Microsoft Entra cihaz yönetimi hakkında SSS

Microsoft Entra karmaya katılmış Windows 10 veya daha yeni cihazlar KULLANICI cihazlar altında gösterilmez. Tüm cihazlar görünümünü kullanın. PowerShell Get-MgDevice cmdlet'ini de kullanabilirsiniz.

USER cihazları altında yalnızca aşağıdaki cihazlar listelenir:

• Microsoft Entra karma katılmamış tüm kişisel cihazlar.
• Windows 10 veya daha yeni olmayan tüm cihazlar ve Windows Server 2016 veya üzeri cihazlar.
• Tüm Windows olmayan cihazlar.

Tüm cihazlar'a gidin. Cihaz kimliğini kullanarak cihazı arayın. Birleştirme türü sütununun altındaki değeri denetleyin. Bazen cihaz sıfırlanabilir veya yeniden oluşturulabilir. Bu nedenle cihazdaki cihaz kayıt durumunu da denetlemek önemlidir:

• Windows 10 veya daha yeni ve Windows Server 2016 veya üzeri cihazlar için komutunu çalıştırın dsregcmd.exe /status.
• Alt düzey işletim sistemi sürümleri için komutunu çalıştırın %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Sorun giderme bilgileri için şu makalelere bakın:

• dsregcmd komutunu kullanarak cihaz sorunlarını giderme
• Microsoft Entra karma katılımlı Windows 10 ve Windows Server 2016 cihazlarıyla ilgili sorun giderme
• Microsoft Entra hibrit ile katılan alt düzey cihazlarda sorun giderme

Kullanıcı ve cihaz aynı kiracıya aitse Windows istemcileri PrT'yi Microsoft Entra Id'den getirir. Cihaz kayıtlı değilse veya kullanıcı orada üye değilse kullanıcılar başka bir kiracı için PRT alamaz. İki kiracı B2B aracılığıyla birbirine güveniyorsa, her zaman ev kiracınızdan kiracılar arası B2B erişimi ve güven cihaz talepleri oluşturabilirsiniz.

deviceID tarafından gösterilen cihaz katılma durumu, Microsoft Entra Id'de durumla eşleşmeli ve Koşullu Erişim için tüm değerlendirme ölçütlerini karşılamalıdır. Daha fazla bilgi için bkz . Koşullu Erişim ile bulut uygulaması erişimi için yönetilen cihazlar gerektirme.

Microsoft Entra ID'ye katılmış veya kaydedilmiş Windows 10/11 cihazlarında kullanıcılara çoklu oturum açmayı sağlayan bir Birincil yenileme belirteci (PRT) verilir. PRT'nin geçerliliği, cihazın kendisinin geçerliliğine bağlıdır. Cihaz, eylemi cihazın kendisinden başlatmadan Microsoft Entra Id'de silinir veya devre dışı bırakılırsa kullanıcılar bu iletiyi görür. Bir cihaz Microsoft Entra'da aşağıdaki senaryolardan birinde silinebilir veya devre dışı bırakılabilir:

• Kullanıcı, cihazı Uygulamalarım'dan devre dışı bırakır.
• Yönetici (veya kullanıcı) cihazı siler veya devre dışı bırakır.
• Yalnızca Microsoft Entra karmaya katılmış: Yönetici, cihazların OU'larını eşitleme kapsamından kaldırır ve bu da cihazların Microsoft Entra Id'den silinmesine neden olur.
• Yalnızca Microsoft Entra karmaya katılmış: Yönetici şirket içi bilgisayar hesabını devre dışı bırakır ve cihazın Microsoft Entra Kimliği'nde devre dışı bırakılmasına neden olur.
• Microsoft Entra Bağlan 1.4.xx.x sürümüne yükseltiliyor. Microsoft Entra Bağlan 1.4.xx.x ve cihaz kayboluşunu anlama.

Bu işlem tasarım gereğidir. Bu durumda cihazın buluttaki kaynaklara erişimi yoktur. Yönetici istrator'lar, yetkisiz erişimi önlemek amacıyla eski, kayıp veya çalınan cihazlar için bu eylemi gerçekleştirebilir. Bu eylem istemeden gerçekleştirildiyse, aşağıdaki adımları kullanarak cihazı yeniden etkinleştirmeniz veya yeniden kaydetmeniz gerekir:

• Cihaz Microsoft Entra Kimliği'nde devre dışı bırakıldıysa, yeterli ayrıcalıklara sahip bir yönetici Microsoft Entra yönetim merkezinde cihazı etkinleştirebilir.

  Not

  Microsoft Entra Bağlan kullanarak cihazları eşitlerseniz, Microsoft Entra karma katılmış cihazlar bir sonraki eşitleme döngüsü sırasında otomatik olarak yeniden etkinleştirilir. Bu nedenle, Microsoft Entra karmasına katılmış bir cihazı devre dışı bırakmanız gerekiyorsa, şirket içi AD'nizden devre dışı bırakmanız gerekir.

• Cihaz Microsoft Entra Id'de silinirse cihazı yeniden kaydetmeniz gerekir. Yeniden kaydetmek için, cihazda el ile işlem yapmanız gerekir. Cihaz durumuna göre yeniden kaydetme yönergeleri için aşağıdaki adımlara bakın.

  Microsoft Entra karmasına katılmış Windows 10/11 ve Windows Server 2016/2019 cihazlarını yeniden kaydetmek için aşağıdaki adımları izleyin:

  1. Komut istemini yönetici olarak açın.
  2. dsregcmd.exe /debug /leave girin.
  3. Oturumu kapatın ve cihazı Yeniden Microsoft Entra Id ile kaydeden zamanlanmış görevi tetikleme amacıyla oturum açın.

  Microsoft Entra karmaya katılmış alt düzey Windows işletim sistemi sürümleri için aşağıdaki adımları izleyin:

  1. Komut istemini yönetici olarak açın.
  2. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l" girin.
  3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j" girin.

  Microsoft Entra'ya katılmış Windows 10/11 cihazları için aşağıdaki adımları izleyin:

  1. Komut istemini yönetici olarak açma
  2. Enter dsregcmd /forcerecovery (Bu eylemi gerçekleştirmek için yönetici olmanız gerekir).
  3. Açılan iletişim kutusunda "Oturum aç"a tıklayın ve oturum açma işlemine devam edin.
  4. Kurtarma işlemini tamamlamak için oturumu kapatın ve cihazda yeniden oturum açın.

  Microsoft Entra kayıtlı Windows 10/11 cihazları için aşağıdaki adımları izleyin:

  1. Ayarlar> Hesaplara>İş veya Okula Erişim'e gidin.
  2. Hesabı seçin ve Bağlantıyı Kes'i seçin.
  3. "+ Bağlan" seçeneğine tıklayın ve oturum açma işlemine giderek cihazı yeniden kaydedin.

• Windows 10 veya daha yeni ve Windows Server 2016 veya sonraki sürümlerde, yinelenen bir şekilde aynı cihaza katılmayı ve yeniden katılmayı denemek yinelenen girişlere neden olabilir.
• İş veya Okul Hesabı Ekleme işlemini kullanan her Windows kullanıcısı aynı cihaz adıyla yeni bir cihaz kaydı oluşturur.
• Şirket içi Azure Directory etki alanına katılmış alt düzey Windows işletim sistemi sürümleri için, otomatik kayıt cihazda oturum açan her etki alanı kullanıcısı için aynı cihaz adıyla yeni bir cihaz kaydı oluşturur.
• Temizlenen, yeniden yüklenen ve aynı adla yeniden eklenen Microsoft Entra ID'ye katılmış bir makine, aynı cihaz adıyla başka bir kayıt olarak gösterilir.

Windows 10/11 cihaz kaydı yalnızca FIPS uyumlu TPM 2.0 için desteklenir ve TPM 1.2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1.2 varsa, Microsoft Entra join veya Microsoft Entra karma katılımına devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan TPM'ler için FIPS modunu devre dışı bırakmak için herhangi bir araç sağlamaz. Destek için donanım OEM'inize başvurun.

Microsoft Entra cihazının devre dışı olarak işaretlenmesinden sonra iptalin uygulanması bir saat kadar sürer.

Microsoft Entra ID, Windows 10 1803 sürümünden itibaren birden çok Microsoft Entra hesabı için destek ekledi. Ancak Windows 10/11, belirteç isteklerinin boyutunu sınırlamak ve güvenilir çoklu oturum açmayı (SSO) etkinleştirmek için bir cihazdaki Microsoft Entra hesaplarının sayısını 3 ile kısıtlar. 3 hesap eklendikten sonra kullanıcılar sonraki hesaplar için bir hata görür. Hata ekranındaki ek sorun bilgileri, "Hesap sınırına ulaşılması nedeniyle hesap ekleme işlemi engellendi" nedenini belirten aşağıdaki iletiyi sağlar.

MS-Organization-Access sertifikaları, cihaz kayıt işlemi sırasında Microsoft Entra Cihaz Kayıt Hizmeti tarafından verilir. Bu sertifikalar Windows'ta desteklenen tüm birleştirme türlerine verilir - Microsoft Entra'ya katılmış, Microsoft Entra karmasına katılmış ve Microsoft Entra kayıtlı cihazlar. Verildikten sonra, birincil yenileme belirteci (PRT) istemek için cihazdan kimlik doğrulama işleminin bir parçası olarak kullanılırlar. Microsoft Entra'ya katılmış ve Microsoft Entra karma katılmış cihazlar için bu sertifika Yerel Bilgisayar\Kişisel\Sertifikalar'da bulunurken, Microsoft Entra kayıtlı cihazlar için sertifika Geçerli Kullanıcı\Kişisel\Sertifikalar'da bulunur. Tüm MS-Organization-Access sertifikalarının varsayılan ömrü 10 yıldır. Cihaz Microsoft Entra Id'den kaydı kaldırıldığında bu sertifikalar ilgili sertifika deposundan silinir. Bu sertifikanın yanlışlıkla silinmesi, kullanıcı için kimlik doğrulaması hatalarına yol açar ve bu gibi durumlarda cihazın yeniden kaydedilmesini zorunlu tutar.

Saf Microsoft Entra'ya katılmış cihazlar için çevrimdışı bir yerel yönetici hesabınız olduğundan emin olun veya bir hesap oluşturun. Microsoft Entra kullanıcı kimlik bilgileriyle oturum alamazsınız. Ardından Ayarlar> Hesaplar>İş veya Okula Erişim'e gidin. Hesabınızı seçin ve Bağlantıyı Kes'i seçin. İstendiğinde istemleri izleyin ve yerel yönetici kimlik bilgilerini sağlayın. Katılmayı kaldırma işlemini tamamlamak için cihazı yeniden başlatın.

Evet. Windows, daha önce oturum açan kullanıcıların ağ bağlantısı olmadan bile masaüstüne hızlı bir şekilde erişmesini sağlayan önbelleğe alınmış bir kullanıcı adı ve parola özelliğine sahiptir.

Microsoft Entra Id'de bir cihaz silindiğinde veya devre dışı bırakıldığında, Windows cihazı tarafından bilinmez. Böylece daha önce oturum açan kullanıcılar önbelleğe alınmış kullanıcı adı ve parolayla masaüstüne erişmeye devam ediyor. Ancak cihaz silindikçe veya devre dışı bırakıldıkçe, kullanıcılar cihaz tabanlı Koşullu Erişim tarafından korunan kaynaklara erişemez.

Daha önce oturum açmamış kullanıcılar cihaza erişemez. Bunlar için önbelleğe alınmış kullanıcı adı ve parola etkinleştirilmemiş.

Evet, ama sadece sınırlı bir süre için. Microsoft Entra Id'de bir kullanıcı silindiğinde veya devre dışı bırakıldığında, windows cihazı tarafından hemen bilinmez. Böylece daha önce oturum açan kullanıcılar önbelleğe alınmış kullanıcı adı ve parolayla masaüstüne erişebilir.

Genellikle cihaz dört saatten kısa bir süre içinde kullanıcı durumunun farkındadır. Ardından Windows bu kullanıcıların masaüstüne erişimini engeller. Kullanıcı Microsoft Entra Id'de silindikçe veya devre dışı bırakıldığından, tüm belirteçleri iptal edilir. Bu nedenle hiçbir kaynağa erişemezler.

Daha önce oturum açmamış olan silinmiş veya devre dışı bırakılmış kullanıcılar bir cihaza erişemez. Bunlar için önbelleğe alınmış kullanıcı adı ve parola etkinleştirilmemiş.

Hayır, şu anda konuk kullanıcılar Microsoft Entra'ya katılmış bir cihazda oturum açamaz.

Kuruluşlar, Microsoft Entra'ya katılmış cihazları için Ön Kimlik Doğrulaması veya Evrensel Yazdırma ile Windows Server Karma Bulut Yazdırma'yı dağıtmayı seçebilir.

Bkz. Uzak Microsoft Entra'ya katılmış bilgisayara Bağlan.

Belirli Koşullu Erişim kurallarını belirli bir cihaz durumunu gerektirecek şekilde yapılandırdınız mı? Cihaz ölçütleri karşılamıyorsa kullanıcılar engellenir ve bu iletiyi görür. Koşullu Erişim ilkesi kurallarını değerlendirin. Cihazın iletiden kaçınmak için ölçütleri karşıladığından emin olun.

Bu senaryo için yaygın nedenler şunlardır:

• Kullanıcı kimlik bilgileriniz artık geçerli değil.
• Bilgisayarınız Microsoft Entra Id ile iletişim kuramıyor. Ağ bağlantısı sorunlarını denetleyin.
• Federasyon oturum açma işlemleri, federasyon sunucunuzun etkin ve erişilebilir WS-Trust uç noktalarını desteklemesini gerektirir.
• Geçiş kimlik doğrulamasını etkinleştirmişsiniz. Bu nedenle, oturum açtığınızda geçici parolanızın değiştirilmesi gerekir.

Şu anda Microsoft Entra'ya katılmış cihazlar, kullanıcıları kilit ekranında parola değiştirmeye zorlamaz. Bu nedenle, geçici veya süresi dolmuş parolaları olan kullanıcılar, Windows'ta oturum açtıktan sonra yalnızca bir uygulamaya eriştiğinde (Microsoft Entra belirteci gerektirir) parolaları değiştirmeye zorlanır.

Microsoft Entra otomatik kaydını uygun lisans atanmadan Intune ile ayarladığınızda bu hata oluşur. Microsoft Entra'ya katılmaya çalışan kullanıcının doğru Intune lisansının atandığından emin olun. Daha fazla bilgi için bkz . Windows cihazları için kaydı ayarlama.

Bunun olası bir nedeni, yerel yerleşik yönetici hesabını kullanarak cihazda oturum açmış olmanızdır. Kurulumu tamamlamak için Microsoft Entra join'i kullanmadan önce farklı bir yerel hesap oluşturun.

P2P Sunucusu uygulaması, kiracınızdaki Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış Windows cihazlarına Uzak Masaüstü Protokolü (RDP) bağlantılarını etkinleştirmek için Microsoft Entra Id tarafından kaydedilen bir uygulamadır. Bu uygulama, Microsoft Entra'nın sertifika yetkilisi tarafından verilen kiracı genelinde bir sertifika oluşturur ve RDP bağlantısı için RDP cihazı ve kullanıcı sertifikaları vermek için kullanılır. Bunun doğru uygulama olduğundan emin olmak için P2P Server uygulamasının Nesne Kimliğini Microsoft Entra yönetim merkezi>Applications>Enterprise Applications'da bulabilirsiniz. Uygulanan varsayılan filtreyi kaldırın, tüm uygulamaları görebiliyor musunuz? GET /servicePrincipals/{objectid} kullanarak ayrıntıları sorgulamak için Microsoft Graph API'sini kullanarak bu Nesne Kimliğini karşılaştırın ve servicePrincipalNames özelliğinin olduğunu urn:p2p_certonaylayın.

MS-Organization-P2P-Access sertifikaları Microsoft Entra Id tarafından hem Microsoft Entra'ya katılmış hem de Microsoft Entra karma katılmış cihazlara verilir. Bu sertifikalar, uzak masaüstü senaryolarında aynı kiracıdaki cihazlar arasında güveni etkinleştirmek için kullanılır. Bir sertifika cihaza, bir sertifika da kullanıcıya verilir. Cihaz sertifikası içinde Local Computer\Personal\Certificates bulunur ve bir gün boyunca geçerlidir. Cihaz Microsoft Entra Id'de hala etkinse bu sertifika yenilenir (yeni bir sertifika vererek). Kullanıcı sertifikası kalıcı değildir ve bir saat boyunca geçerlidir, ancak kullanıcı başka bir Microsoft Entra'ya katılmış cihaza uzak masaüstü oturumu denediğinde isteğe bağlı olarak verilir. Süresi dolsa da yenilenmez. Bu sertifikaların her ikisi de içinde Local Computer\AAD Token Issuer\Certificatesbulunan MS-Organization-P2P-Access sertifikası kullanılarak verilir. Bu sertifika, cihaz kaydı sırasında Microsoft Entra Id tarafından verilir.

Microsoft Entra'ya katılmış cihazlarda önbelleğe alınmış önceki oturum açmaları devre dışı bırakmak veya süresi dolmak mümkün değildir.

Microsoft Entra karma birleştirilmiş cihazlar için Denetimli doğrulama makalesini kullanarak AD'de otomatik kaydı kapattığından emin olun. Ardından zamanlanan görev cihazı yeniden kaydetmez. Ardından, yönetici olarak bir komut istemi açın ve girin dsregcmd.exe /debug /leave. İsterseniz toplu olarak katılmamak için bu komutu birkaç cihazda betik olarak da çalıştırabilirsiniz.

Sorun giderme bilgileri için şu makalelere bakın:

• Microsoft Entra karma katılımlı Windows 10 ve Windows Server 2016 cihazlarıyla ilgili sorun giderme
• Microsoft Entra hibrit ile katılan alt düzey cihazlarda sorun giderme

Kullanıcılarınız etki alanına katılmış bir cihazdaki uygulamalara hesaplarını eklediğinde, Windows'a hesap ekle mi istenebilir? İstemde Evet girerlerse cihaz Microsoft Entra Id ile kaydolr. Güven türü Microsoft Entra kayıtlı olarak işaretlenir. Kuruluşunuzda Microsoft Entra karma katılımını etkinleştirdikten sonra cihaz, Microsoft Entra karma katılımını da alır. Ardından aynı cihaz için iki cihaz durumu gösterilir.

Çoğu durumda, Microsoft Entra karma katılımı Microsoft Entra kayıtlı durumundan önceliklidir ve cihazınızın herhangi bir kimlik doğrulaması ve Koşullu Erişim değerlendirmesi için Microsoft Entra karmaya katılmış olarak kabul edilmesine neden olur. Ancak, bazen bu çift durum cihazın belirsiz bir değerlendirmesine neden olabilir ve erişim sorunlarına neden olabilir. Microsoft Entra kayıtlı durumunu otomatik olarak temizlediğimiz Windows 10 sürüm 1803 ve üzerine yükseltmenizi kesinlikle öneririz. Windows 10 makinesinde bu çift durumdan kaçınmayı veya temizlemeyi öğrenin.

UPN değişiklikleri Windows 10 2004 güncelleştirmesi ile desteklenir ve Windows 11 için de geçerlidir. Bu güncelleştirmeye sahip cihazlardaki kullanıcılar, UPN'lerini değiştirdikten sonra herhangi bir sorunla karşılaşmayacak.

Windows 10'un eski sürümlerindeki UPN değişiklikleri, Microsoft Entra hibrite katılmış cihazlarda tam olarak desteklenmez. Kullanıcılar cihazda oturum açıp şirket içi uygulamalarına erişebilirken, UPN değişikliğinden sonra Microsoft Entra ID ile kimlik doğrulaması başarısız olur. Sonuç olarak, kullanıcıların cihazlarında SSO ve Koşullu Erişim sorunları vardır. Sorunu çözmek için cihazı Microsoft Entra ID'den kaldırmanız (yükseltilmiş ayrıcalıklarla "dsregcmd /leave" komutunu çalıştırmanız) ve yeniden katılmanız (otomatik olarak gerçekleşir) gerekir.

Hayır, kullanıcının parolasının değiştirilmesi dışında. Windows 10/11 Microsoft Entra karma katılımı tamamlandıktan ve kullanıcı en az bir kez oturum açtıktan sonra cihaz, bulut kaynaklarına erişmek için etki alanı denetleyicisinin görüş hattına ihtiyaç duymaz. Windows 10/11, parolanın değiştirilmesi dışında İnternet bağlantısı olan her yerden Microsoft Entra uygulamalarında çoklu oturum açma özelliğine sahip olabilir. İş İçin Windows Hello ile oturum açan kullanıcılar, bir parola değişikliğinden sonra bile, etki alanı denetleyicilerini görmedikleri halde Microsoft Entra uygulamalarında çoklu oturum açmaya devam ederler.

Şirket ağı dışında bir parola değiştirilirse (örneğin, Microsoft Entra SSPR kullanılarak), kullanıcı yeni parolayla oturum açma başarısız olur. Microsoft Entra hibrite katılmış cihazlar için birincil yetkili şirket içi Active Directory. Bir cihaz bir etki alanı denetleyicisini görme çizgisine sahip olmadığında yeni parolayı doğrulayamaz. Kullanıcının yeni parolasıyla cihazda oturum açabilmesi için önce etki alanı denetleyicisiyle (VPN aracılığıyla veya şirket ağında) bir bağlantı kurması gerekir. Aksi takdirde, Windows'ta önbelleğe alınmış oturum açma özelliği nedeniyle yalnızca eski parolalarıyla oturum açabilirler. Ancak eski parola, belirteç istekleri sırasında Microsoft Entra Id tarafından geçersiz kılınmış ve bu nedenle çoklu oturum açmayı engeller ve kullanıcı bir uygulamada veya tarayıcıda yeni parolasıyla kimlik doğrulaması yapılana kadar cihaz tabanlı Koşullu Erişim ilkeleri başarısız olur. Microsoft Entra'ya katılmış cihazları kullanıyorsanız bu sorun oluşmaz.

• Windows 10/11 Microsoft Entra kayıtlı cihazlar için Ayarlar> Hesaplara>İş veya Okula Erişim'e gidin. Hesabınızı seçin ve Bağlantıyı Kes'i seçin. Cihaz kaydı, Windows 10/11'de kullanıcı profili başınadır.
• iOS ve Android için Microsoft Authenticator uygulamasını Ayarlar> Cihaz Kaydı'nı kullanabilir ve Cihazın kaydını sil'i seçebilirsiniz.
• macOS için Microsoft Intune Şirket Portalı uygulamasını kullanarak cihazın yönetim kaydını kaldırabilir ve tüm kayıtları kaldırabilirsiniz.

Windows 10 sürüm 2004 ve daha eski sürümler için bu işlem Workplace Join (WPJ) kaldırma aracıyla otomatikleştirilebilir.

Kullanıcılarınızın şirket etki alanınıza katılmış, Microsoft Entra'ya katılmış veya Microsoft Entra karmasına katılmış Windows 10/11 cihazlarınıza başka iş hesapları eklemesini engellemek için aşağıdaki kayıt defterini etkinleştirin. Bu ilke, etki alanına katılmış makinelerin Microsoft Entra'nın yanlışlıkla aynı kullanıcı hesabına kaydedilmesini engellemek için de kullanılabilir.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

İlgili içerik

• Microsoft Hata Arama Aracı