通过

在 Intune 中排查基于 Windows 10 组策略的自动注册问题

本文提供了有关使用组策略触发 Active Directory(AD)已加入域的设备自动注册到移动设备管理(MDM)时的故障排除指南。 有关此功能的详细信息,请参阅 使用组策略自动注册 Windows 10 设备。

验证配置

在开始故障排除之前,最好验证是否已正确配置所有内容。 如果在验证期间无法修复此问题,可以通过检查一些重要的日志文件来进一步进行故障排除。

  • 验证是否向尝试注册设备的用户分配了有效的 Intune 许可证。

    屏幕截图显示用于验证 Intune 许可证的选项。

  • 验证是否为将在 Intune 中注册设备的所有用户启用自动注册。 有关详细信息,请参阅 Microsoft Entra ID 和 Microsoft Intune:新门户中的自动 MDM 注册。

    屏幕截图显示用于验证自动注册的选项。

    • 验证 MDM 用户范围 是否设置为 “全部 ”,以允许所有用户在 Intune 中注册设备。
    • 验证 MAM 用户范围是否设置为“无”。 否则,此设置将优先于 MDM 范围并导致问题。
    • 验证 MDM 发现 URL 是否已设置为 https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc

  • 验证设备是否正在运行 Windows 10 版本 1709 或更高版本。

  • 验证设备是否已设置为 Microsoft Entra 混合联接。 此设置意味着设备既已加入域,又Microsoft已加入 Entra。

    若要验证设置,请在命令行中运行 dsregcmd /status 。 然后,验证输出中的以下状态值:

    • 设备状态

      AzureAdJoined: YES
DomainJoined: YES

    • SSO 状态

      AzureAdPrt: YES

    可以在已联接的 Microsoft Entra 设备列表中找到相同的信息:

    屏幕截图显示了已加入 entra 的设备Microsoft列表。

  • Microsoft Intune 和 Microsoft Intune 注册可能在“Microsoft Entra”边栏选项卡中的“移动性”(MDM 和 MAM)列出。 如果两者都存在,请确保在 Microsoft Intune配置自动注册设置。

  • 验证是否已将以下组策略策略设置成功部署到应在 Intune 中注册的所有设备:

    计算机配置>策略>管理模板>Windows 组件>MDM>使用默认Microsoft Entra 凭据启用自动 MDM 注册

    可以联系域管理员,验证组策略策略设置是否已成功部署。

  • 确保设备未使用经典电脑代理在 Intune 中注册。

  • 验证Microsoft Entra ID 和 Intune 中的以下设置:

    在 Microsoft Entra 设备设置中:

    • 用户可以 将设备加入Microsoft Entra ID 设置设置为 “全部”。
    • 用户在 Microsoft Entra ID 中拥有的设备数不超过 每个用户 配额的最大设备数。

    Intune 注册限制:

    • 允许注册 Windows 设备。

      屏幕截图显示了允许注册 Windows 设备。

查看 MDM 日志

如果问题仍然存在,请检查设备上的 MDM 日志,该日志位于事件查看器的以下位置:

应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider Admin>

查找事件 ID 75(事件消息“自动 MDM 注册:成功”)。 此事件指示自动注册成功。

以下情况下不会记录事件 ID 75:

  • 注册失败。

    若要验证此错误,请查找事件 ID 76(事件消息:自动 MDM 注册:失败(未知 Win32 错误代码:0x8018002b)。 此事件表示自动注册失败。

    有关此错误的解决方法,请参阅 Microsoft Intune 中的 Windows 设备注册问题疑难解答。

  • 注册根本不触发。 在这种情况下,不会记录事件 ID 75 和事件 ID 76。 请继续阅读下一节。

自动注册任务疑难解答

自动注册过程由以下任务触发: 计划由注册客户端创建,以便从 Microsoft Entra ID 自动注册 MDM

此任务位于任务计划程序Microsoft>Windows>EnterpriseMgmt 下。

使用默认Microsoft Entra 凭据组策略设置成功部署到目标设备时,将创建此任务。 该任务计划在一天内每 5 分钟运行一次。

若要验证任务是否已触发并完成,请检查任务计划程序事件日志事件查看器(应用程序和服务日志>Microsoft > Windows > 任务计划程序>作):

  • 在计划程序上触发任务时,将记录事件 ID 107。

  • 任务完成后,将记录事件 ID 102。 无论自动注册是否成功,都记录该事件。

    备注

    可以使用任务计划程序日志来检查是否触发了自动注册。 但是,不能使用日志来确定自动注册是否成功。

注册客户端为从 Microsoft Entra ID 任务自动注册 MDM 而创建的计划可能无法在以下情况下启动:

  • 设备已在另一个 MDM 解决方案中注册。 在这种情况下,事件 ID 7016 以及错误代码2149056522记录在 Windows>任务计划程序>作事件日志Microsoft>应用程序和服务日志>中。

    若要解决此问题,请从 MDM 取消注册设备。

  • 存在组策略问题。 在这种情况下,请运行以下命令来强制更新组策略设置:

    gpupdate /force

    如果问题仍然存在,请对 Active Directory 执行其他故障排除。