Rozwiązywanie problemów z urządzeniami niższego poziomu przyłączonymi do hybrydowej usługi Microsoft Entra

  • Artykuł

Ten artykuł ma zastosowanie tylko do następujących urządzeń:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

W przypadku urządzeń z systemami Windows 10 lub nowszymi i Windows Server 2016 zobacz Rozwiązywanie problemów z urządzeniami z systemem Windows 10 i Windows Server 2016 dołączonymi hybrydami firmy Microsoft Entra.

W tym artykule przyjęto założenie, że skonfigurowano urządzenia dołączone hybrydową firmę Microsoft Entra do obsługi następujących scenariuszy:

  • Dostęp warunkowy oparty na urządzeniach

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów dotyczących rozwiązywania potencjalnych problemów.

Co należy wiedzieć:

  • Dołączenie hybrydowe firmy Microsoft Entra dla urządzeń z systemem Windows działa nieco inaczej niż w systemie Windows 10 lub nowszym. Wielu klientów nie zdaje sobie sprawy, że potrzebują usług AD FS (dla domen federacyjnych) ani bezproblemowego logowania jednokrotnego skonfigurowanego (dla domen zarządzanych).
  • Bezproblemowe logowanie jednokrotne nie działa w trybie przeglądania prywatnego w przeglądarkach Firefox i Microsoft Edge. Nie działa również w programie Internet Explorer, jeśli przeglądarka jest uruchomiona w trybie rozszerzonym chronionym lub jeśli konfiguracja zwiększonych zabezpieczeń jest włączona.
  • W przypadku klientów z domenami federacyjnymi, jeśli punkt usługi Połączenie ion (SCP) został skonfigurowany tak, aby wskazywał nazwę domeny zarządzanej (na przykład contoso.onmicrosoft.com, zamiast contoso.com), dołączanie hybrydowe firmy Microsoft Entra dla urządzeń z systemem Windows nie działa.
  • To samo urządzenie fizyczne jest wyświetlane wiele razy w elemencie Microsoft Entra ID, gdy wielu użytkowników domeny loguje się na urządzeniach dołączonych hybrydowo do firmy Microsoft Entra. Jeśli na przykład jdoe i jharnett logują się do urządzenia, zostanie utworzona oddzielna rejestracja (DeviceID) dla każdego z nich na karcie informacje o użytkowniku.
  • Możesz również uzyskać wiele wpisów dla urządzenia na karcie informacji o użytkowniku z powodu ponownej instalacji systemu operacyjnego lub ręcznej ponownej rejestracji.
  • Początkowa rejestracja/sprzężenie urządzeń jest skonfigurowana do wykonania próby zalogowania się lub blokady/odblokowania. Może wystąpić 5-minutowe opóźnienie wyzwalane przez zadanie harmonogramu zadań.
  • Upewnij się, że KB4284842 jest zainstalowana w systemie Windows 7 z dodatkiem SP1 lub Windows Server 2008 R2 z dodatkiem SP1. Ta aktualizacja zapobiega przyszłym niepowodzeniu uwierzytelniania z powodu utraty dostępu klienta do kluczy chronionych po zmianie hasła.
  • Przyłączanie hybrydowe firmy Microsoft Entra może zakończyć się niepowodzeniem po zmianie nazwy UPN użytkownika, co przerywa proces bezproblemowego uwierzytelniania za pomocą logowania jednokrotnego. Podczas procesu dołączania może się okazać, że nadal wysyła starą nazwę UPN do identyfikatora Entra firmy Microsoft, chyba że pliki cookie sesji przeglądarki zostaną wyczyszczone lub użytkownik jawnie wywyrejeduje się i usunie starą nazwę UPN.

Krok 1. Pobieranie stanu rejestracji

Aby sprawdzić stan rejestracji:

  1. Zaloguj się przy użyciu konta użytkownika, które przeprowadziło dołączenie hybrydowe firmy Microsoft Entra.
  2. Otwórz wiersz polecenia
  3. Wpisz "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

To polecenie wyświetla okno dialogowe zawierające szczegółowe informacje o stanie sprzężenia.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Krok 2. Ocena stanu przyłączania hybrydowego firmy Microsoft Entra

Jeśli urządzenie nie zostało dołączone hybrydą firmy Microsoft Entra, możesz podjąć próbę dołączenia hybrydowego firmy Microsoft Entra, klikając przycisk "Dołącz". Jeśli próba dołączenia hybrydowego firmy Microsoft Entra zakończy się niepowodzeniem, zostaną wyświetlone szczegółowe informacje o niepowodzeniu.

Najczęstsze problemy to:

  • Błędnie skonfigurowane usługi AD FS lub Microsoft Entra ID lub problemy z siecią

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Program Autoworkplace.exe nie może przeprowadzić dyskretnego uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft lub usług AD FS. Ten problem może być spowodowany brakiem lub błędną konfiguracją usług AD FS (w przypadku domen federacyjnych) lub brakiem lub błędnie skonfigurowanym logowaniem jednokrotnym firmy Microsoft Entra (w przypadku domen zarządzanych) lub problemami z siecią.
    • Może się okazać, że uwierzytelnianie wieloskładnikowe (MFA) jest włączone/skonfigurowane dla użytkownika, a WIAORMULTIAUTHN nie jest skonfigurowany na serwerze usług AD FS.
    • Inną możliwością jest to, że strona odnajdywania obszaru macierzystego (HRD) oczekuje na interakcję użytkownika, co uniemożliwia autoworkplace.exe dyskretne żądanie tokenu.
    • Może się okazać, że w strefie intranetowej programu IE na kliencie brakuje adresów URL usług AD FS i Microsoft Entra.
    • Problemy z łącznością sieciową mogą uniemożliwiać programowi autoworkplace.exe dotarcie do usług AD FS lub adresów URL usługi Microsoft Entra.
    • Narzędzie Autoworkplace.exe wymaga, aby klient miał bezpośredni widok od klienta do lokalnego kontrolera domeny usługi AD organizacji, co oznacza, że dołączenie hybrydowe firmy Microsoft Entra powiedzie się tylko wtedy, gdy klient jest połączony z intranetem organizacji.
    • Jeśli Twoja organizacja korzysta z bezproblemowego logowania jednokrotnego firmy Microsoft, https://autologon.microsoftazuread-sso.com nie jest obecny w ustawieniach intranetu IE urządzenia.
    • Ustawienie internetowe Do not save encrypted pages to disk jest zaznaczone.

  • Użytkownik domeny nie jest zalogowany

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Istnieje kilka różnych powodów, dla których ten problem może wystąpić:

    • Zalogowany użytkownik nie jest użytkownikiem domeny (na przykład użytkownikiem lokalnym). Dołączanie hybrydowe firmy Microsoft Entra na urządzeniach na poziomie podrzędnym jest obsługiwane tylko dla użytkowników domeny.
    • Klient nie może nawiązać połączenia z kontrolerem domeny.

  • Osiągnięto limit przydziału

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Usługa nie odpowiada

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Informacje o stanie można również znaleźć w dzienniku zdarzeń w obszarze: Dziennik aplikacji i usług\Microsoft-Workplace Join

Najczęstsze przyczyny niepowodzenia dołączania hybrydowego firmy Microsoft Entra to:

  • Komputer nie jest połączony z siecią wewnętrzną organizacji ani z siecią VPN z połączeniem z lokalnym kontrolerem domeny usługi AD.
  • Zalogowano się na komputerze przy użyciu konta komputera lokalnego.
  • Problemy z konfiguracją usługi:
    • Serwer usług AD FS nie został skonfigurowany do obsługi WIAORMULTIAUTHN.
    • Las komputera nie ma obiektu service Połączenie ion Point wskazującego zweryfikowaną nazwę domeny w identyfikatorze Entra firmy Microsoft
    • Jeśli domena jest zarządzana, bezproblemowe logowanie jednokrotne nie zostało skonfigurowane ani nie działa.
    • Użytkownik osiągnął limit urządzeń.

Następne kroki