Solução de problemas de cogerenciamento: Bootstrap com provisionamento moderno

Este artigo ajuda você a entender e solucionar problemas que você pode encontrar ao configurar o cogerenciamento tomando o caminho 2: Inicializar o cliente Configuration Manager com provisionamento moderno.

Esse cenário ocorre quando você tem novos dispositivos Windows 10 que ingressam Microsoft Entra ID e se registram automaticamente no Intune e, em seguida, você instala o Configuration Manager cliente para alcançar um estado de cogerenciamento.

Antes de começar

Antes de iniciar a solução de problemas, é importante coletar algumas informações básicas sobre o problema e verificar se você segue todas as etapas de configuração necessárias. Isso ajuda você a entender melhor o problema e reduzir o tempo para encontrar uma resolução. Para fazer isso, siga esta lista de verificação de perguntas pré-solução de problemas:

• Qual Microsoft Entra opção de identidade híbrida você selecionou?
• Qual é a autoridade de MDM atual?
• Você configurou HTTP aprimorado?
• Você criou os serviços de nuvem no Azure?
• Você configurou o CMG (gateway de gerenciamento de nuvem)?
• Você configurou funções voltadas para o cliente para tráfego CMG?
• Instalou o cliente Configuration Manager no Intune?

A maioria dos problemas ocorre porque uma ou mais dessas etapas não foram concluídas. Se você descobrir que uma etapa foi ignorada ou não foi concluída com êxito, marcar os detalhes de cada etapa ou veja o tutorial a seguir:

Tutorial: Habilitar o cogerenciamento para clientes provisionados modernos

Solução de problemas de configuração de Microsoft Entra híbrida

Se você estiver enfrentando problemas que afetam Microsoft Entra identidade híbrida ou Microsoft Entra Connect, consulte os seguintes guias de solução de problemas:

• Solucionar problemas de instalação do Microsoft Entra Connect
• Solucionar problemas de erros durante a sincronização do Connect Microsoft Entra
• Solucionar problemas de sincronização de hash de senha com Microsoft Entra Connect Sync
• Solucionar problemas Microsoft Entra logon único contínuo
• Solucionar problemas Microsoft Entra autenticação de passagem
• Solucionar problemas de logon único com Serviços de Federação do Active Directory (AD FS)

Se você estiver enfrentando problemas que afetam Microsoft Entra junção híbrida para domínios gerenciados ou domínios federados, consulte os seguintes guias de solução de problemas:

• Solução de problemas Microsoft Entra dispositivos híbridos ingressados
• Solução de problemas de dispositivos usando o comando dsregcmd

Perguntas frequentes

Quais funções preciso para configurar o cogerenciamento?

Aqui estão as permissões e funções necessárias para configurar o cogerenciamento.

De que log posso usar para validar cargas de trabalho e determinar de onde vêm políticas e aplicativos em um cenário de cogerenciamento?

Você pode usar o seguinte arquivo de log em dispositivos Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Como fazer validar que meu serviço de nuvem tem um nome DNS exclusivo?

Para fazer isso, siga estas etapas:

1. Entre no portal do Azure, vá para Todos os Serviços>Serviços de Nuvem (Clássico)e clique em Adicionar.
2. No campo nome do DNS , insira um nome que você deseja usar.
3. Quando você tiver um nome disponível para você usar, observe-o sem criá-lo no painel Serviço de Nuvem .
4. Crie um registro CNAME que mapeie seu domínio para <name.cloudapp.net> em servidores DNS internos e externos.

Onde posso encontrar o MSI de configuração do cliente Configuration Manager?

Você pode encontrar o arquivo ccmsetup.msi na seguinte pasta no servidor do site Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Como fazer verificar a implantação do cliente Configuration Manager de Intune para os dispositivos Windows 10 gerenciados?

Para verificar a implantação, siga estas etapas no dispositivo Windows 10:

1. Abra Explorador de Arquivos e vá para %WinDir%\CCM\logs.
2. Abra o arquivo ADALOperationProvider.log com o CMTrace e procure o token Getting Microsoft Entra ID (User) e o token Getting Microsoft Entra ID (dispositivo) para verificar os tokens.
3. No CMTrace, abra o arquivo CoManagementHandler.log, procure Dispositivo já está registrado com MDM e Dispositivo Provisionado para verificar o registro.
4. Abra Painel de Controle, digite Configuration Manager na caixa de pesquisa e selecione-a.
5. Selecione a guia Geral e verifique o ponto de gerenciamento atribuído.
6. Selecione a guia Rede e verifique o ponto de gerenciamento baseado na Internet.

Problemas comuns

Configuration Manager permite apenas um ponto de gerenciamento habilitado para HTTPS para Microsoft Entra clientes ingressados

Esse problema ocorrerá se você usar Configuration Manager branch atual versão 1802 ou uma versão anterior. Nessas versões, os pontos de gerenciamento habilitados para CMG devem ser HTTPS. A partir da versão 1806, o ponto de gerenciamento pode ser HTTP.

Para corrigir o problema, atualize para Configuration Manager branch atual versão 1806 ou uma versão posterior.

Se os certificados PKI ainda são uma opção válida em vez de HTTP aprimorado

Os certificados PKI ainda são uma opção válida para você, mas eles têm os seguintes requisitos:

• Toda a comunicação do cliente é feita por meio do HTTPS.
• Você deve ter controle avançado da infraestrutura de assinatura.

Para obter mais informações, consulte HTTP aprimorado.

Não consigo encontrar a guia Comunicação do Computador Cliente na Configuração do Site

A partir de Configuration Manager branch atual versão 1906, essa guia é renomeada para Segurança de Comunicação.

A opção Usar certificados gerados por Configuration Manager para sistemas de sites HTTP está habilitada, mas nenhum certificado é recebido

Esse comportamento é esperado. Pode levar até 30 minutos para que o ponto de gerenciamento receba e configure o novo certificado do site. Você pode usar o seguinte log para rastrear, monitorar e verificar isso:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Os registros dos recursos e suas informações associadas de Microsoft Entra ID não são criados no banco de dados Configuration Manager

Quando você integra o site de Gerenciamento de Configurações para Microsoft Entra ID, os recursos de Microsoft Entra usuário não são descobertos ou preenchidos no banco de dados Configuration Manager. Normalmente, você recebe o erro 0x87d00231 nesse cenário.

Esse problema ocorre em uma das seguintes situações:

• Você não configurou com êxito as permissões de API para o registro do aplicativo no portal do Azure.
• Microsoft Entra descoberta de usuário não está habilitada ou configurada.

Para corrigir o problema, siga as etapas em Microsoft Entra descoberta do usuário para configurar permissões de API e Microsoft Entra descoberta do usuário. Você pode usar os seguintes logs para marcar detalhes:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log no servidor do site
• %WinDir%\CCM\logs\CcmMessaging.log no cliente
• %WinDir%\CCM\logs\LocationServices.log no cliente

Observação

Se o site Configuration Manager for novo ou recentemente reconstruído, você também deverá configurar a Descoberta de Usuário do Active Directory.

CoManagementHandler.log mostra o temporizador de registro em fila para disparar em...

O arquivo ADALOperationProvider.log nos dispositivos Windows mostra o token Getting Microsoft Entra ID (User) e o token Getting Microsoft Entra ID (dispositivo). No entanto, o dispositivo não está registrado e a última linha no CoManagementHandler.log está enfileirando o temporizador de registro para disparar em....

Esse comportamento é esperado em Configuration Manager versão atual do branch 1806 e versões posteriores. A partir da versão 1806, o registro automático não é imediato para todos os clientes. Esse comportamento ajuda o registro a escalar melhor para ambientes grandes. Configuration Manager randomiza o registro com base no número de clientes. Por exemplo, se o ambiente tiver 100.000 clientes, o registro poderá ocorrer ao longo de vários dias.

Para monitorar o cogerenciamento, acesse Monitoramento>cogerenciamento no console Configuration Manager.

Copiei o comando de instalação do cliente personalizado do console Configuration Manager, mas o Configuration Manager cliente não pode ser instalado

Esse problema ocorre em uma das seguintes situações:

• Os parâmetros de instalação no comando não estão em conformidade com os valores com suporte.
• O comprimento da linha de comando é maior que 1.024 caracteres.

Para corrigir o problema, verifique se o comando atende ao requisito e a linha de comando não tem mais de 1.024 caracteres.

Configuration Manager estado do agente não é íntegro em Intune

Intune avalia o estado do agente Configuration Manager com base nos ClientHealthLastSyncTime valores e ClientHealthStatus na subchave do registro a seguir:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

A seguir estão os valores possíveis de ClientHealthStatus:

• 1: Cliente instalado
• 2: Cliente registrado
• 5: Cliente instalado, mas ainda não executou Avaliação de Integridade
• 7: Cliente íntegro
• 8: Erro de instalação ou atualização do cliente
• 16: Erro de comunicação no ponto de gerenciamento

Se o ClientHealthStatus valor for 7 (íntegro), Intune considerará o Configuration Manager cliente como íntegro se o ClientHealthLastSyncTime não tiver mais de 30 dias.

Se o ClientHealthStatus valor não for 7 (não íntegro), Intune considerará o Configuration Manager cliente como íntegro se o ClientHealthLastSyncTime não tiver mais de 48 horas.

O ClientHealthLastSyncTime valor é atualizado pelo componente Notificação do Cliente de Configuration Manager cliente e o arquivo de log é CcmNotificationAgent.log.

Para solucionar esse problema, marcar o arquivo CcmNotificationAgent.log se o ClientHealthLastSyncTime não estiver atualizado. Veja um exemplo:

Atualizando MDM_ConfigSetting.ClientHealthLastSyncTime com o valor 2019-04-01T21:42:51Z BgbAgent 02/04/2019 8:42:51 AM 9476 (0x2504)

Se o ClientHealthLastSyncTime valor estiver atualizado, mas o último marcar-in do agente Configuration Manager for 2/1/1900 em Intune, isso significa que a carga de trabalho de políticas de conformidade do dispositivo é gerenciada por Configuration Manager. Nesse caso, alterne a carga de trabalho de políticas de conformidade para Intune ou pilot Intune.

O ponto de conexão CMG mostra como desconectado

O problema ocorre devido a um problema de permissões entre o sistema de site remoto em que a função de ponto de conexão CMG está instalada e o site primário.

O sistema de site remoto coleta o TrafficData relatório do CMG e envia os dados para o site primário por meio de mensagens de estado. Aqui está um snippet de log de exemplo de SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData – mensagem de estado a ser enviada: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequestBytes="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~

Como o sistema de site remoto também é um ponto de gerenciamento, essas mensagens de estado são movidas para uma caixa de saída acessada pelo MP File Dispatch Manager que envia os arquivos para o site primário. Aqui está um snippet de log de exemplo de mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Movendo 1 *. Arquivo SMX de C:\SMS\MP\OUTBOXES\statemsg.box\ para \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Arquivo movido C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX para \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Quando há um problema de permissão, o Mp File Dispatch Manager não pode acessar as caixas de entrada no site primário e registra o seguinte erro no mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: não é possível se conectar à fonte da caixa de entrada, dormir 30 segundos e tentar novamente.

Para corrigir o problema, adicione a conta do computador do sistema de sites remoto ao grupo Administradores Locais no site primário.

Os clientes não podem localizar o ponto de gerenciamento usando o CMG e você recebe o erro 403

Quando esse problema ocorre, o seguinte erro é registrado em LocationServices.log no cliente:

[CCMHTTP] INFORMAÇÕES DE ERRO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Além disso, o seguinte erro é registrado em SMS_Cloud_ProxyConnector.log no servidor de ponto de conexão CMG:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Se o servidor de ponto de conexão CMG tiver um certificado de autenticação de cliente válido, a causa mais possível será a falha na validação da CRL (Lista de Revogação de Certificado) para o certificado. Se esse for o caso, você receberá o erro 0x87d0027e e o seguinte erro será registrado no log de eventos CAPI2:

A função de revogação não pôde marcar revogação porque o servidor de revogação estava offline. 80092013

Além disso, se você habilitar o log verboso definindo o valor do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging registro como 1, as entradas de erro que se assemelham ao seguinte serão registradas no SMS_Cloud_ProxyConnector.log:

Certificação com falha no build de cadeia: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Cadeia 0 status: RevocationStatusUnknown
Cadeia 1 status: OfflineRevocation
Certificado de falha do build da cadeia: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Cadeia 0 status: RevocationStatusUnknown
Cadeia 1 status: OfflineRevocation
Certificado não permitido: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1D16A556AB77932B63DE8795BBC4616
Contagem de certificação filtrada com AC raiz permitida e tem chave privada: 0
Contagem de certificação filtrada com auth do cliente: 0

Recomendamos que, em vez de desabilitar automaticamente a verificação de CRL, primeiro verifique se ela funciona. No entanto, se você não conseguir que a verificação de CRL funcione corretamente, desabilite temporariamente a verificação de CRL para pontos de conexão CMG. Isso permite que um certificado de cliente seja selecionado sem executar a verificação de CRL e habilita a comunicação com o ponto de gerenciamento.

Mais informações

Para obter mais informações sobre como solucionar problemas de cogerenciamento, confira os seguintes artigos:

• Solucionar problemas de cogerenciamento: registrar automaticamente dispositivos gerenciados por Configuration Manager existentes em Intune
• Solucionar problemas de cargas de trabalho de cogerenciamento

Para obter mais informações sobre Intune e Configuration Manager cogerenciamento, confira os seguintes artigos:

• Visão geral do cogerenciamento de Windows 10
• Introdução: caminhos para o cogerenciamento
• Inícios rápidos para o cogerenciamento
• Tutorial: habilite o cogerenciamento para clientes existentes do Configuration Manager
• Como preparar dispositivos baseados na Internet para o cogerenciamento