为 Microsoft Entra 混合联接的 Windows 10 设备或更新版本的设备不显示在“USER 设备”下。 使用“所有设备”视图。 还可以使用 PowerShell Get-MgDevice cmdlet。
“用户设备”下面只会列出以下设备:
- 所有 Microsoft Entra 混合联接的个人设备。
- 所有非 Windows 10 或更新版本的设备以及 Windows Server 2016 或更高版本的设备。
- 所有非 Windows 设备。
转到“所有设备”。 使用设备 ID 搜索设备。 检查“联接类型”列下的值。 有时,设备可能已重置或已重置映像。 因此,还必须检查设备上的设备注册状态:
- 对于 Windows 10 或更新版本以及 Windows Server 2016 或更高版本的设备,请运行
dsregcmd.exe /status
。 - 对于低级别操作系统版本,请运行
%programFiles%\Microsoft Workplace Join\autoworkplace.exe
。
有关排除故障的信息,请参阅以下文章:
如果用户和设备属于同一租户,Windows 客户端将从 Microsoft Entra ID 中提取 PRT。 如果未注册设备或用户不是成员,则用户不会获取另一个租户的 PRT。 如果两个租户通过 B2B 相互信任,则始终可以从主租户创建跨租户 B2B 访问和信任设备声明。
deviceID 所显示的设备加入状态必须与 Microsoft Entra ID 上的状态相符,并且必须符合条件性访问的任何评估条件。 有关详细信息,请参阅通过条件访问要求使用受管理设备进行云应用访问。
在已建立 Microsoft Entra ID 联接或向其注册的 Windows 10/11 设备上,会为用户颁发一个主刷新令牌 (PRT),这将启用单一登录。 PRT 的有效性取决于设备本身的有效性。 如果在 Microsoft Entra ID 中删除或禁用设备,而未从设备本身启动操作,则用户将看到此消息。 对于以下任一情况,均可以在 Microsoft Entra 中删除或禁用设备:
- 用户从“我的应用”门户禁用设备。
- 管理员(或用户)删除或禁用设备。
- 仅已建立 Microsoft Entra 混合联接:管理员将设备 OU 移除出同步范围,导致设备从 Microsoft Entra ID 中删除。
- 仅已建立 Microsoft Entra 混合联接:管理员在本地禁用计算机帐户,导致设备在 Microsoft Entra ID 中被禁用。
- 升级 Microsoft Entra Connect 到版本 1.4.xx.x。 了解 Microsoft Entra Connect 1.4.xx.x 和设备消失。
此操作是有意为之。 在这种情况下,设备无权访问云中的资源。 管理员可对陈旧、丢失或被盗的设备执行此操作,以防止未经授权的访问。 如果无意中执行了此操作,则需通过以下步骤重新启用或重新注册设备:
如果在 Microsoft Entra ID 中禁用了设备,具有足够特权的管理员可在 Microsoft Entra 管理中心启用该设备。
备注
如果你使用 Microsoft Entra Connect 来同步设备,则已加入 Microsoft Entra 混合的设备会在下一同步周期中自动重新启用。 因此,如果需要禁用已建立 Microsoft Entra 混合联接的设备,则需要从本地 AD 将其禁用。
如果在 Microsoft Entra ID 中删除了设备,则需要重新注册该设备。 若要重新注册,必须在设备上执行手动操作。 有关根据设备状态重新注册的说明,请参阅以下步骤。
若要重新注册已混合加入 Microsoft Entra 的 Windows 10/11 和 Windows Server 2016/2019 设备,请执行以下步骤:
- 以管理员身份打开命令提示符。
- 输入
dsregcmd.exe /debug /leave
。 - 注销并再次登录,以触发可以将设备注册到 Microsoft Entra ID 的计划任务。
对于已加入 Microsoft Entra 混合的下层 Windows OS 版本,请执行以下步骤:
- 以管理员身份打开命令提示符。
- 输入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"
。 - 输入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"
。
对于已加入 Microsoft Entra 的 Windows 10/11 设备,请执行以下步骤:
- 以管理员身份打开命令提示符
- 输入
dsregcmd /forcerecovery
(需要成为管理员才能执行此操作)。 - 在打开的对话框中单击“登录”,然后继续完成登录过程。
- 在设备上退出登录并重新登录,以完成恢复。
对于已注册 Microsoft Entra 的 Windows 10/11 设备,请执行以下步骤:
- 转到“设置”>“帐户”>“访问工作单位或学校” 。
- 选择帐户,然后选择“断开连接”。
- 单击“+ 连接”,然后通过登录过程再次注册该设备。
- 对于 Windows 10 或更新版本和 Windows Server 2016 或更高版本,如果反复尝试分离再重新加入同一个设备,则可能会出现重复条目。
- 使用“添加工作或学校帐户”的每个 Windows 用户将创建具有相同设备名称的新设备记录。
- 对于已加入本地 Azure Directory 域的低级别 Windows 操作系统版本,自动注册将为登录设备的每个域用户创建具有相同设备名称的新设备记录。
- 在擦除后重新安装并使用相同名称重新加入 Microsoft Entra 联接计算机会显示为具有相同设备名称的另一条记录。
Windows 10/11 设备注册仅支持符合 FIPS 的 TPM 2.0,而不支持 TPM 1.2。 如果设备具有符合 FIPS 的 TPM 1.2,则必须先将其禁用,然后才能继续进行 Microsoft Entra 联接或 Microsoft Entra 混合联接。 Microsoft 不提供任何工具来禁用 TPM 的 FIPS 模式,因为这依赖于 TPM 制造商。 请联系硬件 OEM 获取支持。
从将 Microsoft Entra 设备标记为禁用的时间起,需要长达一小时的时间来应用撤销。
备注
对于已注册的设备,建议擦除该设备,确保用户无法访问这些资源。 有关详细信息,请参阅什么是设备注册?。
从 Windows 10 1803 版本开始,Microsoft Entra ID 添加了对多个 Microsoft Entra 帐户的支持。 但是,Windows 10/11 将设备上的 Microsoft Entra 帐户数限制为 3 个,以限制令牌请求的大小并启用可靠的单一登录 (SSO)。 添加 3 个帐户后,用户在添加后续帐户时看到错误。 错误屏幕上的“其他问题信息”提供了以下消息,指出原因 -“由于达到帐户限制,添加帐户操作被阻止”。
MS-Organization-Access 证书由 Microsoft Entra 设备注册服务在设备注册过程中颁发。 这些证书会颁发给 Windows 上支持的所有联接类型 - Microsoft Entra 联接、Microsoft Entra 混合联接和Microsoft Entra 注册的设备。 在此类证书颁发后,它们就用作设备中身份验证过程的一部分,以请求主刷新令牌 (PRT)。 对于已建立 Microsoft Entra 联接和 Microsoft Entra 混合联接的设备,该证书位于“本地计算机\个人\证书”中,而对于已注册 Microsoft Entra 的设备,证书位于“当前用户\个人\证书”中。 所有 MS-Organization-Access 证书的默认生存期为 10 年。 从 Microsoft Entra ID 取消注册设备时,将从相应的证书存储中删除这些证书。 任何无意中删除此证书的操作都会导致用户的身份验证失败,并且在这种情况下需要重新注册设备。
对于纯 Microsoft Entra 联接设备,请确保拥有脱机本地管理员帐户或创建一个该账户。 无法使用 Microsoft Entra 用户凭据登录。 接下来,转到“设置”>“帐户”>“访问工作单位或学校”。 选择帐户,然后选择“断开连接”。 按照提示操作,并在出现提示时提供本地管理员凭据。 重新启动设备以完成取消加入过程。
是的。 Windows 具有缓存用户名和密码功能,该功能允许先前登录的用户即使没有网络连接也能快速访问桌面。
当设备在 Microsoft Entra ID 中被删除或禁用时,Windows 设备不会知道此情况。 因此,先前登录的用户继续使用缓存的用户名和密码访问桌面。 但是,由于设备已删除或禁用,用户无法访问由基于设备的条件访问保护的任何资源。
先前没有登录的用户无法访问设备。 他们没有启用的缓存用户名和密码。
可以,但时间有限。 在 Microsoft Entra ID 中已删除或禁用用户时,Windows 设备不会立即知道此情况。 因此,先前登录的用户可以使用缓存的用户名和密码访问桌面。
通常,设备在不到 4 小时的时间内即可了解用户状态。 然后 Windows 会阻止这些用户访问桌面。 由于在 Microsoft Entra ID 中已删除或禁用用户,因此他们的所有令牌都会撤销。 因此他们无法访问任何资源。
先前未登录的已删除或禁用用户无法访问设备。 他们没有启用的缓存用户名和密码。
否,目前来宾用户无法登录 Microsoft Entra 联接设备。
组织可以选择使用预身份验证部署 Windows Server 混合云打印,或为其加入 Microsoft Entra 的设备部署通用打印。
是否配置了某些条件访问规则以要求特定的设备状态? 如果设备不满足条件,就会阻止用户,并且他们会看到该消息。 评估条件访问策略规则。 确保设备满足条件,避免出现该消息。
出现这种情况的常见原因如下:
- 用户凭据不再有效。
- 计算机无法与 Microsoft Entra ID 通信。 请检查是否存在任何网络连接问题。
- 联合登录要求联合服务器支持已启用的和可访问的 WS-Trust 终结点。
- 已启用传递身份验证。 因此,登录时需要更改临时密码。
目前,Microsoft Entra 联接设备不会强制用户更改锁屏界面密码。 使用临时密码或过期密码的用户登录 Windows 后,仅在访问特定应用程序(需要 Microsoft Entra 令牌)时才会被迫更改密码。
在未分配到相应许可证的情况下使用 Intune 设置 Microsoft Entra 自动注册时会发生此错误。 确保尝试进行 Microsoft Entra 联接的用户已获得正确的 Intune 许可证。 有关详细信息,请参阅设置 Windows 设备的注册。
可能是由于使用本地内置管理员帐户登录到设备。 请在使用 Microsoft Entra 加入之前创建不同的本地帐户以完成设置。
P2P 服务器应用程序是由 Microsoft Entra ID 注册的应用程序,用于启用与租户中任何已加入 Microsoft Entra 或已混合加入 Microsoft Entra 的 Windows 设备的远程桌面协议 (RDP) 连接。 此应用程序创建由 Microsoft Entra 的证书颁发机构颁发的租户范围证书,并用于为 RDP 连接颁发 RDP 设备和用户证书。 若要确保这是正确的应用程序,可以在 Microsoft Entra 管理中心>应用程序>企业应用程序中找到 P2P 服务器应用程序的对象 ID。 移除应用的默认筛选器,即可看到所有应用程序。 使用 Microsoft Graph API 比较此对象 ID,使用 GET /servicePrincipals/{objectid} 查询详细信息,并确认 servicePrincipalNames 属性为 urn:p2p_cert
属性。
MS-Organization-P2P-Access 证书由 Microsoft Entra ID 颁发给 Microsoft Entra 联接和 Microsoft Entra 混合联接的设备。 这些证书用于在同一租户中的设备之间为远程桌面场景启用信任。 一个证书颁发给设备,另一个颁发给用户。 设备证书在 Local Computer\Personal\Certificates
中提供,且有效期为一天。 如果设备在 Microsoft Entra ID 中仍然处于活动状态,则续订此证书(通过颁发新证书)。 用户证书不是持久性证书,有效期为一小时,但会在用户尝试与另一个已建立 Microsoft Entra 联接的设备进行远程桌面会话时按需颁发。 到期不续期。 这两个证书都是使用 Local Computer\AAD Token Issuer\Certificates
中的 MS-Organization-P2P-Access 证书颁发的。 此证书由 Microsoft Entra ID 在设备注册期间颁发。
无法在已建立 Microsoft Entra 联接的设备上禁用以前的缓存登录或使其过期。
对于已建立 Microsoft Entra 混合联接的设备,请确保按照受控的验证一文所述关闭 AD 中的自动注册。 然后计划任务不再注册设备。 接下来,以管理员身份打开命令提示符并输入 dsregcmd.exe /debug /leave
。 或者将此命令作为脚本在多个设备上运行,以批量取消加入。
有关排除故障的信息,请参阅以下文章:
用户在已加入域的设备上将其帐户添加到应用时,可能会提示他们“将帐户添加到 Windows?”如果他们在提示处输入“Yes”,该设备就会注册到 Microsoft Entra ID。 信任类型标记为已注册 Microsoft Entra。 在组织中启用 Microsoft Entra 混合联接后,设备也会获得 Microsoft Entra 混合联接。 然后显示同一设备的两种设备状态。
在大多数情况下,Microsoft Entra 混合加入优先于 Microsoft Entra 已注册状态,从而导致设备被视为已加入 Microsoft Entra 混合,因此能够进行任何身份验证和条件访问评估。 但是,有时这种双重状态会导致对设备的评估不确定并导致访问问题。 强烈建议升级到 Windows 10 版本 1803 及更高版本,我们会在其中自动清除 Microsoft Entra 已注册状态。 了解如何避免或清除 Windows 10 计算机上的这种双重状态。
Windows 10 2004 更新支持 UPN 更改,也适用于 Windows 11。 如果用户的设备上包含此更新,他们在更改其 UPN 后就不会出现任何问题。
Microsoft Entra 混合联接设备不完全支持旧版 Windows 10 上的 UPN 更改。 虽然用户可以登录到设备并访问其本地应用程序,但在 UPN 更改后,他们的 Microsoft Entra ID 身份验证仍会失败。 这样一来,用户的设备上会存在 SSO 和条件访问问题。 你需要从 Microsoft Entra ID 中分离设备(使用提升的权限运行“dsregcmd /leave”),然后重新联接(自动执行)来解决问题。
否,除非用户的密码已更改。 在 Windows 10/11 Microsoft Entra 混合联接已完成,并且用户至少登录了一次之后,设备无需连接到域控制器即可访问云资源。 Windows 10/11 可以通过 Internet 连接从任何位置单一登录到 Microsoft Entra 应用程序(除非更改了密码时)。 使用 Windows Hello 企业版登录的用户甚至可在密码更改之后继续单一登录到 Microsoft Entra 应用程序,即使他们未连接到其域控制器。
如果在企业网络外部更改密码(例如使用 Microsoft Entra SSPR 进行),则使用新密码登录的用户将失败。 对于已建立 Microsoft Entra 混合联接的设备,本地 Active Directory 是主要颁发机构。 当设备未连接到域控制器时,便无法验证新密码。 用户需要先建立与域控制器的连接(通过 VPN 或使用企业网络),然后才能通过新密码登录到该设备。 否则,由于 Windows 中的缓存登录功能,他们只能用旧密码登录。 但是,旧密码在令牌请求期间因 Microsoft Entra ID 而失效,因此会阻止单一登录,并使任何基于设备的条件访问策略失败,直到用户在应用或浏览器中使用新密码进行身份验证。 如果你使用已联接 Microsoft Entra 的设备,则不会出现此问题。
- 对于已注册 Microsoft Entra 的 Windows 10/11 设备,请转到“设置”>“帐户”>“访问工作单位或学校”。 选择帐户,然后选择“断开连接”。 在 Windows 10/11 上,设备注册是按每个用户配置文件进行的。
- 对于 iOS 和 Android,可使用 Microsoft Authenticator 应用程序的“设置”>“设备注册”,并选择“注销设备” 。
- 对于 macOS,可使用 Microsoft Intune 公司门户应用程序从管理中取消注册设备,并删除任何注册。
对于 Windows 10 2004 和更旧版本,可通过 Workplace Join (WPJ) 删除工具自动执行此过程。
备注
此工具将删除设备上的所有 SSO 帐户。 完成此操作后,所有应用程序都将丢失 SSO 状态,并且设备将从管理工具 (MDM) 和云中注销。 应用程序下次尝试登录时,用户将被要求重新添加帐户。
启用以下注册表来阻止用户将其他工作帐户添加到已建立企业域联接、Microsoft Entra 联接或 Microsoft Entra 混合联接的 Windows 10/11 设备。 此策略还可用于阻止加入域的计算机无意中使用同一用户帐户注册到 Microsoft Entra。
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001