Felsöka Microsoft Entra-hybridanslutna äldre enheter

Den här artikeln gäller endast för följande enheter:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Information om Windows 10 eller senare och Windows Server 2016 finns i Felsöka Microsoft Entra Hybrid-anslutna Windows 10- och Windows Server 2016-enheter.

Den här artikeln förutsätter att du har konfigurerat Microsoft Entra Hybrid-anslutna enheter för att stödja följande scenarier:

  • Enhetsbaserad villkorlig åtkomst

Den här artikeln innehåller felsökningsvägledning för hur du löser potentiella problem.

Vad du bör veta:

  • Microsoft Entra-hybridanslutning för Windows-enheter med lägre nivå fungerar något annorlunda än i Windows 10 eller senare. Många kunder inser inte att de behöver AD FS (för federerade domäner) eller sömlös enkel inloggning konfigurerad (för hanterade domäner).
  • Sömlös enkel inloggning fungerar inte i privat webbläsarläge i Firefox och Microsoft Edge-webbläsare. Det fungerar inte heller i Internet Explorer om webbläsaren körs i utökat skyddat läge eller om förbättrad säkerhetskonfiguration är aktiverad.
  • För kunder med federerade domäner fungerar inte Microsoft Entra-hybridanslutning för Windows-enheter om tjänsten Anslut ion Point (SCP) har konfigurerats så att den pekar på det hanterade domännamnet (till exempel contoso.onmicrosoft.com i stället för contoso.com).
  • Samma fysiska enhet visas flera gånger i Microsoft Entra-ID när flera domänanvändare loggar in microsoft Entra-hybridanslutna enheter på låg nivå. Om till exempel jdoe och jharnett loggar in på en enhet skapas en separat registrering (DeviceID) för var och en av dem på fliken ANVÄNDARinformation.
  • Du kan också få flera poster för en enhet på fliken användarinformation på grund av en ominstallation av operativsystemet eller en manuell omregistrering.
  • Den första registreringen/anslutningen av enheter är konfigurerad för att utföra ett försök att antingen logga in eller låsa/låsa upp. Det kan uppstå en fördröjning på 5 minuter som utlöses av en schemaläggaraktivitet.
  • Kontrollera att KB4284842 är installerat på Windows 7 SP1 eller Windows Server 2008 R2 SP1. Den här uppdateringen förhindrar framtida autentiseringsfel på grund av kundens åtkomstförlust till skyddade nycklar efter att lösenordet har ändrats.
  • Microsoft Entra-hybridanslutningen kan misslyckas när en användare har ändrat sitt UPN, vilket bryter den sömlösa SSO-autentiseringsprocessen. Under anslutningsprocessen kan du se att det fortfarande skickar det gamla UPN till Microsoft Entra-ID, såvida inte webbläsarsessionscookies rensas eller användaren uttryckligen loggar ut och tar bort gammalt UPN.

Steg 1: Hämta registreringsstatusen

Så här verifierar du registreringsstatusen:

  1. Logga in med användarkontot som har utfört en Microsoft Entra-hybridanslutning.
  2. Öppna kommandotolken
  3. Skriv "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Det här kommandot visar en dialogruta som innehåller information om kopplingsstatusen.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Steg 2: Utvärdera Microsoft Entra-hybridanslutningsstatusen

Om enheten inte var Microsoft Entra-hybridansluten kan du försöka ansluta till Microsoft Entra-hybrid genom att klicka på knappen "Anslut". Om försöket att göra Microsoft Entra-hybridanslutningen misslyckas visas information om felet.

De vanligaste problemen är:

  • Ett felkonfigurerat AD FS- eller Microsoft Entra-ID eller nätverksproblem

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe kan inte autentisera tyst med Microsoft Entra ID eller AD FS. Det här problemet kan orsakas av saknade eller felkonfigurerade AD FS (för federerade domäner) eller saknade eller felkonfigurerade microsoft entra sömlös enkel inloggning (för hanterade domäner) eller nätverksproblem.
    • Det kan vara så att multifaktorautentisering (MFA) är aktiverat/konfigurerat för användaren och ATT WIAORMULTIAUTHN inte har konfigurerats på AD FS-servern.
    • En annan möjlighet är att sidan för identifiering av hemsfär (HRD) väntar på användarinteraktion, vilket förhindrar att autoworkplace.exe tyst begär en token.
    • Det kan vara så att AD FS- och Microsoft Entra-URL:er saknas i IE:s intranätzon på klienten.
    • Problem med nätverksanslutningen kan hindra autoworkplace.exe från att nå AD FS eller Microsoft Entra-URL:er.
    • Autoworkplace.exe kräver att klienten har direkt sikt från klienten till organisationens lokala AD-domänkontrollant, vilket innebär att Microsoft Entra-hybridanslutningen endast lyckas när klienten är ansluten till organisationens intranät.
    • Om din organisation använder sömlös enkel inloggning med Microsoft Entra finns https://autologon.microsoftazuread-sso.com det inte i enhetens IE-intranätinställningar.
    • Internetinställningen Do not save encrypted pages to disk är markerad.
  • Du är inte inloggad som domänanvändare

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Det finns några olika orsaker till varför det här problemet kan uppstå:

    • Den inloggade användaren är inte en domänanvändare (till exempel en lokal användare). Microsoft Entra-hybridanslutning på enheter på nednivå stöds endast för domänanvändare.
    • Klienten kan inte ansluta till en domänkontrollant.
  • En kvot har uppnåtts

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Tjänsten svarar inte

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Du hittar även statusinformationen i händelseloggen under: Program- och tjänstlogg\Microsoft-Workplace Join

De vanligaste orsakerna till en misslyckad Microsoft Entra-hybridanslutning är:

  • Datorn är inte ansluten till organisationens interna nätverk eller till ett VPN med en anslutning till din lokala AD-domänkontrollant.
  • Du är inloggad på datorn med ett lokalt datorkonto.
  • Problem med tjänstkonfiguration:
    • AD FS-servern har inte konfigurerats för att stödja WIAORMULTIAUTHN.
    • Datorns skog har inget Service Anslut ion Point-objekt som pekar på ditt verifierade domännamn i Microsoft Entra-ID
    • Eller om domänen hanteras har sömlös enkel inloggning inte konfigurerats eller fungerat.
    • En användare har nått gränsen för enheter.

Nästa steg