Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления путем автоматической регистрации существующих устройств, управляемых Configuration Manager, в Intune.

В этом сценарии можно продолжать управлять Windows 10 устройствами с помощью Configuration Manager или выборочно перемещать рабочие нагрузки в Microsoft Intune по желанию. Дополнительные сведения о настройке рабочих нагрузок см. в разделе Совет по поддержке: Настройка рабочих нагрузок в совместно управляемой среде.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и выполнить все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время на поиск решения. Для этого выполните указанный ниже контрольный список вопросов по устранению неполадок.

Большинство проблем возникают из-за того, что один или несколько из этих шагов не были выполнены. Если вы обнаружите, что шаг был пропущен или не был успешно завершен, ознакомьтесь с подробными сведениями о каждом шаге или ознакомьтесь со следующим руководством: Включение совместного управления для существующих Configuration Manager клиентов.

Используйте следующий файл журнала на Windows 10 устройствах для устранения проблем совместного управления на клиенте:

%WinDir%\CCM\logs\CoManagementHandler.log

Устранение неполадок конфигурации гибридной Azure AD

Если у вас возникли проблемы, влияющие на Azure AD гибридное удостоверение или Azure AD подключение, ознакомьтесь со следующими руководствами по устранению неполадок.

Если возникают проблемы, влияющие на гибридное Azure AD присоединение для управляемых или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок.

Распространенные проблемы

Клиенты не получили политику из точки управления Configuration Manager, чтобы начать процесс регистрации с Azure AD и Intune

Эта проблема возникает из-за проблемы в Configuration Manager, а не в Intune. Для устранения таких проблем можно использовать файлы журнала клиента .

Установлен клиент Configuration Manager. Однако устройство не регистрируется в Azure AD и ошибки не отображаются

Эта проблема обычно возникает из-за того, что параметры агента клиента Configuration Manager не настроены для направления клиентов на регистрацию.

Чтобы устранить эту проблему, убедитесь, что вы выполните действия, описанные в разделе Настройка параметров клиента для прямой регистрации клиентов с помощью Azure AD.

Клиент Configuration Manager установлен, и устройство успешно зарегистрировано в Azure AD. Однако устройство не регистрируется автоматически в Intune и ошибки не отображаются.

Эта проблема обычно возникает, если автоматическая регистрация неправильно настроена в клиенте Intune в azure Active Directory>Mobility (MDM и MAM)>Microsoft Intune.

Чтобы устранить эту проблему, выполните действия, описанные в разделе Настройка автоматической регистрации устройств для Intune.

Узел совместного управления не удается найти в разделе Администрирование > Облачные службы в консоли Configuration Manager

Эта проблема возникает, если версия Configuration Manager более ранняя, чем версия 1906.

Чтобы устранить эту проблему, обновите Configuration Manager до версии 1906 или более поздней.

Устройства, присоединенные к гибридным Azure AD, не удается зарегистрировать и создать 0x8018002a ошибок

При возникновении этой проблемы вы также заметите следующие симптомы:

  • Следующее сообщение об ошибке регистрируется в журналах> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:

    Автоматическая регистрация MDM: сбой (неизвестный код ошибки Win32: 0x8018002a)

  • Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>AAD>Operational log в Просмотр событий:

    Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
    Код: interaction_required
    Описание: AADSTS50076: из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает, когда применяется многофакторная проверка подлинности (MFA). Это не позволяет агенту клиента Configuration Manager регистрировать устройство с помощью учетных данных пользователя, выполнившего вход.

Примечание.

Существует разница между включенным и принудительным MFA. Дополнительные сведения о различиях см. в разделе Azure AD состояниях пользователей Многофакторной идентификации. Этот сценарий работает путем включения MFA, но без принудительного применения MFA.

Чтобы устранить проблему, используйте один из следующих методов:

Не удается синхронизировать устройства после автоматической регистрации

Начиная с Configuration Manager версии 1906, совместно управляемое устройство под управлением Windows 10 версии 1803 или более поздней автоматически регистрируется в службе Microsoft Intune на основе маркеров устройств Azure Active Directory (Azure AD). Однако устройство не синхронизируется, и в разделе Параметры> Учетные записиДоступ к рабочей или учебной среде появляетсяследующее сообщение об ошибке>:

Синхронизация не была выполнена полностью, так как мы не смогли проверить ваши учетные данные. Выберите Синхронизировать, чтобы войти и повторить попытку.

Снимок экрана: сообщение синхронизации не полностью успешно.

При возникновении этой проблемы в журналы> приложений и службmicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider регистрируется следующее сообщение об ошибке >Администратор войдите в Просмотр событий:

Сеанс MDM: не удалось получить маркер AAD для маркера пользователя сеанса синхронизации: (Неизвестный код ошибки Win32: 0xcaa2000c) Токен устройства: (неправильная функция).

Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>AAD>Operational log в Просмотр событий:

Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076: из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает, когда MFA включена или принудительно или Azure AD политики условного доступа, требующие MFA, применяются ко всем облачным приложениям. Это предотвращает связь пользователя с устройством на портале.

Снимок экрана: связь с пользователем запрещена.

Чтобы устранить проблему, используйте один из следующих методов:

  • Если многофакторная проверка подлинности включена или принудительно:
  • Если используются политики условного доступа Azure AD, исключите приложение Microsoft Intune из политик, которые требуют многофакторной проверки подлинности, чтобы разрешить синхронизацию устройств с помощью учетных данных пользователя.

Гибридное Azure AD присоединенное устройство Windows 10 не удается зарегистрировать в Intune с ошибкой 0x800706D9 или 0x80180023

При возникновении этой проблемы в журнале> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> обычно отображается следующее сообщение об ошибке Администратор войдите в Просмотр событий:

Регистрация MDM: сбой конфигурации клиента OMA-DM. RAWResult: (0x800706D9) Результат: (Неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой подготовки. Результат: (неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой (неизвестный код ошибки Win32: 0x80180023)
Автоматическая регистрация MDM: учетные данные устройства (0x80180023), сбой (%2)
Отмена регистрации MDM: ошибка при отправке оповещения об отмене регистрации на сервер. Результат: (неправильная функция.).
Отмена регистрации MDM: не удалось изменить тип запуска dmwappushservice на запрос-start. Результат: (указанная служба не существует как установленная служба.)

Эта проблема возникает, dmwappushservice если служба отсутствует на устройстве. Чтобы проверить, выполните команду services.msc , чтобы найти эту службу.

Для устранения данной проблемы выполните следующие действия.

  1. На рабочем устройстве под управлением той же версии Windows 10, что и затронутое устройство, экспортируйте следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

  2. Войдите на затронутое устройство в качестве локального администратора, скопируйте REG-файл на затронутое устройство, а затем объедините его с локальным реестром.

  3. Перезапустите затронутого устройства.

  4. Удалите старую регистрацию Azure AD, а затем обновите групповая политика.

  5. Перезапустите затронутого устройства еще раз. Устройство должно иметь возможность зарегистрировать с помощью Azure AD и зарегистрироваться в Intune автоматически.

Сбой гибридного Azure AD присоединения в управляемом домене с ошибкой 0x801c03f2

При запуске dsregcmd /status из командной строки на устройстве вы увидите, что это присоединение к домену, но не гибридное Azure AD присоединение. В журналы >приложений и службрегистрируется следующее сообщение об ошибкеРегистрация> устройствпользователей Microsoft> Windows >Администратор в Просмотр событий:

Ответ сервера: {"ErrorType":"DirectoryError", "Message":"Сертификат пользователя открытого ключа не найден в объекте устройства с идентификатором <DeviceID>".

Эта проблема возникает в одной из следующих ситуаций:

  • Объект устройства отсутствует в Azure AD.
  • Атрибут Usercertificate не имеет сертификата устройства в локальной среде AD или Azure AD.

Чтобы Windows 10 регистрация устройства работала в управляемом домене, сначала необходимо синхронизировать объект устройства. Процесс регистрации выполняется следующим образом:

  • Устройство Windows 10 запускается в первый раз после присоединения к локальному домену.
  • Регистрация устройства активируется и создается запрос на сертификат.
  • При создании запроса открытый ключ сертификата публикуется в локальной службе AD для объекта устройства. При этом обновляется Usercertificate атрибут объектов устройства. В то же время в Azure AD отправляется подписанный запрос на регистрацию устройства.
  • Регистрация завершается сбоем, так как Azure AD не может проверить подлинность объекта устройства или проверить подписанный запрос.
  • При следующем запуске цикла синхронизации он находит объект устройства с заполненным атрибутом Usercertificate и синхронизирует объект устройства с Azure AD.
  • При следующем запуске службы регистрации (она выполняется каждый час), устройство отправит новый запрос, подписанный закрытым ключом.
  • Azure проверяет подпись в запросе с помощью общедоступного сертификата, полученного из локального домена во время цикла синхронизации. Если Azure AD может проверить подпись в запросе, регистрация устройства будет выполнена успешно.

Для устранения данной проблемы выполните следующие действия:

  1. В локальной среде AD убедитесь, что Usercertificate атрибут заполнен и имеет правильный сертификат.

  2. Проверьте объект внутреннего устройства и убедитесь, что Usercertificate атрибут существует и заполнен.

  3. Если сертификат отсутствует или кто-то удалил его из локальной службы AD (что, в свою очередь, удаляет сертификат из Azure AD), регистрация устройства завершается ошибкой. Чтобы устранить эту проблему, выполните следующие действия на клиентском устройстве:

    1. Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

      dsregcmd /leave
      
    2. Запустите certlm.msc , чтобы открыть хранилище сертификатов локального компьютера.

    3. Убедитесь, что сертификат компьютера, выданный MS-Organization-Access , удален.

    4. Перезапустите клиентское устройство, чтобы активировать новую регистрацию устройства.

    5. После перезапуска устройства убедитесь, что новый открытый ключ сертификата обновлен в объекте устройства в локальной службе AD. Если контроллеров домена несколько, убедитесь, что атрибут реплицируется на все контроллеры домена.

    6. Активируйте разностную синхронизацию на сервере Azure AD Connect.

    7. После завершения синхронизации можно активировать регистрацию устройства, перезапустив клиент, выполнив dsregcmd /debug команду или запустив запланированную задачу Автоматическое присоединение устройства в разделе Присоединение к рабочему месту.

Автоматическая регистрация устройства завершается сбоем с ошибкой 0x80280036

При возникновении этой проблемы в журналы> приложений и службрегистрируетсяследующее сообщение об ошибкеРегистрация> устройств Microsoft >Windows>Администратор войдите в Просмотр событий:

Сбой DeviceRegistrationApi::BeginJoin с кодом ошибки: 0x80280036

Описание:
Сбой инициализации запроса на присоединение с кодом выхода. TPM пытается выполнить команду, доступную только в режиме FIPS.

Эта проблема возникает, если на микросхеме доверенного платформенного модуля на клиентском устройстве включен режим FIPS. Режим FIPS не поддерживается и не рекомендуется для регистрации устройств Azure. Дополнительные сведения см. в разделе Почему мы больше не рекомендуем использовать режим FIPS.

Сбой гибридного Azure AD присоединения с ошибкой 0x80090016

Сбой гибридной Azure AD регистрации устройства Windows 10, и появляется следующее сообщение об ошибке:

Произошла ошибка. Подтвердите, что вы используете правильные сведения для входа и что организация использует эту функцию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки 0x80090016

Сообщение об ошибке 0x80090016 : Набор ключей не существует. Это означает, что при регистрации устройства не удалось сохранить ключ устройства, так как ключи доверенного платформенного модуля не были доступны.

Эта проблема возникает, если Windows не является владельцем доверенного платформенного модуля. Начиная с Windows 10 операционная система автоматически инициализирует TPM и становится владельцем. Однако в случае сбоя этого процесса Windows не будет владельцем и приведет к проблеме.

Чтобы устранить эту проблему, очистите TPM и перезапустите клиентское устройство. Чтобы очистить TPM, выполните следующие действия.

  1. Откройте приложение "Безопасность Windows".

  2. Выберите Безопасность устройства.

  3. Выберите Сведения о обработчике безопасности.

  4. Выберите Устранение неполадок обработчика безопасности.

  5. Щелкните Очистить TPM.

    Важно!

    Перед очисткой доверенного платформенного модуля следует учитывать следующее:

    • Очистка доверенного платформенного модуля может привести к потере данных. Вы потеряете все созданные ключи, связанные с TPM, и данные, защищенные этими ключами, такие как виртуальная смарт-карта, ПИН-код входа или ключи BitLocker.
    • Если bitLocker включен на устройстве, убедитесь, что bitLocker отключен, прежде чем очищать TPM.
    • Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных TPM.
  6. Перезапустите устройство при появлении запроса.

    Примечание.

    Во время перезапуска UEFI может предложить нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM. После завершения перезапуска TPM будет автоматически подготовлен к использованию Windows 10.

После перезапуска устройства гибридное Azure AD присоединение должно быть успешным. Для проверки выполните dsregcmd /status команду в командной строке. Следующий результат указывает на успешное соединение:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Дополнительные сведения см. в статье Устранение неполадок доверенного платформенного модуля.

Дополнительные сведения

Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях: