Microsoft Entra 裝置管理常見問題

已混合式加入 Microsoft Entra 的 Windows 10 或更新版本裝置不會顯示在 [使用者裝置] 底下。 使用 [所有裝置] 檢視。 您也可以使用 PowerShell Get-MgDevice Cmdlet。

只有下列裝置會列在 [使用者裝置] 底下：

• 所有未混合式加入 Microsoft Entra 的個人裝置。
• 所有非 Windows 10 或更新版本的裝置，以及 Windows Server 2016 或更新版本的裝置。
• 所有非 Windows 裝置。

移至 [所有裝置]。 使用裝置識別碼來搜尋裝置。 檢查加入類型資料行中的值。 有時，可能會將裝置重設或重新安裝映像。 因此，檢查裝置上的裝置註冊狀態也很重要：

• 針對 Windows 10 或更新版本的裝置，以及 Windows Server 2016 或更新版本的裝置，執行 dsregcmd.exe /status。
• 針對舊版 OS 版本，請執行%programFiles%\Microsoft Workplace Join\autoworkplace.exe。

如需疑難排解資訊，請參閱下列文章：

• 使用 dsregcmd 命令針對裝置進行疑難排解
• 針對混合式 Microsoft Entra 混合式加入 Windows 10 與 Windows Server 2016 裝置進行疑難排解
• Microsoft Entra 混合式加入下層裝置的疑難排解

如果使用者和裝置屬於相同的租用戶，則 Windows 用戶端會從 Microsoft Entra ID 擷取 PRT。 如果未註冊裝置或使用者不是該租用戶的成員，則該使用者取得其他租用戶的 PRT。 如果兩個租用戶透過 B2B 相互信任，則您可以一律從主租用戶建立跨租用戶 B2B 存取和信任裝置宣告。

deviceID 所顯示的裝置加入狀態必須與 Microsoft Entra ID 上的狀態相符，並滿足條件式存取的所有評估準則。 如需詳細資訊，請參閱透過條件式存取要求必須從受控裝置存取雲端應用程式 \(部分機器翻譯\)。

在已加入或已向 Microsoft Entra ID 註冊的 Windows 10/11 裝置上，系統會向使用者核發主要重新整理權杖 (PRT) \(部分機器翻譯\)，這可啟用單一登入。 PRT 的有效性會取決於裝置本身的有效性。 如果該裝置在沒有從裝置本身起始刪除或停用動作的情況下，於 Microsoft Entra ID 中刪除或停用，使用者便會看見此訊息。 您可以使用下列其中一個案例，在 Microsoft Entra 中刪除或停用裝置：

• 使用者從 [我的應用程式] 入口網站停用裝置。
• 系統管理員 (或使用) 會刪除或停用裝置。
• 僅限已混合式加入 Microsoft Entra 的裝置：系統管理員移除裝置 OU 不同步範圍，導致系統從 Microsoft Entra ID 刪除該裝置。
• 僅限已混合式加入 Microsoft Entra：系統管理員停用內部部署的電腦帳戶，導致裝置在 Microsoft Entra ID 中停用裝置。
• 將 Microsoft Entra Connect 升級至 1.4.xx.x 版。 了解 Microsoft Entra Connect 1.4. x 和裝置消失 (部分機器翻譯)。

這是刻意安排的作業。 在此情況下，該裝置無法存取雲端中的資源。 系統管理員可以針對過時、遺失或遭竊的裝置執行此動作，以防止未經授權的存取。 如果這是不慎執行的動作，您必須使用下面的步驟重新啟用或重新註冊裝置：

• 如果裝置已在 Microsoft Entra ID 中停用，具有足夠權限的系統管理員可以在 Microsoft Entra 系統管理中心加以啟用。

  注意

  如果您要使用 Microsoft Entra Connect 來同步處理裝置，系統將會在下一個同步處理週期期間自動重新啟用已混合式加入 Microsoft Entra 的裝置。 因此，如果您需要停用已混合式加入 Microsoft Entra 的裝置，您必須從內部部署 AD 中加以停用。

• 如果裝置已在 Microsoft Entra ID 中刪除，您需要重新註冊該裝置。 若要重新註冊，您必須在該裝置上採取手動動作。 如需根據裝置狀態重新註冊的指示，請參閱下列步驟。

  若要重新註冊已混合式加入 Microsoft Entra 的 Windows 10/11 和 Windows Server 2016/2019 裝置，請執行下列步驟：

  1. 以系統管理員身分開啟命令提示字元。
  2. 輸入 dsregcmd.exe /debug /leave。
  3. 登出後再登入，以觸發向 Microsoft Entra ID 重新註冊裝置的排定工作。

  針對已混合式加入 Microsoft Entra 的低層級 Windows OS 版本，請執行下列步驟：

  1. 以系統管理員身分開啟命令提示字元。
  2. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"。
  3. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"。

  針對已加入 Microsoft Entra 的 Windows 10/11 裝置，請執行下列步驟：

  1. 以系統管理員身分開啟命令提示字元
  2. 輸入 dsregcmd /forcerecovery (您必須是系統管理員才能執行此動作)。
  3. 在隨即開啟的對話方塊中按一下 [登入]，然後繼續執行登入程序。
  4. 登出並重新登入裝置以完成復原。

  針對已註冊 Microsoft Entra 的 Windows 10/11 裝置，請執行下列步驟：

  1. 移至 [設定]>[帳戶]>[存取公司或學校資源]。
  2. 選取帳戶，然後選取 [中斷連線]。
  3. 按一下 [+ 連線]，然後完成登入程序以再次註冊裝置。

• 就 Windows 10 或更新版本和 Windows Server 2016 或更新版本而言，如果重複嘗試將同一個裝置取消加入再重新加入，就可能導致產生重複的項目。
• 每個使用 [新增工作或學校帳戶] 的 Windows 使用者都會以相同的裝置名稱建立一個新裝置記錄。
• 針對已加入內部部署 Active Directory 網域的舊版 Windows OS 版本，自動註冊會為每個登入裝置的網域使用者，以相同的裝置名稱建立一個新裝置記錄。
• 已加入 Microsoft Entra 的機器如果經過抹除、重新安裝，然後再以相同名稱重新加入，就會顯示成另一個具有相同裝置名稱的記錄。

Windows 10/11 裝置註冊僅支援符合 FIPS 規範的 TPM 2.0，而不支援 TPM 1.2。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2，則必須先加以停用，然後再繼續進行 Microsoft Entra 加入或 Microsoft Entra 混合式加入。 Microsoft 不會提供任何工具來針對 TPM 停用 FIPS 模式，因為其取決於 TPM 製造商。 請連絡您的硬體 OEM 以尋求支援。

從將 Microsoft Entra 裝置標記為停用開始，最多需要一個小時才會套用撤銷。

Microsoft Entra ID 從 Windows 10 1803 版開始，已新增多個 Microsoft Entra 帳戶的支援。 不過，Windows 10/11 會將裝置上的 Microsoft Entra 帳戶數目限制為 3 個，以限制權杖要求的大小，並啟用可靠單一登入 (SSO)。 新增 3 個帳戶之後，使用者會在後續帳戶上看到錯誤。 錯誤畫面上的 [其他問題資訊] 會提供下列訊息指出原因："Add account operation is blocked because account limit is reached" (已封鎖新增帳戶作業，因為已達到帳戶限制)。

MS-Organization-Access 憑證是在裝置註冊程序期間由 Microsoft Entra 裝置註冊服務所發出。 這些憑證會核發至 Windows 上支援所有的加入類型：已加入 Microsoft Entra、已混合式加入 Microsoft Entra 和已註冊 Microsoft Entra 註冊的裝置。 一旦發出後，就會在裝置上用來做為驗證程序的一部分，以要求主要重新整理權杖 (PRT)。 針對已加入 Microsoft Entra 和已混合式加入 Microsoft Entra 的裝置，此憑證存在於本機 Computer\Personal\Certificates，而針對已註冊 Microsoft Entra 的裝置，憑證存在於目前的 User\Personal\Certificates。 所有 MS-Organization-Access 憑證的預設存留期為 10 年。 當裝置從 Microsoft Entra ID 取消註冊時，這些憑證會從對應的憑證存放區刪除。 任何不慎刪除此憑證會導致使用者驗證失敗，且在這種情況下，將需要重新註冊裝置。

針對僅已加入 Microsoft Entra 裝置，請確定您具有離線的本機系統管理員帳戶，或建立一個這樣的帳戶。 您無法使用任何 Microsoft Entra 使用者認證來登入。 接下來，移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶，然後選取 [中斷連線]。 遵循提示，然後在系統提示您時提供本機系統管理員認證。 重新啟動裝置以完成退出程序。

是。 Windows 具有快取使用者名稱和密碼的功能，可讓先前曾登入的使用者即使沒有網路連線，也能快速存取桌面。

當裝置在 Microsoft Entra ID 中被刪除或停用時，Windows 裝置並不知道此狀況。 所以先前曾登入的使用者能夠繼續以快取的使用者名稱和密碼存取桌面。 但是，由於裝置已刪除或停用，因此使用者無法存取任何受到裝置型條件式存取保護的資源。

先前未曾登入的使用者無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

是，但時間有限。 當使用者在 Microsoft Entra ID 中被刪除或停用時，Windows 裝置並不會立即得知此狀況。 所以先前曾登入的使用者能夠以快取的使用者名稱和密碼存取桌面。

一般而言，裝置會在四小時內得知使用者狀態。 然後 Windows 就會封鎖這些使用者對桌面的存取。 由於使用者已在 Microsoft Entra ID 中被刪除或停用，因此系統會撤銷他們的所有權杖。 所以他們無法存取任何資源。

已被刪除或停用的使用者如果先前未曾登入，便無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

否，目前來賓使用者無法登入已加入 Microsoft Entra 的裝置。

組織可以針對已加入 Microsoft Entra 的裝置選擇使用預先驗證來部署 Windows Server 混合式雲端列印或通用列印。

請參閱連線至已加入 Microsoft Entra 的遠端 PC。

您是否設定了某些條件式存取規則來要求特定裝置狀態？ 如果裝置不符合準則，使用者就會被封鎖而看到該訊息。 請評估條件式存取原則規則。 確定裝置符合準則，以避免收到該訊息。

此情況的常見原因如下：

• 您的使用者認證已經無效。
• 您的電腦無法與 Microsoft Entra ID 進行通訊。 請檢查是否有任何網路連線問題。
• 同盟登入會要求同盟伺服器支援已啟用並可供存取的 WS-Trust 端點。
• 您已啟用傳遞驗證。 所以當您登入時，必須變更暫時密碼。

目前，已加入 Microsoft Entra 的裝置並不會在鎖定畫面上強制使用者變更密碼。 因此，當具有暫時或過期密碼的使用者登入 Windows 之後，只有在其存取 (需要 Microsoft Entra 權杖) 應用程式時，系統才會強制該使用者變更密碼。

當您在沒有獲指派適當授權的情況下，使用 Intune 來設定 Microsoft Entra 自動註冊時，就會發生此錯誤。 請確定嘗試加入 Microsoft Entra 的使用者已獲指派正確的 Intune 授權。 如需詳細資訊，請參閱設定 Windows 裝置的註冊。

可能是因為您使用本機內建的系統管理員帳戶來登入裝置的緣故。 使用 Microsoft Entra 加入完成設定之前，請先建立不同的本機帳戶。

P2P 伺服器應用程式是 Microsoft Entra ID 註冊的應用程式，可支援將遠端桌面通訊協定(RDP) 連線至租用戶中任何已加入 Microsoft Entra 或已混合式加入 Microsoft Entra 的 Windows 裝置。 此應用程式會建立 Microsoft Entra 憑證授權單位核發的全租用戶憑證，並用於針對 RDP 連線核發 RDP 裝置和使用者憑證。 為了確保這是正確的應用程式，您可以在 [Microsoft Entra 系統管理中心]>[應用程式]>[企業應用程式]中，尋找 P2P 伺服器應用程式的物件識別碼。 移除套用的預設篩選條件，以便可以查看所有應用程式。 使用 Microsoft Graph API 比較物件識別碼以使用 GET /servicePrincipals/{objectid} 查詢詳細資料並確認 servicePrincipalNames 屬性為 urn:p2p_cert。

MS-Organization-P2P-Access 憑證是由 Microsoft Entra ID 核發至已加入 Microsoft Entra 和已混合式加入 Microsoft Entra 的裝置。 這些憑證可用來啟用相同租用戶中裝置間的信任，以進行遠端桌面存取。 一個憑證簽發給裝置，另一個憑證則簽發給使用者。 裝置憑證位於 Local Computer\Personal\Certificates 中，且有效期為一天。 如果裝置在 Microsoft Entra ID 中仍處於作用中，系統就會更新此憑證 (透過簽發新憑證的方式)。 使用者憑證不具持續性，有效期為一小時，但它是在使用者嘗試對另一個已加入 Microsoft Entra 的裝置建立遠端桌面工作階段時視需要簽發的憑證。 系統並不會在其到期時予以更新。 這兩種憑證都是使用 Local Computer\AAD Token Issuer\Certificates 中的 MS-Organization-P2P-Access 憑證來簽發的。 而此憑證則是由 Microsoft Entra ID 在裝置註冊期間所簽發的。

您無法在已加入 Microsoft Entra 的裝置上停用先前快去登入或讓其過期。

針對已混合式加入 Microsoft Entra 的裝置，請務必使用受控驗證 (部分機器翻譯) 文章中的指示在 AD 中關閉自動註冊。 如此一來，已排程的工作就不會再次註冊該裝置。 接著，以系統管理員身分開啟命令提示字元，然後輸入 dsregcmd.exe /debug /leave。 或者，若要進行大量退出，請以指令碼方式跨多個裝置執行此命令。

如需疑難排解資訊，請參閱下列文章：

• 針對混合式 Microsoft Entra 混合式加入 Windows 10 與 Windows Server 2016 裝置進行疑難排解
• Microsoft Entra 混合式加入下層裝置的疑難排解

當使用者在已加入網域的裝置上將其帳戶新增至應用程式時，系統可能會對他們顯示「將帳戶新增至 Windows？」提示。如果他們在出現提示時輸入是，裝置就會向 Microsoft Entra ID 註冊。 信任類型會標示為 [已註冊 Microsoft Entra]。 在組織中啟用 Microsoft Entra 混合式加入之後，系統會將裝置混合式加入 Microsoft Entra。 如此一來，針對同一個裝置就會顯示兩個裝置狀態。

在大部分情況下，Microsoft Entra 混合式加入會優先於已註冊 Microsoft Entra 狀態，導致系統在進行任何驗證和條件式存取評估時，都會將您的裝置視為已混合式加入 Microsoft Entra。 不過，此雙重狀態有時可能會導致對裝置做出非確定性評估，並造成存取問題。 強烈建議您升級到 Windows 10 1803 版和更新版本，以自動清除已註冊 Microsoft Entra 狀態。 了解如何在 Windows 10 電腦上避免或清除此雙重狀態。

Windows 10 2004 更新支援 UPN 變更，也適用於 Windows 11。 裝置上具有此更新的使用者在變更其 UPN 之後將不會有任何問題。

已混合式加入 Microsoft Entra 的裝置完全不支援舊版 Windows 10 的 UPN 變更。 雖然使用者可以登入裝置，並存取其內部部署應用程式，但在變更 UPN 之後，向 Microsoft Entra ID 進行驗證會失敗。 所以使用者會在其裝置上遇到 SSO 和條件式存取的問題。 您必須先讓裝置從 Microsoft Entra ID 退出 (使用較高的權限執行 "dsregcmd /leave")，然後再重新加入 (會自動發生)，藉以解決此問題。

否，除非使用者的密碼已經變更。 在 Windows 10/11 Microsoft Entra 混合式加入完成，且使用者至少登入一次後，裝置不必看見網域控制站也能存取雲端資源。 除非密碼變更，否則 Windows 10/11 可以透過網際網路連線利用單一登入方式存取 Microsoft Entra 應用程式。 即使無法看見網域控制站，使用 Windows Hello 企業版登入的使用者仍然可以在密碼變更後繼續利用單一登入方式存取 Microsoft Entra 應用程式。

如果在公司網路外部變更密碼 (例如使用 Microsoft Entra SSPR)，則使用者使用新密碼登入會失敗。 針對已混合式加入 Microsoft Entra 的裝置中，內部部署 Active Directory 是主要授權單位。 當裝置看不見網域控制站時，就無法驗證新的密碼。 使用者必須與網域控制站建立連線 (無論是透過 VPN 或連線到公司網路)，才能使用新密碼登入該裝置。 否則，他們只能透過 Windows 中的快取登入功能使用舊密碼登入。 不過，Microsoft Entra ID 在權杖要求期間會使舊密碼失效，因此，在使用者使用應用程式或瀏覽器中的新密碼進行驗證之前，會防止單一登入且任何裝置型條件式存取原則都會失敗。 如果您使用已加入 Microsoft Entra 的裝置，則不會發生問題。

• 針對已註冊 Microsoft Entra 的 Windows 10/11 裝置，請移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶，然後選取 [中斷連線]。 Windows 10/11 上的裝置註冊是以每個使用者設定檔為基礎。
• 針對 iOS 和 Android，您可以使用 Microsoft Authenticator 應用程式 [設定]>[裝置註冊]，然後選取 [取消註冊裝置]。
• 針對 macOS，您可以使用 Microsoft Intune 公司入口網站應用程式將裝置從管理取消註冊 (Unenroll)，然後移除所有註冊 (Registration)。

針對 Windows 10 版 2004 或較舊版本，可透過 Workplace Join (WPJ) 移除工具將此程序自動化。

啟用下列登錄，以防止使用者將其他公司帳戶新增至已加入公司網域、已加入 Microsoft Entra，或是已混合式加入 Microsoft Entra 的 Windows 10/11 裝置。 此原則也可用來防止已加入網域的電腦不小心使用相同的使用者帳戶註冊 Microsoft Entra。

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

相關內容

• Microsoft 錯誤查閱工具 \(部分機器翻譯\)