Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune
Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления путем автоматической регистрации существующих устройств, управляемых Configuration Manager, в Intune.
В этом сценарии можно продолжать управлять Windows 10 устройствами с помощью Configuration Manager или выборочно перемещать рабочие нагрузки в Microsoft Intune по желанию. Дополнительные сведения о настройке рабочих нагрузок см. в разделе Совет по поддержке: Настройка рабочих нагрузок в совместно управляемой среде.
Перед началом работы
Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и выполнить все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время на поиск решения. Для этого выполните указанный ниже контрольный список вопросов по устранению неполадок.
- У вас есть необходимые разрешения и роли для настройки совместного управления?
- Какой вариант гибридного удостоверения Azure Active Directory (Azure AD) вы выбрали?
- Каков ваш текущий центр MDM?
- Вы установили и настроили Azure AD Connect?
- Назначили ли вы лицензию Azure AD Premium имени участника-пользователя, которое использовалось для настройки?
- Вы назначили пользователям Intune лицензии?
- Вы настроили гибридное Azure AD присоединения для управляемых илифедеративных доменов?
- Настроили ли вы параметры агента клиента Configuration Manager для гибридного Azure AD присоединения?
- Вы настроили автоматическую регистрацию в клиенте Intune?
- Вы включили совместное управление в Configuration Manager?
Большинство проблем возникают из-за того, что один или несколько из этих шагов не были выполнены. Если вы обнаружите, что шаг был пропущен или не был успешно завершен, ознакомьтесь с подробными сведениями о каждом шаге или ознакомьтесь со следующим руководством: Включение совместного управления для существующих Configuration Manager клиентов.
Используйте следующий файл журнала на Windows 10 устройствах для устранения проблем совместного управления на клиенте:
%WinDir%\CCM\logs\CoManagementHandler.log
Устранение неполадок конфигурации гибридной Azure AD
Если у вас возникли проблемы, влияющие на Azure AD гибридное удостоверение или Azure AD подключение, ознакомьтесь со следующими руководствами по устранению неполадок.
- Устранение неполадок с установкой Azure AD Connect
- Устранение ошибок при синхронизации Azure AD подключения
- Устранение неполадок синхронизации хэша паролей с помощью синхронизации Azure AD Connect
- Устранение неполадок простого единого входа в Azure Active Directory
- Устранение неполадок с сквозной проверкой подлинности Azure Active Directory
- Устранение неполадок с единым входом в службы федерации Active Directory (AD FS)
Если возникают проблемы, влияющие на гибридное Azure AD присоединение для управляемых или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок.
- Устранение неполадок устройств с гибридным присоединением к Azure Active Directory
- Устройства для устранения неполадок с помощью команды dsregcmd
Распространенные проблемы
Клиенты не получили политику из точки управления Configuration Manager, чтобы начать процесс регистрации с Azure AD и Intune
Эта проблема возникает из-за проблемы в Configuration Manager, а не в Intune. Для устранения таких проблем можно использовать файлы журнала клиента .
Установлен клиент Configuration Manager. Однако устройство не регистрируется в Azure AD и ошибки не отображаются
Эта проблема обычно возникает из-за того, что параметры агента клиента Configuration Manager не настроены для направления клиентов на регистрацию.
Чтобы устранить эту проблему, убедитесь, что вы выполните действия, описанные в разделе Настройка параметров клиента для прямой регистрации клиентов с помощью Azure AD.
Клиент Configuration Manager установлен, и устройство успешно зарегистрировано в Azure AD. Однако устройство не регистрируется автоматически в Intune и ошибки не отображаются.
Эта проблема обычно возникает, если автоматическая регистрация неправильно настроена в клиенте Intune в azure Active Directory>Mobility (MDM и MAM)>Microsoft Intune.
Чтобы устранить эту проблему, выполните действия, описанные в разделе Настройка автоматической регистрации устройств для Intune.
Узел совместного управления не удается найти в разделе Администрирование > Облачные службы в консоли Configuration Manager
Эта проблема возникает, если версия Configuration Manager более ранняя, чем версия 1906.
Чтобы устранить эту проблему, обновите Configuration Manager до версии 1906 или более поздней.
Устройства, присоединенные к гибридным Azure AD, не удается зарегистрировать и создать 0x8018002a ошибок
При возникновении этой проблемы вы также заметите следующие симптомы:
Следующее сообщение об ошибке регистрируется в журналах> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:
Автоматическая регистрация MDM: сбой (неизвестный код ошибки Win32: 0x8018002a)
Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>AAD>Operational log в Просмотр событий:
Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076: из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.
Эта проблема возникает, когда применяется многофакторная проверка подлинности (MFA). Это не позволяет агенту клиента Configuration Manager регистрировать устройство с помощью учетных данных пользователя, выполнившего вход.
Примечание.
Существует разница между включенным и принудительным MFA. Дополнительные сведения о различиях см. в разделе Azure AD состояниях пользователей Многофакторной идентификации. Этот сценарий работает путем включения MFA, но без принудительного применения MFA.
Чтобы устранить проблему, используйте один из следующих методов:
- Присвойте MFA значение Включено, но не Принудительно. Дополнительные сведения см. в разделе Настройка многофакторной проверки подлинности.
- Временно отключите MFA во время регистрации в доверенных IP-адресах.
Не удается синхронизировать устройства после автоматической регистрации
Начиная с Configuration Manager версии 1906, совместно управляемое устройство под управлением Windows 10 версии 1803 или более поздней автоматически регистрируется в службе Microsoft Intune на основе маркеров устройств Azure Active Directory (Azure AD). Однако устройство не синхронизируется, и в разделе Параметры> Учетные записиДоступ к рабочей или учебной среде появляетсяследующее сообщение об ошибке>:
Синхронизация не была выполнена полностью, так как мы не смогли проверить ваши учетные данные. Выберите Синхронизировать, чтобы войти и повторить попытку.
При возникновении этой проблемы в журналы> приложений и службmicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider регистрируется следующее сообщение об ошибке >Администратор войдите в Просмотр событий:
Сеанс MDM: не удалось получить маркер AAD для маркера пользователя сеанса синхронизации: (Неизвестный код ошибки Win32: 0xcaa2000c) Токен устройства: (неправильная функция).
Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>AAD>Operational log в Просмотр событий:
Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076: из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.
Эта проблема возникает, когда MFA включена или принудительно или Azure AD политики условного доступа, требующие MFA, применяются ко всем облачным приложениям. Это предотвращает связь пользователя с устройством на портале.
Чтобы устранить проблему, используйте один из следующих методов:
- Если многофакторная проверка подлинности включена или принудительно:
- Установите для MFA значение Отключено. Дополнительные сведения см. в разделе Отключение устаревшей MFA для каждого пользователя.
- Обход MFA с помощью доверенных IP-адресов.
- Если используются политики условного доступа Azure AD, исключите приложение Microsoft Intune из политик, которые требуют многофакторной проверки подлинности, чтобы разрешить синхронизацию устройств с помощью учетных данных пользователя.
Гибридное Azure AD присоединенное устройство Windows 10 не удается зарегистрировать в Intune с ошибкой 0x800706D9 или 0x80180023
При возникновении этой проблемы в журнале> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> обычно отображается следующее сообщение об ошибке Администратор войдите в Просмотр событий:
Регистрация MDM: сбой конфигурации клиента OMA-DM. RAWResult: (0x800706D9) Результат: (Неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой подготовки. Результат: (неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой (неизвестный код ошибки Win32: 0x80180023)
Автоматическая регистрация MDM: учетные данные устройства (0x80180023), сбой (%2)
Отмена регистрации MDM: ошибка при отправке оповещения об отмене регистрации на сервер. Результат: (неправильная функция.).
Отмена регистрации MDM: не удалось изменить тип запуска dmwappushservice на запрос-start. Результат: (указанная служба не существует как установленная служба.)
Эта проблема возникает, dmwappushservice
если служба отсутствует на устройстве. Чтобы проверить, выполните команду services.msc
, чтобы найти эту службу.
Для устранения данной проблемы выполните следующие действия.
На рабочем устройстве под управлением той же версии Windows 10, что и затронутое устройство, экспортируйте следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
Войдите на затронутое устройство в качестве локального администратора, скопируйте REG-файл на затронутое устройство, а затем объедините его с локальным реестром.
Перезапустите затронутого устройства.
Удалите старую регистрацию Azure AD, а затем обновите групповая политика.
Перезапустите затронутого устройства еще раз. Устройство должно иметь возможность зарегистрировать с помощью Azure AD и зарегистрироваться в Intune автоматически.
Сбой гибридного Azure AD присоединения в управляемом домене с ошибкой 0x801c03f2
При запуске dsregcmd /status
из командной строки на устройстве вы увидите, что это присоединение к домену, но не гибридное Azure AD присоединение. В журналы >приложений и службрегистрируется следующее сообщение об ошибкеРегистрация> устройствпользователей Microsoft> Windows >Администратор в Просмотр событий:
Ответ сервера: {"ErrorType":"DirectoryError", "Message":"Сертификат пользователя открытого ключа не найден в объекте устройства с идентификатором <DeviceID>".
Эта проблема возникает в одной из следующих ситуаций:
- Объект устройства отсутствует в Azure AD.
- Атрибут
Usercertificate
не имеет сертификата устройства в локальной среде AD или Azure AD.
Чтобы Windows 10 регистрация устройства работала в управляемом домене, сначала необходимо синхронизировать объект устройства. Процесс регистрации выполняется следующим образом:
- Устройство Windows 10 запускается в первый раз после присоединения к локальному домену.
- Регистрация устройства активируется и создается запрос на сертификат.
- При создании запроса открытый ключ сертификата публикуется в локальной службе AD для объекта устройства. При этом обновляется
Usercertificate
атрибут объектов устройства. В то же время в Azure AD отправляется подписанный запрос на регистрацию устройства. - Регистрация завершается сбоем, так как Azure AD не может проверить подлинность объекта устройства или проверить подписанный запрос.
- При следующем запуске цикла синхронизации он находит объект устройства с заполненным атрибутом
Usercertificate
и синхронизирует объект устройства с Azure AD. - При следующем запуске службы регистрации (она выполняется каждый час), устройство отправит новый запрос, подписанный закрытым ключом.
- Azure проверяет подпись в запросе с помощью общедоступного сертификата, полученного из локального домена во время цикла синхронизации. Если Azure AD может проверить подпись в запросе, регистрация устройства будет выполнена успешно.
Для устранения данной проблемы выполните следующие действия:
В локальной среде AD убедитесь, что
Usercertificate
атрибут заполнен и имеет правильный сертификат.Проверьте объект внутреннего устройства и убедитесь, что
Usercertificate
атрибут существует и заполнен.Если сертификат отсутствует или кто-то удалил его из локальной службы AD (что, в свою очередь, удаляет сертификат из Azure AD), регистрация устройства завершается ошибкой. Чтобы устранить эту проблему, выполните следующие действия на клиентском устройстве:
Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
dsregcmd /leave
Запустите
certlm.msc
, чтобы открыть хранилище сертификатов локального компьютера.Убедитесь, что сертификат компьютера, выданный MS-Organization-Access , удален.
Перезапустите клиентское устройство, чтобы активировать новую регистрацию устройства.
После перезапуска устройства убедитесь, что новый открытый ключ сертификата обновлен в объекте устройства в локальной службе AD. Если контроллеров домена несколько, убедитесь, что атрибут реплицируется на все контроллеры домена.
Активируйте разностную синхронизацию на сервере Azure AD Connect.
После завершения синхронизации можно активировать регистрацию устройства, перезапустив клиент, выполнив
dsregcmd /debug
команду или запустив запланированную задачу Автоматическое присоединение устройства в разделе Присоединение к рабочему месту.
Автоматическая регистрация устройства завершается сбоем с ошибкой 0x80280036
При возникновении этой проблемы в журналы> приложений и службрегистрируетсяследующее сообщение об ошибкеРегистрация> устройств Microsoft >Windows>Администратор войдите в Просмотр событий:
Сбой DeviceRegistrationApi::BeginJoin с кодом ошибки: 0x80280036
Описание:
Сбой инициализации запроса на присоединение с кодом выхода. TPM пытается выполнить команду, доступную только в режиме FIPS.
Эта проблема возникает, если на микросхеме доверенного платформенного модуля на клиентском устройстве включен режим FIPS. Режим FIPS не поддерживается и не рекомендуется для регистрации устройств Azure. Дополнительные сведения см. в разделе Почему мы больше не рекомендуем использовать режим FIPS.
Сбой гибридного Azure AD присоединения с ошибкой 0x80090016
Сбой гибридной Azure AD регистрации устройства Windows 10, и появляется следующее сообщение об ошибке:
Произошла ошибка. Подтвердите, что вы используете правильные сведения для входа и что организация использует эту функцию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки 0x80090016
Сообщение об ошибке 0x80090016 : Набор ключей не существует. Это означает, что при регистрации устройства не удалось сохранить ключ устройства, так как ключи доверенного платформенного модуля не были доступны.
Эта проблема возникает, если Windows не является владельцем доверенного платформенного модуля. Начиная с Windows 10 операционная система автоматически инициализирует TPM и становится владельцем. Однако в случае сбоя этого процесса Windows не будет владельцем и приведет к проблеме.
Чтобы устранить эту проблему, очистите TPM и перезапустите клиентское устройство. Чтобы очистить TPM, выполните следующие действия.
Откройте приложение "Безопасность Windows".
Выберите Безопасность устройства.
Выберите Сведения о обработчике безопасности.
Выберите Устранение неполадок обработчика безопасности.
Щелкните Очистить TPM.
Важно!
Перед очисткой доверенного платформенного модуля следует учитывать следующее:
- Очистка доверенного платформенного модуля может привести к потере данных. Вы потеряете все созданные ключи, связанные с TPM, и данные, защищенные этими ключами, такие как виртуальная смарт-карта, ПИН-код входа или ключи BitLocker.
- Если bitLocker включен на устройстве, убедитесь, что bitLocker отключен, прежде чем очищать TPM.
- Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных TPM.
Перезапустите устройство при появлении запроса.
Примечание.
Во время перезапуска UEFI может предложить нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM. После завершения перезапуска TPM будет автоматически подготовлен к использованию Windows 10.
После перезапуска устройства гибридное Azure AD присоединение должно быть успешным. Для проверки выполните dsregcmd /status
команду в командной строке. Следующий результат указывает на успешное соединение:
AzureAdJoined : YES
DomainName : \<on-prem Domain name>
Дополнительные сведения см. в статье Устранение неполадок доверенного платформенного модуля.
Дополнительные сведения
Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:
- Устранение неполадок совместного управления: начальная загрузка с современной подготовкой
- Устранение неполадок с рабочими нагрузками совместного управления
Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях: