach tej samej sesji użytkownika na urządzeniu z systemem Windows 10/11, dlaczego?

Identyfikator Entra firmy Microsoft dodał obsługę wielu kont Microsoft Entra począwszy od wersji systemu Windows 10 1803. Jednak system Windows 10/11 ogranicza liczbę kont Microsoft Entra na urządzeniu do 3, aby ograniczyć rozmiar żądań tokenów i włączyć niezawodne logowanie jednokrotne (SSO). Po dodaniu 3 kont użytkownicy zobaczą błąd dla kolejnych kont. Dodatkowe informacje o problemie na ekranie błędu zawierają następujący komunikat wskazujący przyczynę — "Dodaj operację konta jest blokowana, ponieważ osiągnięto limit konta".

Jakie są certyfikaty MS-Organization-Access na naszych urządzeniach z systemem Windows 10/11?

Certyfikaty MS-Organization-Access są wystawiane przez usługę rejestracji urządzeń firmy Microsoft podczas procesu rejestracji urządzenia. Te certyfikaty są wystawiane dla wszystkich typów sprzężenia obsługiwanych w systemie Windows — przyłączone do firmy Microsoft Entra, dołączone hybrydowo do firmy Microsoft i zarejestrowane urządzenia firmy Microsoft Entra. Po wystawieniu są one używane w ramach procesu uwierzytelniania z urządzenia w celu żądania podstawowego tokenu odświeżania (PRT). W przypadku urządzeń dołączonych hybrydo do firmy Microsoft i urządzeń dołączonych hybrydowych firmy Microsoft ten certyfikat znajduje się w folderze Komputer lokalny\Osobiste\Certyfikaty, natomiast w przypadku zarejestrowanych urządzeń firmy Microsoft certyfikat jest obecny w folderze Current User\Personal\Certificates. Wszystkie certyfikaty MS-Organization-Access mają domyślny okres istnienia 10 lat. Te certyfikaty są usuwane z odpowiedniego magazynu certyfikatów, gdy urządzenie jest wyrejestrowane z identyfikatora Entra firmy Microsoft. Wszelkie przypadkowe usunięcie tego certyfikatu prowadzi do niepowodzeń uwierzytelniania dla użytkownika i wymaga ponownej rejestracji urządzenia w takich przypadkach.

Często zadawane pytania dotyczące dołączania do firmy Microsoft Entra

Jak mogę odłączyć urządzenie dołączone do firmy Microsoft lokalnie na urządzeniu?

W przypadku czystych urządzeń dołączonych do firmy Microsoft upewnij się, że masz konto administratora lokalnego w trybie offline lub utwórz je. Nie można zalogować się przy użyciu żadnych poświadczeń użytkownika firmy Microsoft Entra. Następnie przejdź do pozycji Ustawienia Konta>>uzyskują dostęp do miejsca pracy lub nauki. Wybierz swoje konto i wybierz pozycję Rozłącz. Postępuj zgodnie z monitami i po wyświetleniu monitu podaj poświadczenia administratora lokalnego. Uruchom ponownie urządzenie, aby zakończyć proces odłączania.

Czy moi użytkownicy mogą logować się do urządzeń dołączonych do usługi Microsoft Entra, które zostały usunięte lub wyłączone w usłudze Microsoft Entra ID?

Tak. System Windows ma funkcję buforowanej nazwy użytkownika i hasła, która umożliwia użytkownikom, którzy wcześniej zalogowali się, aby szybko uzyskać dostęp do pulpitu, nawet bez łączności sieciowej.

Gdy urządzenie zostanie usunięte lub wyłączone w identyfikatorze Entra firmy Microsoft, nie jest znane urządzeniu z systemem Windows. Użytkownicy, którzy zalogowali się wcześniej, nadal uzyskują dostęp do pulpitu przy użyciu buforowanej nazwy użytkownika i hasła. Jednak po usunięciu lub wyłączeniu urządzenia użytkownicy nie mogą uzyskać dostępu do żadnych zasobów chronionych przez dostęp warunkowy oparty na urządzeniach.

Użytkownicy, którzy wcześniej nie zalogowali się, nie mogą uzyskać dostępu do urządzenia. Nie ma włączonej buforowanej nazwy użytkownika i hasła.

Czy wyłączony lub usunięty użytkownik może zalogować się na urządzeniu dołączonym do firmy Microsoft?

Tak, ale tylko przez ograniczony czas. Gdy użytkownik zostanie usunięty lub wyłączony w identyfikatorze Entra firmy Microsoft, nie jest od razu znany urządzeniu z systemem Windows. Użytkownicy, którzy zalogowali się wcześniej, mogą uzyskać dostęp do pulpitu przy użyciu buforowanej nazwy użytkownika i hasła.

Zazwyczaj urządzenie wie o stanie użytkownika w mniej niż cztery godziny. Następnie system Windows blokuje dostęp tych użytkowników do pulpitu. Gdy użytkownik zostanie usunięty lub wyłączony w identyfikatorze Entra firmy Microsoft, wszystkie swoje tokeny zostaną odwołane. Nie mogą więc uzyskać dostępu do żadnych zasobów.

Usunięci lub wyłączeni użytkownicy, którzy wcześniej nie zalogowali się, nie mogą uzyskać dostępu do urządzenia. Nie ma włączonej buforowanej nazwy użytkownika i hasła.

Czy użytkownik-gość może zalogować się do urządzenia dołączonego do firmy Microsoft?

Nie, obecnie użytkownicy-goście nie mogą zalogować się na urządzeniu dołączonym do firmy Microsoft.

Moi użytkownicy nie mogą wyszukiwać drukarek z urządzeń dołączonych do firmy Microsoft. Jak mogę włączyć drukowanie z tych urządzeń?

Organizacje mogą zdecydować się na wdrożenie hybrydowego drukowania w chmurze systemu Windows Server przy użyciu uwierzytelniania wstępnego lub usługi Universal Print dla urządzeń dołączonych do firmy Microsoft Entra.

Jak mogę połączyć się ze zdalnym urządzeniem dołączonym do firmy Microsoft Entra?

Dlaczego moi użytkownicy widzą komunikat "Nie możesz dostać się tam stąd"?

Czy niektóre reguły dostępu warunkowego zostały skonfigurowane tak, aby wymagały określonego stanu urządzenia? Jeśli urządzenie nie spełnia kryteriów, użytkownicy są blokowani i widzą ten komunikat. Oceń reguły zasad dostępu warunkowego. Upewnij się, że urządzenie spełnia kryteria, aby uniknąć komunikatu.

Dlaczego otrzymuję komunikat "nazwa użytkownika lub hasło jest niepoprawne" dla urządzenia, które właśnie dołączyłem do identyfikatora Entra firmy Microsoft?

Typowe przyczyny tego scenariusza są następujące:

  • Poświadczenia użytkownika nie są już prawidłowe.
  • Komputer nie może komunikować się z identyfikatorem Entra firmy Microsoft. Sprawdź, czy nie występują problemy z łącznością sieciową.
  • Logowania federacyjne wymagają, aby serwer federacyjny obsługiwał punkty końcowe WS-Trust, które są włączone i dostępne.
  • Włączono uwierzytelnianie przekazywane. W związku z tym podczas logowania należy zmienić hasło tymczasowe.

Jak użytkownicy mogą zmienić swoje tymczasowe lub wygasłe hasło na urządzeniach dołączonych do firmy Microsoft?

Obecnie urządzenia dołączone do firmy Microsoft nie wymuszają na użytkownikach zmiany hasła na ekranie blokady. Dlatego użytkownicy z hasłami tymczasowymi lub wygasłymi będą musieli zmieniać hasła tylko wtedy, gdy uzyskują dostęp do aplikacji (która wymaga tokenu Microsoft Entra) po zalogowaniu się do systemu Windows.

Dlaczego widzę "Ops... wystąpił błąd!" okno dialogowe podczas próby dołączenia do komputera przez firmę Microsoft Entra?

Ten błąd występuje podczas konfigurowania automatycznej rejestracji firmy Microsoft w usłudze Intune bez przypisanej odpowiedniej licencji. Upewnij się, że użytkownik, który próbuje dołączyć do firmy Microsoft Entra, ma przypisaną prawidłową licencję usługi Intune. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji dla urządzeń z systemem Windows.

Dlaczego moja próba dołączenia do komputera przez firmę Microsoft Entra nie powiodła się, chociaż nie otrzymuję żadnych informacji o błędzie?

Prawdopodobną przyczyną jest zalogowanie się do urządzenia przy użyciu lokalnego wbudowanego konta administratora. Utwórz inne konto lokalne przed użyciem dołączenia do firmy Microsoft Entra, aby zakończyć instalację.

Co to jest aplikacja serwera P2P i dlaczego jest ona zarejestrowana w mojej dzierżawie?

Aplikacja P2P Server jest aplikacją zarejestrowaną przez firmę Microsoft Entra ID w celu włączenia połączeń protokołu RDP (Remote Desktop Protocol) z dowolnym przyłączonym do firmy Microsoft lub przyłączonym hybrydowym urządzeniami z systemem Windows firmy Microsoft Entra w dzierżawie. Ta aplikacja tworzy certyfikat dla całej dzierżawy wystawiony przez urząd certyfikacji firmy Microsoft Entra i służy do wystawiania certyfikatów urządzenia RDP i użytkownika na potrzeby łączności RDP. Aby upewnić się, że jest to poprawna aplikacja, możesz znaleźć identyfikator obiektu aplikacji P2P Server w aplikacji Microsoft Entra admin center>Applications Enterprise Applications.> Usuń zastosowany filtr domyślny, aby wyświetlić wszystkie aplikacje. Porównaj ten identyfikator obiektu przy użyciu interfejsu API programu Microsoft Graph w celu wykonywania zapytań dotyczących szczegółów przy użyciu polecenia GET /servicePrincipals/{objectid} i upewnij się, że właściwość servicePrincipalNames ma wartość urn:p2p_cert.

Jakie są certyfikaty MS-Organization-P2P-Access na naszych urządzeniach z systemem Windows 10/11?

Certyfikaty MS-Organization-P2P-Access są wystawiane przez firmę Microsoft Entra ID zarówno do urządzeń dołączonych do firmy Microsoft, jak i urządzeń dołączonych hybrydowo do firmy Microsoft Entra. Te certyfikaty służą do włączania zaufania między urządzeniami w tej samej dzierżawie na potrzeby scenariuszy pulpitu zdalnego. Jeden certyfikat jest wystawiony dla urządzenia, a drugi jest wystawiony użytkownikowi. Certyfikat urządzenia jest obecny i Local Computer\Personal\Certificates jest ważny przez jeden dzień. Ten certyfikat jest odnawiany (przez wystawienie nowego certyfikatu), jeśli urządzenie jest nadal aktywne w identyfikatorze Entra firmy Microsoft. Certyfikat użytkownika nie jest trwały i jest ważny przez jedną godzinę, ale jest wystawiany na żądanie, gdy użytkownik próbuje sesji pulpitu zdalnego na innym urządzeniu dołączonym do firmy Microsoft Entra. Nie jest odnawiany po wygaśnięciu. Oba te certyfikaty są wystawiane przy użyciu certyfikatu MS-Organization-P2P-Access obecnego w pliku Local Computer\AAD Token Issuer\Certificates. Ten certyfikat jest wystawiany przez firmę Microsoft Entra ID podczas rejestracji urządzenia.

Jak wyłączyć buforowane logowanie/wygasać logowanie do pamięci podręcznej użytkownika na urządzeniach dołączonych do firmy Microsoft?

Nie można wyłączyć ani wygasnąć poprzednich buforowanych loganów na urządzeniach dołączonych do firmy Microsoft.

Dołączanie hybrydowe firmy Microsoft Entra — często zadawane pytania

Jak mogę odłączyć urządzenie dołączone do hybrydowej usługi Microsoft Entra lokalnie na urządzeniu?

W przypadku urządzeń dołączonych hybrydowo do usługi Microsoft Entra upewnij się, że wyłączono automatyczną rejestrację w usłudze AD przy użyciu kontrolowanej weryfikacji . Następnie zaplanowane zadanie nie zarejestruje urządzenia ponownie. Następnie otwórz wiersz polecenia jako administrator i wprowadź polecenie dsregcmd.exe /debug /leave. Możesz też uruchomić to polecenie jako skrypt na kilku urządzeniach, aby zbiorczo cofnąć połączenie.

Gdzie można znaleźć informacje dotyczące rozwiązywania problemów w celu zdiagnozowania błędów dołączania do hybrydowej usługi Microsoft Entra?

Dlaczego widzę zduplikowany rekord zarejestrowany przez firmę Microsoft Entra dla mojego urządzenia hybrydowego dołączonego do systemu Windows 10/11 firmy Microsoft Entra na liście urządzeń firmy Microsoft Entra?

Gdy użytkownicy dodają swoje konta do aplikacji na urządzeniu przyłączonym do domeny, może zostać wyświetlony monit o dodanie konta do systemu Windows? Jeśli w wierszu polecenia wprowadzisz wartość Tak , urządzenie zostanie zarejestrowane przy użyciu identyfikatora Entra firmy Microsoft. Typ zaufania jest oznaczony jako zarejestrowany przez firmę Microsoft Entra. Po włączeniu dołączania hybrydowego firmy Microsoft Entra w organizacji urządzenie również zostanie dołączone hybrydowe rozwiązanie Microsoft Entra. Następnie zostaną wyświetlone dwa stany urządzenia dla tego samego urządzenia.

W większości przypadków dołączanie hybrydowe firmy Microsoft Entra ma pierwszeństwo przed stanem zarejestrowanym przez firmę Microsoft Entra, co powoduje, że urządzenie jest uznawane za dołączone hybrydową firmę Microsoft Entra do dowolnego uwierzytelniania i oceny dostępu warunkowego. Jednak czasami ten podwójny stan może spowodować nieokreśloną ocenę urządzenia i spowodować problemy z dostępem. Zdecydowanie zalecamy uaktualnienie do systemu Windows 10 w wersji 1803 lub nowszej, gdzie automatycznie wyczyścimy stan zarejestrowany w usłudze Microsoft Entra. Dowiedz się, jak uniknąć lub wyczyścić ten podwójny stan na maszynie z systemem Windows 10.

Dlaczego moi użytkownicy mają problemy z urządzeniami dołączonymi hybrydowymi do systemu Windows 10 Microsoft Entra po zmianie nazwy UPN?

Zmiany nazwy UPN są obsługiwane w przypadku aktualizacji systemu Windows 10 2004, a także mają zastosowanie do systemu Windows 11. Użytkownicy na urządzeniach z tą aktualizacją nie będą mieli żadnych problemów po zmianie ich nazw UPN.

Zmiany nazwy UPN w starszych wersjach systemu Windows 10 nie są w pełni obsługiwane z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra. Podczas gdy użytkownicy mogą logować się do urządzenia i uzyskiwać dostęp do aplikacji lokalnych, uwierzytelnianie przy użyciu identyfikatora Entra firmy Microsoft kończy się niepowodzeniem po zmianie nazwy UPN. W związku z tym użytkownicy mają problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, musisz usunąć urządzenie z identyfikatora Entra firmy Microsoft (uruchom polecenie "dsregcmd /leave" z podwyższonym poziomem uprawnień) i dołącz ponownie (nastąpi to automatycznie).

Czy urządzenia hybrydowe przyłączone do systemu Windows 10/11 firmy Microsoft wymagają dostępu do kontrolera domeny w celu uzyskania dostępu do zasobów w chmurze?

Nie, z wyjątkiem sytuacji, gdy hasło użytkownika zostanie zmienione. Po zakończeniu dołączania hybrydowego systemu Windows 10/11 Firmy Microsoft Entra, a użytkownik zalogował się co najmniej raz, urządzenie nie wymaga kontaktu z kontrolerem domeny w celu uzyskania dostępu do zasobów w chmurze. System Windows 10/11 może uzyskiwać logowanie jednokrotne do aplikacji Firmy Microsoft Entra z dowolnego miejsca z połączeniem internetowym, z wyjątkiem sytuacji, gdy hasło zostanie zmienione. Użytkownicy logujący się przy użyciu Windows Hello dla firm nadal uzyskują logowanie jednokrotne do aplikacji Microsoft Entra nawet po zmianie hasła, nawet jeśli nie mają dostępu do kontrolera domeny.

Co się stanie, jeśli użytkownik zmieni hasło i spróbuje zalogować się do urządzenia hybrydowego firmy Microsoft Entra z systemem Windows 10/11 poza siecią firmową?

Jeśli hasło zostanie zmienione poza siecią firmową (na przykład przy użyciu funkcji microsoft Entra SSPR), logowanie użytkownika przy użyciu nowego hasła zakończy się niepowodzeniem. W przypadku urządzeń dołączonych hybrydą firmy Microsoft Entra lokalna usługa Active Directory jest urzędem podstawowym. Gdy urządzenie nie ma dostępu do kontrolera domeny, nie może zweryfikować nowego hasła. Użytkownik musi nawiązać połączenie z kontrolerem domeny (za pośrednictwem sieci VPN lub sieci firmowej), zanim będzie mógł zalogować się na urządzeniu przy użyciu nowego hasła. W przeciwnym razie mogą logować się tylko przy użyciu starego hasła z powodu możliwości logowania w pamięci podręcznej w systemie Windows. Jednak stare hasło jest unieważniane przez firmę Microsoft Entra ID podczas żądań tokenu, a tym samym uniemożliwia logowanie jednokrotne i nie powiedzie się wszelkim zasadom dostępu warunkowego opartego na urządzeniach, dopóki użytkownik nie uwierzytelni się przy użyciu nowego hasła w aplikacji lub przeglądarce. Ten problem nie występuje, jeśli korzystasz z urządzeń dołączonych do firmy Microsoft.

Rejestrowanie w usłudze Microsoft Entra — często zadawane pytania

Jak mogę usunąć stan zarejestrowany przez firmę Microsoft dla urządzenia lokalnie?

  • W przypadku urządzeń zarejestrowanych w systemie Windows 10/11 Firmy Microsoft przejdź do pozycji Ustawienia>Konta>uzyskaj dostęp do miejsca pracy lub nauki. Wybierz swoje konto i wybierz pozycję Rozłącz. Rejestracja urządzenia jest na profil użytkownika w systemie Windows 10/11.
  • W przypadku systemów iOS i Android można użyć aplikacji Microsoft Authenticator Ustawienia>rejestracji urządzenia i wybrać pozycję Wyrejestruj urządzenie.
  • W przypadku systemu macOS możesz użyć aplikacji Microsoft Intune — Portal firmy, aby wyrejestrować urządzenie z zarządzania i usunąć wszelkie rejestracje.

W przypadku systemu Windows 10 w wersji 2004 lub starszej ten proces można zautomatyzować za pomocą narzędzia usuwania narzędzia do dołączania w miejscu pracy (WPJ).

Uwaga

To narzędzie usuwa wszystkie konta logowania jednokrotnego na urządzeniu. Po wykonaniu tej operacji wszystkie aplikacje utracą stan logowania jednokrotnego, a urządzenie zostanie wyrejestrowane z narzędzi do zarządzania (MDM) i wyrejestrowane z chmury. Następnym razem, gdy aplikacja spróbuje się zalogować, użytkownicy zostaną poproszeni o ponowne dodanie konta.

Jak zablokować użytkownikom możliwość dodawania kolejnych kont służbowych (zarejestrowanych przez firmę Microsoft) na urządzeniach z systemem Windows 10/11?

Włącz następujący rejestr, aby uniemożliwić użytkownikom dodawanie innych kont służbowych do przyłączonych do domeny firmowej, przyłączonych do firmy Microsoft Entra lub urządzeń z systemem Windows 10/11 dołączonych hybrydnie do firmy Microsoft Entra. Te zasady mogą również służyć do blokowania maszyn przyłączonych do domeny z niezamierzonego pobierania firmy Microsoft Entra zarejestrowanego przy użyciu tego samego konta użytkownika.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001