Azure Active Directory 裝置管理常見問題集

一般常見問題

我最近註冊了裝置。 為什麼我無法在 Azure 入口網站中於自己的使用者資訊底下看見該裝置? 或為什麼就已加入混合式 Azure Active Directory (Azure AD) 的裝置而言,裝置擁有者被標示為 N/A?

已加入混合式 Azure AD 的 Windows 10 或更新版本裝置不會顯示在 [使用者裝置] 底下。 請使用 Azure 入口網站中的 [所有裝置] 檢視。 您也可以使用 PowerShell Get-MsolDevice Cmdlet。

只有下列裝置會列在 [使用者裝置] 底下:

  • 所有未加入混合式 Azure AD 的個人裝置。
  • 所有非 Windows 10 或更新版本的裝置,以及 Windows Server 2016 或更新版本的裝置。
  • 所有非 Windows 裝置。

我要如何知道用戶端的裝置註冊狀態為何?

在 Azure 入口網站中,移至 [所有裝置]。 使用裝置識別碼來搜尋裝置。 檢查加入類型資料行中的值。 有時,可能會將裝置重設或重新安裝映像。 因此,檢查裝置上的裝置註冊狀態也很重要:

  • 針對 Windows 10 或更新版本的裝置,以及 Windows Server 2016 或更新版本的裝置,執行 dsregcmd.exe /status
  • 針對舊版 OS 版本,請執行%programFiles%\Microsoft Workplace Join\autoworkplace.exe

如需疑難排解資訊,請參閱下列文章:

我在 Azure 入口網站中的 [使用者資訊] 底下看到裝置記錄。 並且看到該裝置上的狀態為已註冊。 這是否表示我已正確設定來使用條件式存取?

deviceID 所顯示的裝置加入狀態必須與 Azure AD 上的狀態相符,並滿足條件式存取的所有評估準則。 如需詳細資訊,請參閱透過條件式存取要求必須從受控裝置存取雲端應用程式 \(部分機器翻譯\)。

為什麼我的使用者會在其 Windows 10/11 裝置上看見「您的組織已刪除該裝置」或「您的組織已停用該裝置」的錯誤訊息?

在已加入或已向 Azure AD 註冊的 Windows 10/11 裝置上,系統會向使用者核發主要重新整理權杖 (PRT) \(部分機器翻譯\),這可啟用單一登入。 PRT 的有效性會取決於裝置本身的有效性。 如果該裝置在沒有從裝置本身起始刪除或停用動作的情況下,於 Azure AD 中刪除或停用,使用者便會看見此訊息。 您可以在下列其中一個案例中,在 Azure AD 中刪除或停用裝置:

  • 使用者從 [我的應用程式] 入口網站停用裝置。
  • 系統管理員 (或使用者) 在 Azure 入口網站中或是使用 PowerShell 來刪除或停用裝置
  • 僅限已使用混合式 Azure AD 而聯結的裝置:系統管理員移除裝置 OU 不同步範圍,導致系統從 Azure AD 刪除該裝置
  • 將 Azure AD Connect 升級到 1.4.xx.x 版。 了解 Azure AD Connect 1.4.xx.x 和裝置消失 \(部分機器翻譯\)。

請參閱下文,以了解如何更正這些動作。

我已在 Azure 入口網站中或透過使用 Windows PowerShell 停用或刪除我的裝置。 但裝置上的本機狀態顯示裝置仍處於已註冊狀態。 我該怎麼辦?

這是刻意安排的作業。 在此情況下,該裝置無法存取雲端中的資源。 系統管理員可以針對過時、遺失或遭竊的裝置執行此動作,以防止未經授權的存取。 如果這是不慎執行的動作,您必須按照下面的方式重新啟用或重新註冊裝置

  • 如果裝置已在 Azure AD 中停用,具有足夠權限的系統管理員可以從 Azure AD 入口網站加以啟用

    注意

    如果您要使用 Azure AD Connect 來同步處理裝置,系統將會在下一個同步處理週期期間自動重新啟用已加入混合式 Azure AD 的裝置。 因此,如果您需要停用已使用混合式 Azure AD 而聯結的裝置,您必須從內部部署 AD 中加以停用

  • 如果裝置已在 Azure AD 中刪除,您需要重新註冊該裝置。 若要重新註冊,您必須在該裝置上採取手動動作。 請參閱下列指示,以根據裝置狀態取得重新註冊的指示。

    若要重新註冊已加入混合式 Azure AD 的 Windows 10/11 和 Windows Server 2016/2019 裝置,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元。
    2. 輸入 dsregcmd.exe /debug /leave
    3. 登出後再登入,以觸發向 Azure AD 重新註冊裝置的排定工作。

    針對已使用混合式 Azure AD 而聯結的低層級 Windows OS 版本,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元。
    2. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"
    3. 輸入 "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"

    針對已加入 Azure AD 的 Windows 10/11 裝置,請執行下列步驟:

    1. 以系統管理員身分開啟命令提示字元
    2. 輸入 dsregcmd /forcerecovery (您必須是系統管理員才能執行此動作)。
    3. 在隨即開啟的對話方塊中按一下 [登入],然後繼續執行登入程序。
    4. 登出並重新登入裝置以完成復原。

    針對已註冊 Azure AD 的 Windows 10/11 裝置,請執行下列步驟:

    1. 移至 [設定]>[帳戶]>[存取公司或學校資源]。
    2. 選取帳戶,然後選取 [中斷連線]。
    3. 按一下 [+ 連線],然後完成登入程序以再次註冊裝置。

為什麼我在 Azure 入口網站中看到重複的裝置項目?

  • 就 Windows 10 或更新版本和 Windows Server 2016 或更新版本而言,如果重複嘗試將同一個裝置取消加入再重新加入,就可能導致產生重複的項目。
  • 每個使用 [新增工作或學校帳戶] 的 Windows 使用者都會以相同的裝置名稱建立一個新裝置記錄。
  • 針對已加入內部部署 Active Directory 網域的舊版 Windows OS 版本,自動註冊會為每個登入裝置的網域使用者,以相同的裝置名稱建立一個新裝置記錄。
  • 已加入 Azure AD 的機器如果經過抹除、重新安裝,然後再以相同名稱重新加入,就會顯示成另一個具有相同裝置名稱的記錄。

Azure AD 中的 Windows 10/11 裝置註冊是否支援 FIPS 模式中的 TPM?

Windows 10/11 裝置註冊僅支援符合 FIPS 規範的 TPM 2.0,而不支援 TPM 1.2。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,則必須先加以停用,然後再繼續進行 Azure AD 加入或混合式 Azure AD 加入。 Microsoft 不會提供任何工具來針對 TPM 停用 FIPS 模式,因為其取決於 TPM 製造商。 請連絡您的硬體 OEM 以尋求支援。

為什麼使用者仍然能夠從我已在 Azure 入口網站中停用的裝置存取資源?

從將 Azure AD 裝置標記為停用開始,最多需要一個小時才會套用撤銷。

注意

針對已註冊的裝置,建議您將裝置抹除,以確保使用者無法存取資源。 如需詳細資訊,請參閱什麼是裝置註冊?

我無法在 Windows 10/11 裝置上的同一個使用者工作階段中新增 3 個以上的 Azure AD 使用者帳戶,原因為何?

Azure AD 從 Windows 10 1803 版開始,新增了多個 Azure AD 帳戶的支援。 不過,Windows 10/11 會將裝置上的 Azure AD 帳戶數目限制為 3 個,以限制權杖要求的大小,並啟用可靠單一登入 (SSO)。 新增 3 個帳戶之後,使用者將會在後續帳戶上看到錯誤。 錯誤畫面上的 [其他問題資訊] 會提供下列訊息指出原因:"Add account operation is blocked because account limit is reached" (已封鎖新增帳戶作業,因為已達到帳戶限制)。

我們 Windows 10/11 裝置上有哪些 MS-Organization-Access 憑證?

MS-Organization-Access 憑證是在裝置註冊程序期間由 Azure AD 裝置註冊服務所發出。 這些憑證會發行給 Windows 上支援所有的加入類型:已加入Azure AD、已加入混合式 Azure AD 和已註冊 Azure AD 註冊的裝置。 一旦發出後,就會在裝置上用來做為驗證程序的一部分,以要求主要重新整理權杖 (PRT)。 針對已加入 Azure AD 和已加入混合式 Azure AD 的裝置,此憑證存在於本機 Computer\Personal\Certificates,而針對已註冊 Azure AD 的裝置,憑證存在於目前的 User\Personal\Certificates。 所有的 MS-Organization-Access 憑證都有 10 年的預設存留期,不過當裝置從 Azure AD 取消註冊時,會從對應的憑證存放區中刪除這些憑證。 任何不慎刪除此憑證將會導致使用者驗證失敗,且在這種情況下,將需要重新註冊裝置。

Azure AD Join 常見問題集

如何在裝置本機將已使用 Azure AD 而聯結的裝置解除聯結?

針對純粹的已加入 Azure AD 裝置,請確定您具有離線的本機系統管理員帳戶,或建立一個這樣的帳戶。 您無法使用任何 Azure AD 使用者認證來登入。 接下來,移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶,然後選取 [中斷連線]。 遵循提示,然後在系統提示您時提供本機系統管理員認證。 重新啟動裝置以完成退出程序。

我的使用者是否可以登入已使用 Azure AD 而聯結,但已在 Azure AD 中刪除或停用的裝置?

可以。 Windows 具有快取使用者名稱和密碼的功能,可讓先前曾登入的使用者即使沒有網路連線,也能快速存取桌面。

當裝置在 Azure AD 中被刪除或停用時,Windows 裝置並不知道此狀況。 所以先前曾登入的使用者能夠繼續以快取的使用者名稱和密碼存取桌面。 但是,由於裝置已刪除或停用,因此使用者無法存取任何受到裝置型條件式存取保護的資源。

先前未曾登入的使用者無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

已停用或刪除的使用者是否可以登入已加入 Azure AD 的裝置?

是,但時間有限。 當使用者在 Azure AD 中被刪除或停用時,Windows 裝置並不會立即得知此狀況。 所以先前曾登入的使用者能夠以快取的使用者名稱和密碼存取桌面。

一般而言,裝置會在四小時內得知使用者狀態。 然後 Windows 就會封鎖這些使用者對桌面的存取。 由於使用者已在 Azure AD 中被刪除或停用,因此系統會撤銷他們的所有權杖。 所以他們無法存取任何資源。

已被刪除或停用的使用者如果先前未曾登入,便無法存取裝置。 沒有任何已為他們啟用的快取使用者名稱和密碼。

來賓使用者是否可以登入已加入 Azure AD 的裝置?

否,目前來賓使用者無法登入已加入 Azure AD 的裝置。

為什麼使用者在變更其 UPN 之後,會在使用已加入 Azure AD 的裝置時發生問題?

目前,已加入 Azure AD 的裝置並未完全支援 UPN 變更。 因此,他們在變更其 UPN 之後,會在向 Azure AD 驗證時失敗。 所以使用者會在其裝置上遇到 SSO 和條件式存取的問題。 目前,使用者必須透過 [其他使用者] 圖格以其新的 UPN 登入 Windows 來解決此問題。 我們目前正努力解決此問題。 不過,使用 Windows Hello 企業版來登入的使用者不會遇到這個問題。

從 Windows 10 2004 更新開始支援 UPN 變更,也適用於 Windows 11。 具有此更新之裝置上的使用者在變更其 UPN 之後將不會有任何問題

我的使用者無法從已加入 Azure AD 的裝置搜尋印表機。 如何從這些裝置啟用列印功能?

若要為已加入 Azure AD 的裝置部署印表機,請參閱使用預先驗證來部署 Windows Server 混合式雲端列印 \(英文\)。 您需要有內部部署的 Windows Server,才能部署混合式雲端列印。 目前尚無法使用雲端式列印服務。

如何連線到遠端的已加入 Azure AD 裝置?

為什麼我的使用者會看到「您無法從這裡完成」?

您是否設定了某些條件式存取規則來要求特定裝置狀態? 如果裝置不符合準則,使用者就會被封鎖而看到該訊息。 請評估條件式存取原則規則。 確定裝置符合準則,以避免收到該訊息。

為什麼針對剛加入 Azure AD 的裝置,我會收到「使用者名稱或密碼不正確」訊息?

此情況的常見原因如下:

  • 您的使用者認證已經無效。
  • 您的電腦無法與 Azure Active Directory 進行通訊。 請檢查是否有任何網路連線問題。
  • 同盟登入會要求同盟伺服器支援已啟用並可供存取的 WS-Trust 端點。
  • 您已啟用傳遞驗證。 所以當您登入時,必須變更暫時密碼。

使用者如何在已使用 Azure AD 而聯結的裝置上變更其暫時或過期的密碼?

目前,已使用 Azure AD 而聯結的裝置並不會在鎖定畫面上強制使用者變更密碼。 因此,當具有暫時或過期密碼的使用者登入 Windows 之後,只有在其存取 (需要 Azure AD 權杖的) 某個應用程式時,系統才會強制該使用者變更密碼。

為什麼當我嘗試將我的電腦家入 Azure AD 時,會看到「糟糕... 發生錯誤!」 對話方塊?

當您在沒有獲指派適當授權的情況下,使用 Intune 來設定 Azure Active Directory 自動註冊時,就會發生此錯誤。 請確定嘗試加入 Azure AD 的使用者已獲指派正確的 Intune 授權。 如需詳細資訊,請參閱設定 Windows 裝置的註冊

為什麼嘗試將電腦加入 Azure AD 時,雖然沒有收到任何錯誤資訊,卻發生失敗?

可能是因為您使用本機內建的系統管理員帳戶來登入裝置的緣故。 請在使用 Azure Active Directory Join 來完成設定之前,先建立一個不同的本機帳戶。

我們 Windows 10/11 裝置上有哪些 MS-Organization-P2P-Access 憑證?

MS-Organization-P2P-Access 憑證是由 Azure AD 簽發給已加入 Azure AD 之裝置和已加入混合式 Azure AD 之裝置的憑證。 這些憑證可用來啟用相同租用戶中裝置間的信任,以進行遠端桌面存取。 一個憑證簽發給裝置,另一個憑證則簽發給使用者。 裝置憑證位於 Local Computer\Personal\Certificates 中,且有效期為一天。 如果裝置在 Azure AD 中仍處於作用中,系統就會更新此憑證 (透過簽發新憑證的方式)。 使用者憑證不具持續性,有效期為一小時,但它是在使用者嘗試對另一個已加入 Azure AD 的裝置建立遠端桌面工作階段時視需要簽發的憑證。 系統並不會在其到期時予以更新。 這兩種憑證都是使用 Local Computer\AAD Token Issuer\Certificates 中的 MS-Organization-P2P-Access 憑證來簽發的。 而此憑證則是由 Azure AD 在裝置註冊期間所簽發的。

如何停用快取登入/讓已加入 Azure AD 裝置的使用者快取登入過期?

您無法在已加入 Azure AD 的裝置上停用或過期先前快取的登入。

混合式 Azure AD Join 常見問題集

如何在裝置本機將已使用混合式 Azure AD 而聯結的裝置解除聯結?

針對已使用混合式 Azure AD 而聯結的裝置,請務必使用受控驗證 \(部分機器翻譯\) 文章中的指示在 AD 中關閉自動註冊。 如此一來,已排程的工作就不會再次註冊該裝置。 接著,以系統管理員身分開啟命令提示字元,然後輸入 dsregcmd.exe /debug /leave。 或者,若要進行大量退出,請以指令碼方式跨多個裝置執行此命令。

哪裡可以找到用以診斷混合式 Azure AD Join 失敗的疑難排解資訊?

為什麼我會在 Azure AD 裝置清單中看到我已加入 Windows 10/11 混合式 Azure AD 的裝置有重複的 Azure AD 註冊記錄?

當您的使用者將其帳戶新增至已加入網域裝置上的應用程式時,系統可能會提示他們將帳戶新增至 Windows 嗎?如果他們在提示字元中輸入 [是],則裝置會向 Azure AD 註冊。 信任類型會標示為 [Azure AD 已註冊]。 在您於組織中啟用混合式 Azure AD Join 之後,裝置也會加入混合式 Azure AD。 如此一來,針對同一個裝置就會顯示兩個裝置狀態。

在大部分情況下,[已使用混合式 Azure AD 而聯結的] 會優先於 [Azure AD 已註冊狀態],導致系統在進行任何驗證和條件式存取評估時,都會將您的裝置視為已使用混合式 Azure AD 而聯結的。 不過,此雙重狀態有時可能會導致對裝置做出非確定性評估,並造成存取問題。 強烈建議您升級到 Windows 10 1803 版和更新版本,以自動清除 Azure AD 已註冊狀態。 了解如何在 Windows 10 電腦上避免或清除此雙重狀態

為什麼使用者在變更其 UPN 之後,會在使用已加入 Windows 10/11 混合式 Azure AD 的裝置時發生問題?

目前,已加入混合式 Azure AD 的裝置並未完全支援 UPN 變更。 雖然使用者可以登入裝置,並存取其內部部署應用程式,但在變更 UPN 之後,向 Azure AD 進行驗證會失敗。 所以使用者會在其裝置上遇到 SSO 和條件式存取的問題。 目前,您必須先讓裝置從 Azure AD 取消聯結 (使用較高的權限執行 "dsregcmd /leave"),然後再重新聯結 (會自動發生) 以解決此問題。 我們目前正努力解決此問題。 不過,使用 Windows Hello 企業版來登入的使用者不會遇到這個問題。

Windows 10 2004 更新支援 UPN 變更,也適用於 Windows 11。 具有此更新之裝置上的使用者在變更其 UPN 之後將不會有任何問題

Windows 10/11 混合式 Azure AD 聯結裝置是否需要網域控制站的視線,才能取得雲端資源的存取權?

否,除非使用者的密碼已經變更。 在 Windows 10/11 混合式 Azure AD Join 完成,且使用者至少登入一次後,裝置不必看見網域控制站也能存取雲端資源。 除非密碼變更,否則 Windows 10/11 可以透過網際網路連線利用單一登入方式存取 Azure AD 應用程式。 即使無法看見網域控制站,使用 Windows Hello 企業版登入的使用者仍然可以在密碼變更後繼續利用單一登入方式存取 Azure AD 應用程式。

如果使用者在公司網路外部變更其密碼,並嘗試登入已加入混合式 Azure AD 的 Windows 10/11 裝置,會發生什麼事?

如果在公司網路外部變更密碼 (例如使用 Azure AD SSPR),則使用者使用新密碼登入將會失敗。 針對已使用混合式 Azure AD 而聯結的裝置,內部部署的 Active Directory 是主要授權單位。 當裝置看不見網域控制站時,就無法驗證新的密碼。 因此,使用者必須與網域控制站建立連線 (無論是透過 VPN 或連線到公司網路),才能使用新密碼登入該裝置。 否則,他們只能透過 Windows 中的快取登入功能使用舊密碼登入。 不過,Azure AD 在權杖要求期間會使舊密碼失效,因此,在使用者使用應用程式或瀏覽器中的新密碼進行驗證之前,會防止單一登入且任何裝置型條件式存取原則都會失敗。 如果您使用 Windows Hello 企業版,就不會發生此問題。

Azure AD 註冊常見問題集

如何在裝置本機移除 Azure AD 已註冊狀態?

  • 針對已註冊 Windows 10/11 Azure AD 的裝置,請移至 [設定]>[帳戶]>[存取公司或學校資源]。 選取您的帳戶,然後選取 [中斷連線]。 Windows 10/11 上的裝置註冊是以每個使用者設定檔為基礎。
  • 針對 iOS 和 Android,您可以使用 Microsoft Authenticator 應用程式 [設定]>[裝置註冊],然後選取 [取消註冊裝置]。
  • 針對 macOS,您可以使用 Microsoft Intune 公司入口網站應用程式將裝置從管理取消註冊 (Unenroll),然後移除所有註冊 (Registration)。

針對 Windows 10 版 2004 或較舊版本,可透過 Workplace Join (WPJ) 移除工具將此程序自動化

注意

此工具會移除裝置上的所有 SSO 帳戶。 完成此作業之後,所有應用程式都會失去 SSO 狀態,且裝置將會從管理工具 (MDM) 中取消註冊 (Unenroll),並從雲端取消註冊 (Unregister)。 下一次應用程式嘗試登入時,系統會要求使用者重新新增帳戶。

如何防止使用者在我的公司 Windows 10/11 裝置上新增更多的 (已註冊 Azure AD) 公司帳戶?

啟用下列登錄,以防止使用者將額外的公司帳戶新增至已加入公司網域、已加入 Azure AD,或是已加入混合式 Azure AD 的 Windows 10/11 裝置。 此原則也可用來防止已加入網域的電腦不小心使用相同的使用者帳戶註冊 Azure AD。

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

可以註冊 Android 或 iOS BYOD 裝置嗎?

可以,但只能使用 Azure 裝置註冊服務,且僅適用於混合式客戶。 不支援使用「Active Directory 同盟服務」(AD FS) 中的內部部署裝置註冊服務。

我要如何註冊 macOS 裝置?

請執行下列步驟:

  1. 建立裝置相容性原則
  2. 定義 macOS 裝置的條件式存取原則 \(部分機器翻譯\)

備註:

  • 您條件式存取原則中所包括的使用者需要支援的 macOS 版 Office 版本 \(部分機器翻譯\) 才能存取資源。
  • 在第一次嘗試存取時,系統會提示使用者使用公司入口網站來註冊裝置。

後續步驟