Vanliga frågor och svar om Enhetshantering i Microsoft Entra

Windows 10- eller nyare enheter som är Microsoft Entra-hybridanslutna visas inte under USER-enheter. Använd vyn Alla enheter. Du kan också använda en PowerShell Get-MgDevice-cmdlet .

Endast följande enheter visas under USER-enheter:

• Alla personliga enheter som inte är Hybrid-anslutna till Microsoft Entra.
• Alla enheter som inte är Windows 10 eller senare och Windows Server 2016 eller senare enheter.
• Alla icke-Windows-enheter.

Gå till Alla enheter. Sök efter enheten med hjälp av enhets-ID:t. Kontrollera värdet under kolumnen kopplingstyp. Ibland kan enheten återställas eller återskapas. Därför är det viktigt att även kontrollera enhetens registreringsstatus på enheten:

• För Windows 10- eller senare enheter och Windows Server 2016- eller senare enheter kör du dsregcmd.exe /status.
• För operativsystemversioner på nednivå kör du %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Felsökningsinformation finns i följande artiklar:

• Felsöka enheter med dsregcmd-kommandot
• Felsökning av registrering av hybridlösningar för Microsoft Entra i Windows 10 och Windows Server 2016-enheter
• Felsöka Microsoft Entra-hybridanslutna äldre enheter

Windows-klienter hämtar PRT från Microsoft Entra-ID om användaren och enheten tillhör samma klientorganisation. Användarna får ingen PRT för en annan klientorganisation om enheten inte är registrerad eller om användaren inte är medlem där. Om de två klienterna litar på varandra via B2B kan du alltid skapa B2B-åtkomst och förtroende för enhetsanspråk mellan klientorganisationer från din hemklientorganisation.

Enhetsanslutningstillståndet, som visas av deviceID, måste matcha tillståndet på Microsoft Entra-ID:t och uppfylla alla utvärderingskriterier för villkorsstyrd åtkomst. Mer information finns i Kräv hanterade enheter för åtkomst till molnappar med villkorsstyrd åtkomst.

På Windows 10/11-enheter som är anslutna eller registrerade med Microsoft Entra-ID utfärdas en primär uppdateringstoken (PRT) som möjliggör enkel inloggning. Giltigheten för PRT baseras på själva enhetens giltighet. Användarna ser det här meddelandet om enheten antingen tas bort eller inaktiveras i Microsoft Entra-ID utan att åtgärden initieras från själva enheten. En enhet kan tas bort eller inaktiveras i Microsoft Entra något av följande scenarier:

• Användaren inaktiverar enheten från Mina appar-portalen.
• En administratör (eller användare) tar bort eller inaktiverar enheten.
• Endast Microsoft Entra-hybridanslutning: En administratör tar bort enhetens organisationsenhet utanför synkroniseringsomfånget, vilket resulterar i att enheterna tas bort från Microsoft Entra-ID.
• Endast Microsoft Entra-hybridanslutning: En administratör inaktiverar datorkontot lokalt, vilket resulterar i att enheten inaktiveras i Microsoft Entra-ID.
• Uppgradering av Microsoft Entra Anslut till version 1.4.xx.x. Förstå Microsoft Entra Anslut 1.4.xx.x och enhetens försvinnande.

Den här åtgärden är avsiktligt. I det här fallet har enheten inte åtkomst till resurser i molnet. Administratörer kan utföra den här åtgärden för inaktuella, förlorade eller stulna enheter för att förhindra obehörig åtkomst. Om den här åtgärden utfördes oavsiktligt måste du återaktivera eller registrera enheten igen med hjälp av stegen nedan:

• Om enheten har inaktiverats i Microsoft Entra-ID kan en administratör med tillräcklig behörighet aktivera den i administrationscentret för Microsoft Entra.

  Kommentar

  Om du synkroniserar enheter med Hjälp av Microsoft Entra Anslut aktiveras Microsoft Entra Hybrid-anslutna enheter automatiskt igen under nästa synkroniseringscykel. Om du behöver inaktivera en Hybrid-ansluten Microsoft Entra-enhet måste du inaktivera den från din lokala AD.

• Om enheten tas bort i Microsoft Entra-ID måste du registrera enheten igen. När du registrerar på nytt måste du vidta en manuell åtgärd på enheten. Se följande steg för instruktioner för att registrera om baserat på enhetens tillstånd.

  Utför följande steg för att registrera om Microsoft Entra-hybridanslutna Windows 10/11- och Windows Server 2016/2019-enheter:

  1. Öppna kommandotolken som administratör.
  2. Ange dsregcmd.exe /debug /leave.
  3. Logga ut och logga in för att utlösa den schemalagda uppgift som registrerar enheten igen med Microsoft Entra-ID.

  Utför följande steg för windows os-versioner på nednivå som är Microsoft Entra-hybridanslutna:

  1. Öppna kommandotolken som administratör.
  2. Ange "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Ange "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Utför följande steg för Microsoft Entra-anslutna enheter Windows 10/11-enheter:

  1. Öppna kommandotolken som administratör
  2. Ange dsregcmd /forcerecovery (Du måste vara administratör för att utföra den här åtgärden).
  3. Klicka på "Logga in" i dialogrutan som öppnas och fortsätt med inloggningsprocessen.
  4. Logga ut och logga in igen på enheten för att slutföra återställningen.

  Utför följande steg för Microsoft Entra-registrerade Windows 10/11-enheter:

  1. Gå till Inställningar> Kontoåtkomst>till arbete eller skola.
  2. Välj kontot och välj Koppla från.
  3. Klicka på "+ Anslut" och registrera enheten igen genom att gå igenom inloggningsprocessen.

• För Windows 10 eller senare och Windows Server 2016 eller senare kan upprepade försök att avansluta och återansluta till samma enhet orsaka duplicerade poster.
• Varje Windows-användare som använder Lägg till arbets- eller skolkonto skapar en ny enhetspost med samma enhetsnamn.
• För äldre Windows-operativsystemversioner som är lokalt Azure Directory-domänanslutna skapar den automatiska registreringen en ny enhetspost med samma enhetsnamn för varje domänanvändare som loggar in på enheten.
• En Microsoft Entra-ansluten dator som rensas, installeras om och återansluts med samma namn visas som en annan post med samma enhetsnamn.

Windows 10/11-enhetsregistrering stöds endast för FIPS-kompatibel TPM 2.0 och stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM-tillverkaren om du vill ha support.

Det tar upp till en timme innan en återkallelse tillämpas från den tidpunkt då Microsoft Entra-enheten har markerats som inaktiverad.

Microsoft Entra ID har lagt till stöd för flera Microsoft Entra-konton från och med Windows 10 1803-versionen. Windows 10/11 begränsar dock antalet Microsoft Entra-konton på en enhet till 3 för att begränsa storleken på tokenbegäranden och aktivera tillförlitlig enkel inloggning (SSO). När 3 konton har lagts till ser användarna ett fel för efterföljande konton. Den ytterligare probleminformationen på felskärmen innehåller följande meddelande som anger orsaken – "Lägg till kontoåtgärd blockeras eftersom kontogränsen har nåtts".

MS-Organization-Access-certifikaten utfärdas av Microsoft Entra Device Registration Service under registreringsprocessen. De här certifikaten utfärdas till alla kopplingstyper som stöds i Windows – Microsoft Entra-anslutna, Microsoft Entra-hybridanslutna och Microsoft Entra-registrerade enheter. När de har utfärdats används de som en del av autentiseringsprocessen från enheten för att begära en primär uppdateringstoken (PRT). För Microsoft Entra-anslutna och Microsoft Entra-hybridanslutna enheter finns det här certifikatet i Lokal dator\Personliga\Certifikat, medan certifikat för Microsoft Entra-registrerade enheter finns i Aktuella användare\Personliga\Certifikat. Alla MS-Organization-Access-certifikat har en standardlivslängd på 10 år. Dessa certifikat tas bort från motsvarande certifikatarkiv när enheten avregistreras från Microsoft Entra-ID. Oavsiktlig borttagning av det här certifikatet leder till autentiseringsfel för användaren och kräver omregistrering av enheten i sådana fall.

För rena Microsoft Entra-anslutna enheter kontrollerar du att du har ett lokalt administratörskonto offline eller skapar ett. Du kan inte logga in med autentiseringsuppgifter för Microsoft Entra-användare. Gå sedan till Inställningar> Kontoåtkomst>till arbete eller skola. Välj ditt konto och välj Koppla från. Följ anvisningarna och ange autentiseringsuppgifterna för den lokala administratören när du uppmanas att göra det. Starta om enheten för att slutföra avkopplingsprocessen.

Ja. Windows har en cachelagrad funktion för användarnamn och lösenord som gör det möjligt för användare som loggade in tidigare att komma åt skrivbordet snabbt även utan nätverksanslutning.

När en enhet tas bort eller inaktiveras i Microsoft Entra-ID är den inte känd för Windows-enheten. Så användare som loggade in tidigare fortsätter att komma åt skrivbordet med det cachelagrade användarnamnet och lösenordet. Men eftersom enheten tas bort eller inaktiveras kan användarna inte komma åt några resurser som skyddas av enhetsbaserad villkorlig åtkomst.

Användare som inte loggade in tidigare kan inte komma åt enheten. Det finns inget cachelagrat användarnamn och lösenord aktiverat för dem.

Ja, men bara under en begränsad tid. När en användare tas bort eller inaktiveras i Microsoft Entra-ID är den inte omedelbart känd för Windows-enheten. Så att användare som loggade in tidigare kan komma åt skrivbordet med det cachelagrade användarnamnet och lösenordet.

Vanligtvis är enheten medveten om användartillståndet på mindre än fyra timmar. Sedan blockerar Windows dessa användares åtkomst till skrivbordet. När användaren tas bort eller inaktiveras i Microsoft Entra-ID återkallas alla deras token. Så de kan inte komma åt några resurser.

Borttagna eller inaktiverade användare som inte loggade in tidigare kan inte komma åt en enhet. Det finns inget cachelagrat användarnamn och lösenord aktiverat för dem.

Nej, för närvarande kan gästanvändare inte logga in på en Microsoft Entra-ansluten enhet.

Organisationer kan välja att distribuera Windows Server Hybrid Cloud Print med förautentisering eller Universell utskrift för sina Microsoft Entra-anslutna enheter.

Se Anslut till fjärransluten Microsoft Entra-ansluten dator.

Har du konfigurerat vissa regler för villkorsstyrd åtkomst för att kräva ett specifikt enhetstillstånd? Om enheten inte uppfyller kriterierna blockeras användarna och de ser meddelandet. Utvärdera policyreglerna för villkorsstyrd åtkomst. Kontrollera att enheten uppfyller kriterierna för att undvika meddelandet.

Vanliga orsaker till det här scenariot är följande:

• Dina användarautentiseringsuppgifter är inte längre giltiga.
• Datorn kan inte kommunicera med Microsoft Entra-ID. Kontrollera om det finns problem med nätverksanslutningen.
• Federerade inloggningar kräver att federationsservern stöder WS-Trust-slutpunkter som är aktiverade och tillgängliga.
• Du har aktiverat direktautentisering. Ditt tillfälliga lösenord måste därför ändras när du loggar in.

För närvarande tvingar Inte Microsoft Entra-anslutna enheter användarna att ändra lösenord på låsskärmen. Användare med tillfälliga eller utgångna lösenord tvingas därför bara ändra lösenord när de har åtkomst till ett program (som kräver en Microsoft Entra-token) när de har loggat in i Windows.

Det här felet inträffar när du konfigurerar automatisk registrering av Microsoft Entra med Intune utan rätt tilldelad licens. Kontrollera att användaren som försöker ansluta till Microsoft Entra har rätt Intune-licens tilldelad. Mer information finns i Konfigurera registrering för Windows-enheter.

En sannolik orsak är att du loggade in på enheten med hjälp av det lokala inbyggda administratörskontot. Skapa ett annat lokalt konto innan du använder Microsoft Entra-anslutning för att slutföra installationen.

P2P Server-programmet är programregistrerat av Microsoft Entra ID för att aktivera RDP-anslutningar (Remote Desktop Protocol) till alla Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna Windows-enheter i din klientorganisation. Det här programmet skapar ett klientomfattande certifikat utfärdat av Microsoft Entras certifikatutfärdare och används för att utfärda RDP-enhets- och användarcertifikat för RDP-anslutning. För att säkerställa att det här är rätt program kan du hitta objekt-ID:t för P2P Server-programmet i administrationscentret>för Microsoft Entra Applications>Enterprise Applications. Ta bort standardfiltret som tillämpas. Du kan se alla program. Jämför det här objekt-ID:t med hjälp av Microsoft Graph API för att fråga efter information med get /servicePrincipals/{objectid} och bekräfta att egenskapen servicePrincipalNames är urn:p2p_cert.

MS-Organization-P2P-Access-certifikaten utfärdas av Microsoft Entra-ID till båda, Microsoft Entra-anslutna och Microsoft Entra-hybridanslutningsenheter. Dessa certifikat används för att aktivera förtroende mellan enheter i samma klientorganisation för fjärrskrivbordsscenarier. Ett certifikat utfärdas till enheten och ett annat utfärdas till användaren. Enhetscertifikatet finns i Local Computer\Personal\Certificates och är giltigt i en dag. Det här certifikatet förnyas (genom att ett nytt certifikat utfärdas) om enheten fortfarande är aktiv i Microsoft Entra-ID. Användarcertifikatet är inte beständigt och är giltigt i en timme, men det utfärdas på begäran när en användare försöker utföra en fjärrskrivbordssession till en annan Microsoft Entra-ansluten enhet. Den förnyas inte vid förfallodatum. Båda dessa certifikat utfärdas med hjälp av MS-Organization-P2P-Access-certifikatet som finns i Local Computer\AAD Token Issuer\Certificates. Det här certifikatet utfärdas av Microsoft Entra-ID under enhetsregistreringen.

Det går inte att inaktivera eller förfalla tidigare cachelagrade inloggningar på Microsoft Entra-anslutna enheter.

För Hybrid-anslutna Microsoft Entra-enheter måste du inaktivera automatisk registrering i AD med hjälp av artikeln Kontrollerad validering . Den schemalagda aktiviteten registrerar inte enheten igen. Öppna sedan en kommandotolk som administratör och ange dsregcmd.exe /debug /leave. Eller kör det här kommandot som ett skript på flera enheter för att koppla från i grupp.

Felsökningsinformation finns i följande artiklar:

• Felsökning av registrering av hybridlösningar för Microsoft Entra i Windows 10 och Windows Server 2016-enheter
• Felsöka Microsoft Entra-hybridanslutna äldre enheter

När användarna lägger till sina konton i appar på en domänansluten enhet kan de uppmanas att lägga till konto i Windows? Om de anger Ja i prompten registreras enheten med Microsoft Entra-ID. Förtroendetypen är markerad som Microsoft Entra-registrerad. När du har aktiverat Microsoft Entra-hybridanslutning i din organisation får enheten även Microsoft Entra hybridansluten. Sedan visas två enhetstillstånd för samma enhet.

I de flesta fall har Microsoft Entra-hybridanslutning företräde framför Microsoft Entra-registrerat tillstånd, vilket resulterar i att enheten betraktas som Microsoft Entra-hybridansluten för all autentisering och utvärdering av villkorsstyrd åtkomst. Men ibland kan det här dubbla tillståndet resultera i en icke-förutbestämd utvärdering av enheten och orsaka åtkomstproblem. Vi rekommenderar starkt att du uppgraderar till Windows 10 version 1803 och senare där vi automatiskt rensar det Microsoft Entra-registrerade tillståndet. Lär dig hur du undviker eller rensar det här dubbla tillståndet på Windows 10-datorn.

UPN-ändringar stöds med Windows 10 2004-uppdateringen och gäller även för Windows 11. Användare på enheter med den här uppdateringen har inga problem när de har ändrat sina UPN.

UPN-ändringar i äldre versioner av Windows 10 stöds inte fullt ut med Hybrid-anslutna Microsoft Entra-enheter. Användarna kan logga in på enheten och komma åt sina lokala program, men autentiseringen med Microsoft Entra-ID misslyckas efter en UPN-ändring. Därför har användarna problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. Du måste koppla från enheten från Microsoft Entra-ID (kör "dsregcmd /leave" med förhöjd behörighet) och återansluta (sker automatiskt) för att lösa problemet.

Nej, förutom när användarens lösenord ändras. När Windows 10/11 Microsoft Entra-hybridanslutningen har slutförts och användaren har loggat in minst en gång, kräver enheten inte siktlinje för domänkontrollanten för att få åtkomst till molnresurser. Windows 10/11 kan få enkel inloggning till Microsoft Entra-program var som helst med en Internetanslutning, förutom när ett lösenord ändras. Användare som loggar in med Windows Hello för företag fortsätta att få enkel inloggning till Microsoft Entra-program även efter en lösenordsändring, även om de inte har siktlinje för sin domänkontrollant.

Om ett lösenord ändras utanför företagsnätverket (till exempel genom att använda Microsoft Entra SSPR) misslyckas användarens inloggning med det nya lösenordet. För Hybrid-anslutna Microsoft Entra-enheter är lokal Active Directory den primära utfärdaren. När en enhet inte har siktlinje för en domänkontrollant kan den inte verifiera det nya lösenordet. Användaren måste upprätta en anslutning till domänkontrollanten (antingen via VPN eller i företagsnätverket) innan de kan logga in på enheten med sitt nya lösenord. Annars kan de bara logga in med sitt gamla lösenord på grund av cachelagrad inloggningsfunktion i Windows. Det gamla lösenordet är dock ogiltigt av Microsoft Entra-ID under tokenbegäranden och förhindrar därför enkel inloggning och misslyckas med enhetsbaserade principer för villkorsstyrd åtkomst tills användaren autentiserar med sitt nya lösenord i en app eller webbläsare. Det här problemet uppstår inte om du använder Microsoft Entra-anslutna enheter.

• För Windows 10/11 Microsoft Entra-registrerade enheter går du till Inställningar> Kontoåtkomst>till arbete eller skola. Välj ditt konto och välj Koppla från. Enhetsregistrering sker per användarprofil i Windows 10/11.
• För iOS och Android kan du använda Microsoft Authenticator-programmet Inställningar> Enhetsregistrering och välja Avregistrera enhet.
• För macOS kan du använda Microsoft Intune-företagsportal-programmet för att avregistrera enheten från hanteringen och ta bort alla registreringar.

För Windows 10 version 2004 och senare kan den här processen automatiseras med borttagningsverktyget för Workplace Join (WPJ).

Aktivera följande register för att blockera dina användare från att lägga till andra arbetskonton i din företagsdomänanslutna, Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutna Windows 10/11-enheter. Den här principen kan också användas för att blockera domänanslutna datorer från att oavsiktligt få Microsoft Entra registrerat med samma användarkonto.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Relaterat innehåll

• Microsofts verktyg för felsökning