Share via

在 Microsoft Entra ID 中排查企业状态漫游设置问题

  • 项目

本文介绍了如何排查和诊断企业状态漫游问题,并提供已知问题的列表。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

注意

本文适用于 2015 年 7 月与 Windows 10 一起推出的 Microsoft Edge 旧版 HTML 浏览器。 本文不适用于 2020 年 1 月 15 日发布的基于 Chromium 的新 Microsoft Edge 浏览器。 有关新 Microsoft Edge 的同步行为的详细信息,请参阅 Microsoft Edge 同步文章。

故障排除预备步骤

在开始故障排除之前,请确认已正确配置用户和设备,并且满足企业状态漫游的所有要求。

  1. 已在设备上安装包含最新更新的 Windows 10 或更新版本,最低版本 1511(OS 内部版本 10586 或更高)。
  2. 设备已加入 Microsoft Entra 或已进行 Microsoft Entra 混合加入。 有关详细信息,请参阅如何使设备受 Microsoft Entra ID 控制
  3. 确保如启用企业状态漫游中所述在 Microsoft Entra ID 中为租户启用了企业状态漫游。 可以为所有用户启用漫游,也可以仅为选定的一组用户启用漫游。
  4. 将向用户分配 Microsoft Entra ID P1 或 P2 许可证。
  5. 必须重启设备,并且用户必须重新登录才能访问企业状态漫游功能。

需要帮助时应包含的信息

如果根据以下指导仍然无法解决问题,请联系我们的支持工程师。 在联系支持工程师时,请提供以下信息:

  • 错误的一般说明:用户是否看到了错误消息? 如果没有任何错误消息,请详细描述所发现的意外行为。 为同步启用了哪些功能,用户可同步哪些内容? 多个功能是否不能同步,或者说只能同步一个功能?
  • 受影响的用户 – 同步的成功/失败是针对一个用户还是多个用户? 每个用户涉及到多少台设备? 这些设备是否全都不能同步,或者只是同步其中的一部分?
  • 关于用户的信息 - 用户登录到设备时使用的是哪个标识? 用户如何登录到设备? 他们是否属于可同步的选定安全组?
  • 关于设备的信息 – 此设备是否已加入 Microsoft Entra 或已加入域? 设备位于哪个内部版本中? 有哪些最新的更新?
  • 日期/时间/时区 – 看到错误时的准确日期和时间(包括时区)是什么?

包含这些信息有助于我们尽快解决问题。

排查和诊断问题

本部分提供有关如何排查和诊断企业状态漫游相关问题的建议。

验证同步;“同步设置”设置页

  1. 将 Windows 10 或更新版本电脑加入到配置为允许企业状态漫游的域之后,请使用工作帐户登录。 转到“设置”>“帐户”>“同步设置”,确认同步和各项设置已打开,并且设置页的顶部指示将与工作帐户同步。 在“设置”>“帐户”>“信息”中确认同一个帐户也用作登录帐户。

  2. 在原始计算机上进行一些更改(例如,将任务栏移到屏幕各处),验证同步是否能够跨多台计算机正常工作。 观察更改能否在 5 分钟内传播到第二台计算机。

    • 可以借助锁定和解锁屏幕 (Win + L) 来触发同步。
    • 必须在这两台 PC 上使用同一帐户登录,同步才能工作 - 因为企业状态漫游绑定到用户帐户,而不是计算机帐户。

潜在问题:如果“设置”页中的控件不可用,并且看到了消息“仅当你使用的是 Microsoft 帐户或工作帐户时,某些 Windows 功能才可用。” 对于设置为要加入域并注册到 Microsoft Entra ID 但尚未在 Microsoft Entra ID 中进行身份验证的设备,可能会出现此问题。 一个可能的原因是必须应用设备策略,但这种策略应用是异步发生的,可能会花费几个小时。

验证设备注册状态

企业状态漫游要求将设备注册到 Microsoft Entra ID。 尽管不专门针对企业状态漫游,但使用以下说明可帮助确认 Windows 10 或更新版本客户端是否已注册,并确认指纹、Microsoft Entra 设置 URL、NGC 状态和其他信息。

  1. 打开未提升权限的命令提示符。 若要在 Windows 中执行此操作,请打开“运行”启动器 (Win + R) 并键入“cmd”。
  2. 命令提示符打开后,键入 *dsregcmd.exe /status*
  3. 在预期的输出中,AzureAdJoined 字段值应为 YES,WamDefaultSet 字段值应为 YES,WamDefaultGUID 字段值应是末尾为 (AzureAD) 的 GUID。

潜在问题:“WamDefaultSet”和“AzureAdJoined”的字段值中都包含“NO”,设备已加入域并已注册到 Microsoft Entra ID,且设备未同步。如果显示此信息,则设备可能需要等待应用策略,或者在连接到 Microsoft Entra ID 时设备的身份验证失败。 用户可能需要等待几个小时来应用策略。 其他故障排除步骤可能包括通过注销再重新登录,或者在任务计划程序中启动任务,来重试自动注册。 某些情况下,在权限提升的命令提示窗口中运行“dsregcmd.exe /leave”,重新启动,并重试注册,可能有助于解决此问题。

潜在问题:“SettingsUrl”字段为空,且设备未同步。用户最后一次登录设备时,可能还没有启用企业状态漫游。 重启设备并让用户登录。 (可选)在门户中,尝试让 IT 管理员导航到“标识”>“设备”>“概述”>“企业状态漫游”禁用并重新启用“用户可以跨设备同步设置和应用数据”。 重新启用后,重新启动设备并让用户登录。 如果这未解决该问题,则在设备证书错误的情况下,“SettingsUrl”可能为空。 在此情况下,在权限提升的命令提示符窗口中运行“dsregcmd.exe /leave”,重启然后重试注册,可能有助于解决此问题。

企业状态漫游和多重身份验证

在某些情况下,如果配置 Microsoft Entra 多重身份验证,企业状态漫游可能无法同步数据。 有关这些症状的详细信息,请参阅支持文档 KB3193683

潜在问题:如果在 Microsoft Entra 管理中心中将设备配置为要求进行多重身份验证,则在使用密码登录到 Windows 10 或更新版本设备时可能无法对设置进行同步。 这种多重身份验证配置旨在保护 Azure 管理员帐户。 通过 Windows Hello for Business PIN 或通过访问其他 Azure 服务(如 Microsoft 365)时完成多重身份验证,管理员用户仍能登录到 Windows 10 或更高版本的设备,从而进行同步。

潜在问题:如果管理员配置 Active Directory 联合身份验证服务多重身份验证条件访问策略,且设备上的访问令牌过期,那么同步可能会失败。 请确保使用 Windows Hello for Business PIN 进行登录和注销,或在访问其他 Azure 服务(如 Microsoft 365)时完成多重身份验证。

事件查看器

要进行高级故障排除,可以使用事件查看器查找特定的错误。 依次转到“事件查看器”>“应用程序和服务日志”>“Microsoft”>“Windows”>“SettingSync-Azure”下面可以查看事件;对于与标识相关的问题,依次同步转到“应用程序和服务日志”>“Microsoft”>“Windows”>“Microsoft Entra ID”。

已知问题

在使用 MDM 软件加载了应用端的设备上无法同步

会影响到运行 Windows 10 周年更新(版本 1607)的设备。 在事件查看器中的 SettingSync-Azure 日志下面,经常会出现事件 ID 6013 和错误 80070259。

建议的操作
确保在 Windows 10 v1607 客户端上安装 2016 年 8 月 23 日累积更新(KB3176934 OS 内部版本 14393.82)。

在已加入域的设备上,“日期、时间和地区”设置不同步

在已加入域的设备上使用自动时间时,“日期、时间和地区”设置不同步。 使用自动时间可能会覆盖其他“日期、时间和地区”设置,导致这些设置不同步。

建议的操作
无。

已加入域的设备在脱离企业网络后不同步

如果已加入域并已注册到 Microsoft Entra ID 的设备长时间离线并且域身份验证无法完成,则可能会发生同步失败。

建议的操作
将设备连接到企业网络即可恢复同步。

已加入 Microsoft Entra 的设备不同步,且用户具有混合大小写的用户主体名称

如果用户的 UPN 混用大小写(例如,UserName 而非 username),并且该用户位于已从 Windows 10 内部版本 10586 升级到 14393 的已加入 Microsoft Entra 的设备上,则用户的设备可能无法同步。

建议的操作
用户需要断开联接并将设备重新加入到云中。 为此,请以本地管理员用户身份登录,并通过转到“设置”>“系统”>“关于”使设备脱离,再选择“从工作或学校管理或断开”。 清理以下文件,Microsoft Entra 将通过以下方式再次加入设备:转到“设置”>“系统”>“关于”,并选择“连接到工作或学校”。 继续将设备加入到 Microsoft Entra ID 并完成该流。

在清理步骤中,清除以下文件:

  • C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\ 中的 settings.dat
  • C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account 文件夹下的所有文件

事件 ID 6065: 80070533 此用户无法登录,因为此帐户当前已禁用

如果用户凭据过期,则事件查看器的 SettingSync/Debug 日志下可能会出现此错误。 此外,如果租户未自动预配 AzureRMS,也可能会出现此错误。

建议的操作
在第一种情况下,让用户更新其凭据并使用新凭据登录到设备。 若要解决 AzureRMS 问题,请继续执行 KB3193791 中列出的步骤。

事件 ID 1098: 错误: 0xCAA5001C 令牌代理操作失败

在事件查看器中的 AAD/Operational 日志下,可能会出现此错误,其中附带消息 Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F。 如果缺少权限或所有权属性,将出现此问题。

建议的操作
执行 KB3196528 中所列的步骤。

后续步骤

有关概述,请参阅企业状态漫游概述