Rozwiązywanie problemów ze współzarządzaniem: automatyczne rejestrowanie istniejących urządzeń zarządzanych Configuration Manager w Intune

Ten artykuł ułatwia zrozumienie i rozwiązywanie problemów, które mogą wystąpić podczas konfigurowania współzarządzania przez automatyczne rejestrowanie istniejących urządzeń zarządzanych Configuration Manager w Intune.

W tym scenariuszu można nadal zarządzać urządzeniami Windows 10 przy użyciu Configuration Manager lub selektywnie przenosić obciążenia do Microsoft Intune zgodnie z potrzebami. Aby uzyskać więcej informacji o sposobie konfigurowania obciążeń, zobacz Porada pomocy technicznej: Konfigurowanie obciążeń w środowisku współzarządzanym.

Przed rozpoczęciem

Przed rozpoczęciem rozwiązywania problemów należy zebrać podstawowe informacje o problemie i upewnić się, że są wykonywane wszystkie wymagane kroki konfiguracji. Pomaga lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania. Aby to zrobić, postępuj zgodnie z tą listą kontrolną pytań wstępnych dotyczących rozwiązywania problemów:

• Czy masz wymagane uprawnienia i role do konfigurowania współzarządzania?
• Którą Microsoft Entra opcję tożsamości hybrydowej wybrano?
• Jaki jest twój bieżący urząd MDM?
• Czy zainstalowano i skonfigurowano program Microsoft Entra Connect?
• Czy przypisano licencję Tożsamość Microsoft Entra P1 lub P2 do nazwy UPN używanej do konfiguracji?
• Czy przypisano użytkownikom licencje Intune?
• Czy skonfigurowano Microsoft Entra przyłączanie hybrydowe dla domen zarządzanych lub domen federacyjnych?
• Czy skonfigurowano ustawienia agenta klienta Configuration Manager dla Microsoft Entra sprzężenia hybrydowego?
• Czy skonfigurowano automatyczną rejestrację w dzierżawie Intune?
• Czy włączono współzarządzanie w Configuration Manager?

Większość problemów występuje, ponieważ co najmniej jeden z tych kroków nie został ukończony. Jeśli okaże się, że krok został pominięty lub nie został ukończony pomyślnie, sprawdź szczegóły każdego kroku lub zapoznaj się z następującym samouczkiem: Włączanie współzarządzania dla istniejących klientów Configuration Manager.

Użyj następującego pliku dziennika na urządzeniach Windows 10, aby rozwiązać problemy ze współzarządzaniem na kliencie:

%WinDir%\CCM\logs\CoManagementHandler.log

Rozwiązywanie problemów z konfiguracją Microsoft Entra hybrydowej

Jeśli występują problemy wpływające na tożsamość hybrydową Microsoft Entra lub Microsoft Entra Connect, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

• Rozwiązywanie problemów z instalacją programu Microsoft Entra Connect
• Rozwiązywanie problemów z błędami podczas synchronizacji programu Microsoft Entra Connect
• Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi Microsoft Entra Connect Sync
• Rozwiązywanie problemów Microsoft Entra bezproblemowym logowaniem jednokrotnym
• Rozwiązywanie problemów z uwierzytelnianiem z przekazywaniem Microsoft Entra
• Rozwiązywanie problemów z logowaniem jednokrotnym w usłudze Active Directory Federation Services

Jeśli występują problemy wpływające na Microsoft Entra przyłączanie hybrydowe dla domen zarządzanych lub domen federacyjnych, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

• Rozwiązywanie problemów Microsoft Entra urządzeń przyłączonych hybrydowo
• Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd

Typowe problemy

Klienci nie otrzymali zasad z punktu zarządzania Configuration Manager, aby rozpocząć proces rejestracji z Tożsamość Microsoft Entra i Intune

Ten problem występuje z powodu problemu w Configuration Manager, a nie Intune. Aby rozwiązać takie problemy, możesz użyć plików dziennika klienta .

Klient Configuration Manager jest zainstalowany. Jednak urządzenie nie rejestruje się w Tożsamość Microsoft Entra i nie są widoczne żadne błędy

Ten problem zwykle występuje, ponieważ ustawienia agenta klienta Configuration Manager nie są skonfigurowane do kierowania klientów do rejestracji.

Aby rozwiązać ten problem, sprawdź, czy należy wykonać kroki opisane w temacie Konfigurowanie ustawień klienta w celu kierowania klientów do rejestracji w Tożsamość Microsoft Entra.

Klient Configuration Manager jest zainstalowany, a urządzenie zostało pomyślnie zarejestrowane w Tożsamość Microsoft Entra. Jednak urządzenie nie jest automatycznie rejestrowane w Intune i nie są widoczne żadne błędy

Ten problem zwykle występuje, gdy automatyczna rejestracja jest błędnie skonfigurowana w dzierżawie Intune w obszarze Tożsamość Microsoft Entra>Mobilność (MDM i MAM)>Microsoft Intune.

Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Konfigurowanie automatycznej rejestracji urządzeń w celu Intune.

Nie można zlokalizować węzła współzarządzania w obszarze Administracja > Cloud Services w konsoli Configuration Manager

Ten problem występuje, jeśli wersja Configuration Manager jest wcześniejsza niż wersja 1906.

Aby rozwiązać ten problem, zaktualizuj Configuration Manager do wersji 1906 lub nowszej.

Microsoft Entra urządzeń przyłączonych hybrydowo nie można zarejestrować i wygenerować błędu 0x8018002a

W przypadku wystąpienia tego problemu można również zauważyć następujące objawy:

• Następujący komunikat o błędzie jest rejestrowany w dziennikach> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja zaloguj się w Podgląd zdarzeń:

  Automatyczne rejestrowanie mdm: niepowodzenie (nieznany kod błędu Win32: 0x8018002a)

• Następujący komunikat o błędzie jest rejestrowany w dziennikach aplikacji i usług w systemie>Microsoft>Windows>Tożsamość Microsoft Entra>Operational log in the Podgląd zdarzeń:

  Błąd: 0xCAA2000C Żądanie wymaga interakcji z użytkownikiem.
  Kod: interaction_required
  Opis: AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu.

Ten problem występuje, gdy uwierzytelnianie wieloskładnikowe (MFA) jest wymuszane. Uniemożliwia to agentowi klienta Configuration Manager rejestrowanie urządzenia przy użyciu poświadczeń zalogowanego użytkownika.

Uwaga

Istnieje różnica między włączeniem uwierzytelniania wieloskładnikowego a wymuszonym. Aby uzyskać więcej informacji na temat różnicy, zobacz Microsoft Entra stany użytkowników uwierzytelniania wieloskładnikowego. Ten scenariusz działa przez włączenie uwierzytelniania wieloskładnikowego , ale nie wymuszanie uwierzytelniania wieloskładnikowego.

Aby rozwiązać ten problem, użyj jednej z następujących metod:

• Ustaw wartość Uwierzytelnianie wieloskładnikowe na włączone , ale nie wymuszone. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego.
• Tymczasowo wyłącz uwierzytelnianie wieloskładnikowe podczas rejestracji w zaufanych adresach IP.

Nie można zsynchronizować urządzeń po automatycznej rejestracji

Począwszy od wersji Configuration Manager 1906, współzarządzane urządzenie z systemem Windows 10 wersji 1803 lub nowszej automatycznie rejestruje się w usłudze Microsoft Intune na podstawie tokenów urządzenia Microsoft Entra. Jednak synchronizacja urządzenia nie powiedzie się i zostanie wyświetlony następujący komunikat o błędzie w obszarze Ustawienia>Konta>Dostęp do pracy lub szkoły:

Synchronizacja nie powiodła się w pełni, ponieważ nie można zweryfikować poświadczeń. Wybierz pozycję Synchronizuj, aby się zalogować i spróbuj ponownie.

W przypadku wystąpienia tego problemu następujący komunikat o błędzie jest rejestrowany w dziennikach> aplikacji i usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja zaloguj się w Podgląd zdarzeń:

Sesja mdm: nie można uzyskać tokenu Microsoft Entra dla tokenu użytkownika sesji synchronizacji: (nieznany kod błędu Win32: 0xcaa2000c) Token urządzenia: (nieprawidłowa funkcja).

Następujący komunikat o błędzie jest rejestrowany w dziennikach aplikacji i usług w systemie>Microsoft>Windows>Tożsamość Microsoft Entra>Operational log in the Podgląd zdarzeń:

Błąd: 0xCAA2000C Żądanie wymaga interakcji z użytkownikiem.
Kod: interaction_required
Opis: AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu.

Ten problem występuje, gdy uwierzytelnianie wieloskładnikowe jest włączone, wymuszone lub Microsoft Entra zasady dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego, są stosowane do wszystkich aplikacji w chmurze. Uniemożliwia skojarzenie użytkownika z urządzeniem w portalu.

Aby rozwiązać ten problem, użyj jednej z następujących metod:

• Jeśli uwierzytelnianie wieloskładnikowe jest włączone lub wymuszone:
  • Ustaw wartość Uwierzytelnianie wieloskładnikowe na Wyłączone. Aby uzyskać więcej informacji, zobacz Wyłączanie starszej wersji uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.
  • Pomiń uwierzytelnianie wieloskładnikowe przy użyciu zaufanych adresów IP.
• Jeśli Microsoft Entra są używane zasady dostępu warunkowego, wyklucz aplikację Microsoft Intune z zasad, które wymagają uwierzytelniania wieloskładnikowego, aby zezwolić na synchronizację urządzeń przy użyciu poświadczeń użytkownika.

Urządzenie Windows 10 przyłączone hybrydowo Microsoft Entra nie może zarejestrować się w Intune z błędem 0x800706D9 lub 0x80180023

W przypadku wystąpienia tego problemu zazwyczaj w dziennikach> aplikacji i usług jest wyświetlany następujący komunikat o błędzieMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administracja zaloguj się w Podgląd zdarzeń:

Rejestrowanie mdm: konfiguracja klienta OMA-DM nie powiodła się. RAWResult: (0x800706D9) Wynik: (Nieznany kod błędu Win32: 0x80180023).
Rejestrowanie mdm: aprowizowanie nie powiodło się. Wynik: (Nieznany kod błędu Win32: 0x80180023).
Rejestrowanie mdm: niepowodzenie (nieznany kod błędu Win32: 0x80180023)
Automatyczne rejestrowanie mdm: poświadczenie urządzenia (0x80180023), niepowodzenie (%2)
Wyrejestrowywać mdm: błąd wysyłania alertu wyrejestrowywać do serwera. Wynik: (Nieprawidłowa funkcja).).
Wyrejestrowywanie mdm: zmiana typu uruchamiania dmwappushservice na żądanie nie powiodła się. Wynik: (Określona usługa nie istnieje jako zainstalowana usługa).

Ten problem występuje, dmwappushservice jeśli brakuje usługi na urządzeniu. Aby to sprawdzić, uruchom polecenie services.msc , aby wyszukać tę usługę.

Aby rozwiązać ten problem, wykonaj następujące czynności:

1. Na działającym urządzeniu z uruchomioną tą samą wersją Windows 10 co urządzenie, którego dotyczy problem, wyeksportuj następujący klucz rejestru:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Zaloguj się do urządzenia, którego dotyczy problem, jako administrator lokalny, skopiuj plik .reg na urządzenie, którego dotyczy problem, a następnie scal go z rejestrem lokalnym.

3. Uruchom ponownie urządzenie, którego dotyczy problem.

4. Usuń starą rejestrację Microsoft Entra, a następnie zaktualizuj zasady grupy.

5. Ponownie uruchom urządzenie, którego dotyczy problem. Urządzenie powinno mieć możliwość automatycznego rejestrowania się w Tożsamość Microsoft Entra i rejestrowania w Intune.

Microsoft Entra przyłączanie hybrydowe kończy się niepowodzeniem w domenie zarządzanej z błędem 0x801c03f2

Po uruchomieniu dsregcmd /status z wiersza polecenia na urządzeniu widać, że jest przyłączona do domeny, ale nie Microsoft Entra przyłączona hybrydowo. Następujący komunikat o błędzie jest rejestrowany w dziennikach> aplikacji i usługRejestracji> urządzeń użytkownika systemuMicrosoft>Windows>Administracja zaloguj się w Podgląd zdarzeń:

Odpowiedź serwera brzmiała: {"ErrorType":"DirectoryError","Message":"Certyfikat użytkownika klucza publicznego nie został znaleziony w obiekcie urządzenia o identyfikatorze <DeviceID>".

Ten problem występuje w jednej z następujących sytuacji:

• Brak obiektu urządzenia w Tożsamość Microsoft Entra.
• Atrybut Usercertificate nie ma certyfikatu urządzenia w lokalna usługa Active Directory lub Tożsamość Microsoft Entra.

Aby Windows 10 rejestracja urządzenia działała w domenie zarządzanej, należy najpierw zsynchronizować obiekt urządzenia. Proces rejestracji działa w następujący sposób:

• Urządzenie Windows 10 jest uruchamiane po raz pierwszy po dołączeniu do domeny lokalnej.
• Rejestracja urządzenia jest wyzwalana i tworzone jest żądanie certyfikatu.
• Po utworzeniu żądania klucz publiczny certyfikatu jest publikowany w lokalnej usłudze AD dla obiektu urządzenia. Spowoduje to zaktualizowanie atrybutu Usercertificate obiektów urządzenia. Jednocześnie podpisane żądanie rejestracji urządzenia jest wysyłane do Tożsamość Microsoft Entra.
• Rejestracja kończy się niepowodzeniem, ponieważ Tożsamość Microsoft Entra nie może uwierzytelnić obiektu urządzenia ani zweryfikować podpisanego żądania.
• Przy następnym uruchomieniu cyklu synchronizacji znajduje obiekt urządzenia z wypełnionym atrybutem Usercertificate i synchronizuje obiekt urządzenia z Tożsamość Microsoft Entra.
• Przy następnym wyzwoleniu usługi rejestracji (co godzinę) urządzenie wyśle nowe żądanie podpisane przy użyciu klucza prywatnego.
• Platforma Azure weryfikuje podpis żądania przy użyciu certyfikatu publicznego, który został odebrany z domeny lokalnej podczas cyklu synchronizacji. Jeśli Tożsamość Microsoft Entra może zweryfikować podpis na żądaniu, rejestracja urządzenia zakończy się pomyślnie.

Aby rozwiązać ten problem, wykonaj poniższe kroki:

1. W lokalnej usłudze AD upewnij się, że Usercertificate atrybut jest wypełniony i ma prawidłowy certyfikat.

2. Sprawdź obiekt urządzenia zaplecza i upewnij się, że Usercertificate atrybut istnieje i jest wypełniony.

3. Jeśli brakuje certyfikatu lub ktoś usunął certyfikat z lokalnej usługi AD (co z kolei powoduje usunięcie certyfikatu z Tożsamość Microsoft Entra), rejestracja urządzenia zakończy się niepowodzeniem. Aby rozwiązać ten problem, wykonaj następujące czynności na urządzeniu klienckim:

   1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie:

      dsregcmd /leave
      

   2. Uruchom polecenie certlm.msc , aby otworzyć magazyn certyfikatów komputera lokalnego.

   3. Upewnij się, że certyfikat komputera wystawiony przez program MS-Organization-Access został usunięty.

   4. Uruchom ponownie urządzenie klienckie, aby wyzwolić nową rejestrację urządzenia.

   5. Po ponownym uruchomieniu urządzenia upewnij się, że nowy klucz publiczny certyfikatu został zaktualizowany w obiekcie urządzenia w lokalnej usłudze AD. Jeśli istnieje wiele kontrolerów domeny, upewnij się, że atrybut jest replikowany do wszystkich kontrolerów domeny.

   6. Wyzwalanie synchronizacji różnicowej na serwerze Microsoft Entra Connect.

   7. Po zakończeniu synchronizacji można wyzwolić rejestrację urządzenia, uruchamiając ponownie klienta, uruchamiając dsregcmd /debug polecenie lub uruchamiając zaplanowane zadanie Automatic-Device-Join w obszarze Dołączanie do miejsca pracy.

Automatyczna rejestracja urządzenia kończy się niepowodzeniem z powodu błędu 0x80280036

W przypadku wystąpienia tego problemu następujący komunikat o błędzie jest rejestrowany w dziennikach> aplikacji i usługrejestracji>urządzeń użytkownika systemuMicrosoft> Windows >Administracja zaloguj się w Podgląd zdarzeń:

DeviceRegistrationApi::BeginJoin nie powiodło się z kodem błędu: 0x80280036

Opis:
Inicjowanie żądania przyłączenia nie powiodło się z kodem zakończenia: moduł TPM próbuje wykonać polecenie dostępne tylko w trybie FIPS.

Ten problem występuje, jeśli mikroukład modułu TPM na urządzeniu klienckim ma włączony tryb FIPS. Tryb FIPS nie jest obsługiwany ani zalecany w przypadku rejestracji urządzeń platformy Azure. Aby uzyskać więcej informacji, zobacz Dlaczego nie zalecamy już "trybu FIPS".

Microsoft Entra przyłączanie hybrydowe kończy się niepowodzeniem z powodu błędu 0x80090016

Rejestracja Microsoft Entra hybrydowej urządzenia Windows 10 kończy się niepowodzeniem i zostanie wyświetlony następujący komunikat o błędzie:

Wystąpił problem. Upewnij się, że używasz prawidłowych informacji logowania i że twoja organizacja korzysta z tej funkcji. Możesz spróbować zrobić to ponownie lub skontaktować się z administratorem systemu przy użyciu kodu błędu 0x80090016

Komunikat o błędzie 0x80090016 to Zestaw kluczy nie istnieje. Oznacza to, że rejestracja urządzenia nie może zapisać klucza urządzenia, ponieważ klucze modułu TPM nie były dostępne.

Ten problem występuje, jeśli system Windows nie jest właścicielem modułu TPM. Począwszy od Windows 10, system operacyjny automatycznie inicjuje i przejmuje własność modułu TPM. Jeśli jednak ten proces zakończy się niepowodzeniem, system Windows nie będzie właścicielem i spowoduje problem.

Aby rozwiązać ten problem, wyczyść moduł TPM i uruchom ponownie urządzenie klienckie. Aby wyczyścić moduł TPM, wykonaj następujące kroki:

1. Otwórz aplikację Zabezpieczenia Windows.

2. Wybierz pozycję Zabezpieczenia urządzenia.

3. Wybierz pozycję Szczegóły procesora zabezpieczeń.

4. Wybierz pozycję Rozwiązywanie problemów z procesorem zabezpieczeń.

5. Kliknij pozycję Wyczyść moduł TPM.

   Ważna

   Przed wyczyszczeniem modułu TPM należy pamiętać o następujących kwestiach:

   • Wyczyszczenie modułu TPM może spowodować utratę danych. Utracisz wszystkie utworzone klucze skojarzone z modułem TPM i dane chronione przez te klucze, takie jak wirtualna karta inteligentna, numer PIN logowania lub klucze funkcji BitLocker.
   • Jeśli funkcja BitLocker jest włączona na urządzeniu, przed wyczyszczeniem modułu TPM należy wyłączyć funkcję BitLocker.
   • Upewnij się, że masz metodę tworzenia kopii zapasowej i odzyskiwania dla wszystkich danych chronionych lub zaszyfrowanych przez moduł TPM.

6. Uruchom ponownie urządzenie po wyświetleniu monitu.

   Uwaga

   Podczas ponownego uruchamiania interfejs UEFI może wyświetlić monit o naciśnięcie przycisku w celu potwierdzenia, że chcesz wyczyścić moduł TPM. Po zakończeniu ponownego uruchamiania moduł TPM zostanie automatycznie przygotowany do użycia przez Windows 10.

Po ponownym uruchomieniu urządzenia Microsoft Entra przyłączanie hybrydowe powinno zakończyć się pomyślnie. Aby to sprawdzić, uruchom dsregcmd /status polecenie w wierszu polecenia. Następujący wynik wskazuje pomyślne sprzężenia:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z modułem TPM.

Więcej informacji

Aby uzyskać więcej informacji na temat rozwiązywania problemów ze współzarządzaniem, zobacz następujące artykuły:

• Rozwiązywanie problemów ze współzarządzaniem: Uruchamianie przy użyciu nowoczesnej aprowizacji
• Rozwiązywanie problemów z obciążeniami współzarządzania

Aby uzyskać więcej informacji na temat współzarządzania Intune i Configuration Manager, zobacz następujące artykuły:

• Omówienie współzarządzania Windows 10
• Wprowadzenie: Ścieżki do współzarządzania
• Przewodniki Szybki start dotyczące współzarządzania
• Samouczek: włączanie współzarządzania istniejącymi klientami Configuration Manager