Microsoft Entra 裝置管理常見問題

一般常見問題集

我最近註冊了裝置。 為什麼我無法於我的使用者資訊底下看見該裝置? 或為什麼裝置擁有者針對已混合式加入 Microsoft Entra 裝置被標示為 N/A?

已混合式加入 Microsoft Entra 的 Windows 10 或更新版本裝置不會顯示在 [使用者裝置] 底下。 使用 [所有裝置] 檢視。 您也可以使用 PowerShell Get-MgDevice Cmdlet。

只有下列裝置會列在 [使用者裝置] 底下:

  • 所有未混合式加入 Microsoft Entra 的個人裝置。
  • 所有非 Windows 10 或更新版本的裝置,以及 Windows Server 2016 或更新版本的裝置。
  • 所有非 Windows 裝置。

我要如何知道用戶端的裝置註冊狀態為何?

移至 [所有裝置]。 使用裝置識別碼來搜尋裝置。 檢查加入類型資料行中的值。 有時,可能會將裝置重設或重新安裝映像。 因此,檢查裝置上的裝置註冊狀態也很重要:

  • 針對 Windows 10 或更新版本的裝置,以及 Windows Server 2016 或更新版本的裝置,執行 dsregcmd.exe /status
  • 針對舊版 OS 版本,請執行%programFiles%\Microsoft Workplace Join\autoworkplace.exe

如需疑難排解資訊,請參閱下列文章:

我的組織內部部署 AD 使用者在 Microsoft Entra ID 中分割為兩個或多個不同租用戶。 我是否在用戶端電腦上取得每個租用戶的 Windows PRT?

如果使用者和裝置屬於相同的租用戶,則 Windows 用戶端會從 Microsoft Entra ID 擷取 PRT。 如果未註冊裝置或使用者不是該租用戶的成員,則該使用者取得其他租用戶的 PRT。 如果兩個租用戶透過 B2B 相互信任,則您可以一律從主租用戶建立跨租用戶 B2B 存取和信任裝置宣告。

我在 [使用者資訊] 下看到裝置記錄並看到狀態為已註冊。 這是否表示我已正確設定來使用條件式存取?

deviceID 所顯示的裝置加入狀態必須與 Microsoft Entra ID 上的狀態相符,並滿足條件式存取的所有評估準則。 如需詳細資訊,請參閱透過條件式存取要求必須從受控裝置存取雲端應用程式 \(部分機器翻譯\)。

為什麼我的使用者會在其 Windows 10/11 裝置上看見「您的組織已刪除該裝置」或「您的組織已停用該裝置」的錯誤訊息?

在已加入或已向 Microsoft Entra ID 註冊的 Windows 10/11 裝置上,系統會向使用者核發主要重新整理權杖 (PRT) \(部分機器翻譯\),這可啟用單一登入。 PRT 的有效性會取決於裝置本身的有效性。 如果該裝置在沒有從裝置本身起始刪除或停用動作的情況下,於 Microsoft Entra ID 中刪除或停用,使用者便會看見此訊息。 您可以使用下列其中一個案例,在 Microsoft Entra 中刪除或停用裝置:

  • 使用者從 [我的應用程式] 入口網站停用裝置。
  • 系統管理員 (或使用) 會刪除或停用裝置。
  • 僅限已混合式加入 Microsoft Entra 的裝置:系統管理員移除裝置 OU 不同步範圍,導致系統從 Microsoft Entra ID 刪除該裝置。
  • 僅限已混合式加入 Microsoft Entra:系統管理員停用內部部署的電腦帳戶,導致裝置在 Microsoft Entra ID 中停用裝置。
  • 將 Microsoft Entra Connect 升級至 1.4.xx.x 版。 了解 Microsoft Entra Connect 1.4. x 和裝置消失 (部分機器翻譯)。

我已停用或刪除我的裝置但裝置上的本機狀態顯示裝置仍處於已註冊狀態。 我該怎麼做?

這是刻意安排的作業。 在此情況下,該裝置無法存取雲端中的資源。 系統管理員可以針對過時、遺失或遭竊的裝置執行此動作,以防止未經授權的存取。 如果這是不慎執行的動作,您必須使用下面的步驟重新啟用或重新註冊裝置:

  • 如果裝置已在 Microsoft Entra ID 中停用,具有足夠權限的系統管理員可以在 Microsoft Entra 系統管理中心加以啟用。

    注意

    如果您要使用 Microsoft Entra Connect 來同步處理裝置,系統將會在下一個同步處理週期期間自動重新啟用已混合式加入 Microsoft Entra 的裝置。 因此,如果您需要停用已混合式加入 Microsoft Entra 的裝置,您必須從內部部署 AD 中加以停用。

  • 如果裝置已在 Microsoft Entra ID 中刪除,您需要重新註冊該裝置。 若要重新註冊,您必須在該裝置上採取手動動作。 如需根據裝置狀態重新註冊的指示,請參閱下列步驟。

    若要重新註冊已混合式加入 Microsoft Entra 的 Windows 10/11 和 Windows Server 2016/2019 裝置,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元。
    2. 輸入 dsregcmd.exe /debug /leave
    3. 登出後再登入,以觸發向 Microsoft Entra ID 重新註冊裝置的排定工作。

    針對已混合式加入 Microsoft Entra 的低層級 Windows OS 版本,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元。
    2. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"
    3. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"

    針對已加入 Microsoft Entra 的 Windows 10/11 裝置,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元
    2. 輸入 dsregcmd /forcerecovery (您必須是系統管理員才能執行此動作)。
    3. 在隨即開啟的對話方塊中按一下 [登入],然後繼續執行登入程序。
    4. 登出並重新登入裝置以完成復原。

    針對已註冊 Microsoft Entra 的 Windows 10/11 裝置,請執行下列步驟:

    1. 移至 [設定]>[帳戶]>[存取公司或學校資源]
    2. 選取帳戶,然後選取 [中斷連線]
    3. 按一下 [+ 連線],然後完成登入程序以再次註冊裝置。

為什麼我看到重複的裝置項目?

  • 就 Windows 10 或更新版本和 Windows Server 2016 或更新版本而言,如果重複嘗試將同一個裝置取消加入再重新加入,就可能導致產生重複的項目。
  • 每個使用 [新增工作或學校帳戶] 的 Windows 使用者都會以相同的裝置名稱建立一個新裝置記錄。
  • 針對已加入內部部署 Active Directory 網域的舊版 Windows OS 版本,自動註冊會為每個登入裝置的網域使用者,以相同的裝置名稱建立一個新裝置記錄。
  • 已加入 Microsoft Entra 的機器如果經過抹除、重新安裝,然後再以相同名稱重新加入,就會顯示成另一個具有相同裝置名稱的記錄。

Microsoft Entra 中的 Windows 10/11 裝置註冊是否支援 FIPS 模式中的 TPM?

Windows 10/11 裝置註冊僅支援符合 FIPS 規範的 TPM 2.0,而不支援 TPM 1.2。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,則必須先加以停用,然後再繼續進行 Microsoft Entra 加入或 Microsoft Entra 混合式加入。 Microsoft 不會提供任何工具來針對 TPM 停用 FIPS 模式,因為其取決於 TPM 製造商。 請連絡您的硬體 OEM 以尋求支援。

為什麼使用者仍然能夠從我已停用的裝置存取資源?

從將 Microsoft Entra 裝置標記為停用開始,最多需要一個小時才會套用撤銷。

注意

針對已註冊的裝置,建議您將裝置抹除,以確保使用者無法存取資源。 如需詳細資訊,請參閱什麼是裝置註冊?

我無法在 Windows 10/11 裝置上的同一個使用者工作階段中新增 3 個以上的 Microsoft Entra 使用者帳戶,原因為何?

Microsoft Entra ID 從 Windows 10 1803 版開始,已新增多個 Microsoft Entra 帳戶的支援。 不過,Windows 10/11 會將裝置上的 Microsoft Entra 帳戶數目限制為 3 個,以限制權杖要求的大小,並啟用可靠單一登入 (SSO)。 新增 3 個帳戶之後,使用者會在後續帳戶上看到錯誤。 錯誤畫面上的 [其他問題資訊] 會提供下列訊息指出原因:"Add account operation is blocked because account limit is reached" (已封鎖新增帳戶作業,因為已達到帳戶限制)。

我們 Windows 10/11 裝置上有哪些 MS-Organization-Access 憑證?

MS-Organization-Access 憑證是在裝置註冊程序期間由 Microsoft Entra 裝置註冊服務所發出。 這些憑證會核發至 Windows 上支援所有的加入類型:已加入 Microsoft Entra、已混合式加入 Microsoft Entra 和已註冊 Microsoft Entra 註冊的裝置。 一旦發出後,就會在裝置上用來做為驗證程序的一部分,以要求主要重新整理權杖 (PRT)。 針對已加入 Microsoft Entra 和已混合式加入 Microsoft Entra 的裝置,此憑證存在於本機 Computer\Personal\Certificates,而針對已註冊 Microsoft Entra 的裝置,憑證存在於目前的 User\Personal\Certificates。 所有 MS-Organization-Access 憑證的預設存留期為 10 年。 當裝置從 Microsoft Entra ID 取消註冊時,這些憑證會從對應的憑證存放區刪除。 任何不慎刪除此憑證會導致使用者驗證失敗,且在這種情況下,將需要重新註冊裝置。

Microsoft Entra 加入常見問題

如何在裝置本機將已混合式加入 Microsoft Entra 的裝置解除加入?

針對僅已加入 Microsoft Entra 裝置,請確定您具有離線的本機系統管理員帳戶,或建立一個這樣的帳戶。 您無法使用任何 Microsoft Entra 使用者認證來登入。 接下來,移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶,然後選取 [中斷連線]。 遵循提示,然後在系統提示您時提供本機系統管理員認證。 重新啟動裝置以完成退出程序。

我的使用者是否可以登入 Microsoft Entra 已加入的裝置,而這些裝置在 Microsoft Entra ID 中已刪除或停用?

是。 Windows 具有快取使用者名稱和密碼的功能,可讓先前曾登入的使用者即使沒有網路連線,也能快速存取桌面。

當裝置在 Microsoft Entra ID 中被刪除或停用時,Windows 裝置並不知道此狀況。 所以先前曾登入的使用者能夠繼續以快取的使用者名稱和密碼存取桌面。 但是,由於裝置已刪除或停用,因此使用者無法存取任何受到裝置型條件式存取保護的資源。

先前未曾登入的使用者無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

已停用或刪除的使用者是否可以登入已加入 Microsoft Entra 的裝置?

是,但時間有限。 當使用者在 Microsoft Entra ID 中被刪除或停用時,Windows 裝置並不會立即得知此狀況。 所以先前曾登入的使用者能夠以快取的使用者名稱和密碼存取桌面。

一般而言,裝置會在四小時內得知使用者狀態。 然後 Windows 就會封鎖這些使用者對桌面的存取。 由於使用者已在 Microsoft Entra ID 中被刪除或停用,因此系統會撤銷他們的所有權杖。 所以他們無法存取任何資源。

已被刪除或停用的使用者如果先前未曾登入,便無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

來賓使用者是否可以登入已加入 Microsoft Entra 的裝置?

否,目前來賓使用者無法登入已加入 Microsoft Entra 的裝置。

我的使用者無法從已加入 Microsoft Entra 的裝置搜尋印表機。 如何從這些裝置啟用列印功能?

組織可以針對已加入 Microsoft Entra 的裝置選擇使用預先驗證來部署 Windows Server 混合式雲端列印通用列印

如何連線到遠端的已加入 Microsoft Entra 裝置?

為什麼我的使用者會看到「您無法從這裡完成」?

您是否設定了某些條件式存取規則來要求特定裝置狀態? 如果裝置不符合準則,使用者就會被封鎖而看到該訊息。 請評估條件式存取原則規則。 確定裝置符合準則,以避免收到該訊息。

為什麼針對剛加入 Microsoft Entra ID 的裝置,我會收到「使用者名稱或密碼不正確」訊息?

此情況的常見原因如下:

  • 您的使用者認證已經無效。
  • 您的電腦無法與 Microsoft Entra ID 進行通訊。 請檢查是否有任何網路連線問題。
  • 同盟登入會要求同盟伺服器支援已啟用並可供存取的 WS-Trust 端點。
  • 您已啟用傳遞驗證。 所以當您登入時,必須變更暫時密碼。

使用者如何在已加入 Microsoft Entra 的裝置上變更其暫時或過期的密碼?

目前,已加入 Microsoft Entra 的裝置並不會在鎖定畫面上強制使用者變更密碼。 因此,當具有暫時或過期密碼的使用者登入 Windows 之後,只有在其存取 (需要 Microsoft Entra 權杖) 應用程式時,系統才會強制該使用者變更密碼。

為什麼當我嘗試將我的電腦家入 Azure AD 時,會看到「糟糕... 發生錯誤!」 嘗試將我的 PC 加入 Microsoft Entra 時出現對話?

當您在沒有獲指派適當授權的情況下,使用 Intune 來設定 Microsoft Entra 自動註冊時,就會發生此錯誤。 請確定嘗試加入 Microsoft Entra 的使用者已獲指派正確的 Intune 授權。 如需詳細資訊,請參閱設定 Windows 裝置的註冊

為什麼嘗試將電腦加入 Microsoft Entra 時,雖然沒有收到任何錯誤資訊,卻發生失敗?

可能是因為您使用本機內建的系統管理員帳戶來登入裝置的緣故。 使用 Microsoft Entra 加入完成設定之前,請先建立不同的本機帳戶。

什麼是 P2P 伺服器應用程式及為什麼在我的租用戶註冊?

P2P 伺服器應用程式是 Microsoft Entra ID 註冊的應用程式,可支援將遠端桌面通訊協定(RDP) 連線至租用戶中任何已加入 Microsoft Entra 或已混合式加入 Microsoft Entra 的 Windows 裝置。 此應用程式會建立 Microsoft Entra 憑證授權單位核發的全租用戶憑證,並用於針對 RDP 連線核發 RDP 裝置和使用者憑證。 為了確保這是正確的應用程式,您可以在 [Microsoft Entra 系統管理中心]>[應用程式]>[企業應用程式]中,尋找 P2P 伺服器應用程式的物件識別碼。 移除套用的預設篩選條件,以便可以查看所有應用程式。 使用 Microsoft Graph API 比較物件識別碼以使用 GET /servicePrincipals/{objectid} 查詢詳細資料並確認 servicePrincipalNames 屬性為 urn:p2p_cert

我們 Windows 10/11 裝置上有哪些 MS-Organization-P2P-Access 憑證?

MS-Organization-P2P-Access 憑證是由 Microsoft Entra ID 核發至已加入 Microsoft Entra 和已混合式加入 Microsoft Entra 的裝置。 這些憑證可用來啟用相同租用戶中裝置間的信任,以進行遠端桌面存取。 一個憑證簽發給裝置,另一個憑證則簽發給使用者。 裝置憑證位於 Local Computer\Personal\Certificates 中,且有效期為一天。 如果裝置在 Microsoft Entra ID 中仍處於作用中,系統就會更新此憑證 (透過簽發新憑證的方式)。 使用者憑證不具持續性,有效期為一小時,但它是在使用者嘗試對另一個已加入 Microsoft Entra 的裝置建立遠端桌面工作階段時視需要簽發的憑證。 系統並不會在其到期時予以更新。 這兩種憑證都是使用 Local Computer\AAD Token Issuer\Certificates 中的 MS-Organization-P2P-Access 憑證來簽發的。 而此憑證則是由 Microsoft Entra ID 在裝置註冊期間所簽發的。

如何在已加入 Microsoft Entra 的裝置上停用快取登入/或讓使用者的快取登入過期?

您無法在已加入 Microsoft Entra 的裝置上停用先前快去登入或讓其過期。

Microsoft Entra 混合式加入常見問題

如何在裝置本機將 Microsoft Entra 混合式加入的裝置解除聯結?

針對已混合式加入 Microsoft Entra 的裝置,請務必使用受控驗證 (部分機器翻譯) 文章中的指示在 AD 中關閉自動註冊。 如此一來,已排程的工作就不會再次註冊該裝置。 接著,以系統管理員身分開啟命令提示字元,然後輸入 dsregcmd.exe /debug /leave。 或者,若要進行大量退出,請以指令碼方式跨多個裝置執行此命令。

哪裡可以找到用以診斷 Microsoft Entra 混合式加入失敗的疑難排解資訊?

為什麼我在 Microsoft Entra 裝置清單中看到我的已混合式加入 Windows 10/11 Microsoft Entra 的裝置有重複的 Microsoft Entra 註冊記錄?

當使用者在已加入網域的裝置上將其帳戶新增至應用程式時,系統可能會對他們顯示「將帳戶新增至 Windows?」提示。如果他們在出現提示時輸入是,裝置就會向 Microsoft Entra ID 註冊。 信任類型會標示為 [已註冊 Microsoft Entra]。 在組織中啟用 Microsoft Entra 混合式加入之後,系統會將裝置混合式加入 Microsoft Entra。 如此一來,針對同一個裝置就會顯示兩個裝置狀態。

在大部分情況下,Microsoft Entra 混合式加入會優先於已註冊 Microsoft Entra 狀態,導致系統在進行任何驗證和條件式存取評估時,都會將您的裝置視為已混合式加入 Microsoft Entra。 不過,此雙重狀態有時可能會導致對裝置做出非確定性評估,並造成存取問題。 強烈建議您升級到 Windows 10 1803 版和更新版本,以自動清除已註冊 Microsoft Entra 狀態。 了解如何在 Windows 10 電腦上避免或清除此雙重狀態

為什麼使用者在變更其 UPN 之後,會在使用已混合式加入 Microsoft Entra 的 Windows 10 裝置時發生問題?

Windows 10 2004 更新支援 UPN 變更,也適用於 Windows 11。 裝置上具有此更新的使用者在變更其 UPN 之後將不會有任何問題。

已混合式加入 Microsoft Entra 的裝置完全不支援舊版 Windows 10 的 UPN 變更。 雖然使用者可以登入裝置,並存取其內部部署應用程式,但在變更 UPN 之後,向 Microsoft Entra ID 進行驗證會失敗。 所以使用者會在其裝置上遇到 SSO 和條件式存取的問題。 您必須先讓裝置從 Microsoft Entra ID 退出 (使用較高的權限執行 "dsregcmd /leave"),然後再重新加入 (會自動發生),藉以解決此問題。

已混合式加入 Microsoft Entra 的 Windows 10/11 裝置是否需要網域控制站的視線,才能取得雲端資源的存取權?

否,除非使用者的密碼已經變更。 在 Windows 10/11 Microsoft Entra 混合式加入完成,且使用者至少登入一次後,裝置不必看見網域控制站也能存取雲端資源。 除非密碼變更,否則 Windows 10/11 可以透過網際網路連線利用單一登入方式存取 Microsoft Entra 應用程式。 即使無法看見網域控制站,使用 Windows Hello 企業版登入的使用者仍然可以在密碼變更後繼續利用單一登入方式存取 Microsoft Entra 應用程式。

如果使用者在公司網路外部變更其密碼,並嘗試登入已混合式加入 Microsoft Entra 的 Windows 10/11 裝置,會發生什麼事?

如果在公司網路外部變更密碼 (例如使用 Microsoft Entra SSPR),則使用者使用新密碼登入會失敗。 針對已混合式加入 Microsoft Entra 的裝置中,內部部署 Active Directory 是主要授權單位。 當裝置看不見網域控制站時,就無法驗證新的密碼。 使用者必須與網域控制站建立連線 (無論是透過 VPN 或連線到公司網路),才能使用新密碼登入該裝置。 否則,他們只能透過 Windows 中的快取登入功能使用舊密碼登入。 不過,Microsoft Entra ID 在權杖要求期間會使舊密碼失效,因此,在使用者使用應用程式或瀏覽器中的新密碼進行驗證之前,會防止單一登入且任何裝置型條件式存取原則都會失敗。 如果您使用已加入 Microsoft Entra 的裝置,則不會發生問題。

Microsoft Entra 登錄常見問題

如何在裝置本機移除已註冊 Microsoft Entra 狀態?

  • 針對已註冊 Microsoft Entra 的 Windows 10/11 裝置,請移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶,然後選取 [中斷連線]。 Windows 10/11 上的裝置註冊是以每個使用者設定檔為基礎。
  • 針對 iOS 和 Android,您可以使用 Microsoft Authenticator 應用程式 [設定]>[裝置註冊],然後選取 [取消註冊裝置]
  • 針對 macOS,您可以使用 Microsoft Intune 公司入口網站應用程式將裝置從管理取消註冊 (Unenroll),然後移除所有註冊 (Registration)。

針對 Windows 10 版 2004 或較舊版本,可透過 Workplace Join (WPJ) 移除工具將此程序自動化。

注意

此工具會移除裝置上的所有 SSO 帳戶。 完成此作業之後,所有應用程式都會失去 SSO 狀態,且裝置將會從管理工具 (MDM) 中取消註冊 (Unenroll),並從雲端取消註冊 (Unregister)。 下一次應用程式嘗試登入時,系統會要求使用者重新新增帳戶。

如何防止使用者在我的公司 Windows 10/11 裝置上新增更多的 (已註冊 Microsoft Entra) 公司帳戶?

啟用下列登錄,以防止使用者將其他公司帳戶新增至已加入公司網域、已加入 Microsoft Entra,或是已混合式加入 Microsoft Entra 的 Windows 10/11 裝置。 此原則也可用來防止已加入網域的電腦不小心使用相同的使用者帳戶註冊 Microsoft Entra。

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001