一般常見問題集
我最近註冊了裝置。 為什麼我在用戶資訊下看不到裝置? 還是為什麼裝置擁有者標示為 Microsoft Entra 混合式已加入裝置的 N/A?
已加入 Microsoft Entra 混合式的 Windows 10 或更新版本裝置不會顯示在 USER 裝置下。 使用 [ 所有裝置 ] 檢視。 您也可以使用 PowerShell Get-MgDevice Cmdlet。
只有下列裝置列在 [使用者裝置] 底下:
- 未加入 Microsoft Entra 混合式的所有個人裝置。
- 所有非 Windows 10 或更新版本和 Windows Server 2016 或更新版本的裝置。
- 所有非 Windows 裝置。
我要如何知道用戶端的裝置註冊狀態為何?
移至 [所有裝置]。 使用裝置標識碼搜尋裝置。 檢查聯結類型數據行底下的值。 有時候,裝置可能會重設或重新映像。 因此,也必須檢查裝置上的裝置註冊狀態:
- 針對 Windows 10 或更新版本和 Windows Server 2016 或更新版本的裝置,請執行
dsregcmd.exe /status。 - 針對下層 OS 版本,請執行
%programFiles%\Microsoft Workplace Join\autoworkplace.exe。
如需疑難解答資訊,請參閱下列文章:
我的組織內部部署 AD 使用者會分割成 Microsoft Entra 識別碼中的兩個以上的不同租使用者。 我是否為客戶端電腦上的每個租使用者取得 Windows PRT?
如果使用者和裝置屬於相同的租使用者,Windows 用戶端會從 Microsoft Entra 標識符擷取 PRT。 如果未註冊裝置或使用者不是該租用戶的成員,用戶將無法取得另一個租使用者的 PRT。 如果兩個租使用者透過 B2B 彼此信任,您一律可以從主租使用者建立跨租使用者 B2B 存取和信任裝置宣告。
我在 [用戶資訊] 底下看到裝置記錄,我會看到狀態為已註冊。 我是否已正確設定為使用條件式存取?
deviceID 所顯示的裝置聯結狀態必須符合 Microsoft Entra ID 上的狀態,並符合條件式存取的任何評估準則。 如需詳細資訊,請參閱 使用條件式存取要求受控裝置進行雲端應用程式存取。
為什麼我的使用者在 Windows 10/11 裝置上看到錯誤訊息,指出「您的組織已刪除裝置」或「您的組織已停用裝置」?
在已加入或向 Microsoft Entra ID 註冊的 Windows 10/11 裝置上,用戶會發出主要重新整理令牌 (PRT),以啟用單一登錄。 PRT 的有效性是以裝置本身的有效性為基礎。 如果使用者在 Microsoft Entra ID 中刪除或停用裝置,而不需從裝置本身起始動作,使用者就會看到此訊息。 Microsoft Entra 中的其中一個案例可以刪除或停用裝置:
- 使用者從 我的應用程式 入口網站停用裝置。
- 系統管理員(或使用者)會刪除或停用裝置。
- 僅加入 Microsoft Entra 混合式:系統管理員會移除裝置 OU 的同步範圍,導致裝置從 Microsoft Entra ID 中刪除。
- 僅加入 Microsoft Entra 混合式:系統管理員會停用內部部署的電腦帳戶,導致裝置在 Microsoft Entra ID 中停用。
- 將 Microsoft Entra 連線 升級至 1.4.xx.x 版。 瞭解 Microsoft Entra 連線 1.4.xx.x 和裝置消失。
我已停用或刪除裝置,但裝置上的本機狀態表示它仍已註冊。 我該怎麼做?
這項作業是依設計進行的。 在此情況下,裝置無法存取雲端中的資源。 管理員 istrators 可以針對過時、遺失或遭竊的裝置執行此動作,以防止未經授權的存取。 如果意外執行此動作,您必須使用下列步驟重新啟用或重新註冊裝置:
如果裝置在 Microsoft Entra 識別符中停用,具有足夠許可權的系統管理員可以在 Microsoft Entra 系統管理中心啟用它。
注意
如果您使用 Microsoft Entra 連線 同步處理裝置,Microsoft Entra 混合式聯結裝置將在下一個同步處理週期期間自動重新啟用。 因此,如果您需要停用 Microsoft Entra 混合式已加入裝置,您必須從內部部署 AD 停用它。
如果裝置在 Microsoft Entra ID 中刪除,您必須重新註冊裝置。 若要重新註冊,您必須在該裝置上採取手動動作。 如需根據裝置狀態重新註冊的指示,請參閱下列步驟。
若要重新註冊已加入混合式 Windows 10/11 和 Windows Server 2016/2019 裝置的 Microsoft Entra 混合式裝置,請執行下列步驟:
- 以系統管理員身分開啟命令提示字元。
- 輸入
dsregcmd.exe /debug /leave。 - 註銷並登入以觸發排程工作,以使用 Microsoft Entra ID 再次註冊裝置。
針對已加入 Microsoft Entra 混合式的舊版 Windows OS 版本,請執行下列步驟:
- 以系統管理員身分開啟命令提示字元。
- 輸入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"。 - 輸入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"。
針對已加入 Microsoft Entra 的裝置 Windows 10/11 裝置,請採取下列步驟:
- 以系統管理員身分開啟命令提示字元
- 輸入
dsregcmd /forcerecovery(您必須是系統管理員才能執行此動作)。 - 按兩下對話框中的 [登入],然後繼續進行登入程式。
- 註銷並重新登入裝置以完成復原。
針對已註冊 Microsoft Entra 的 Windows 10/11 裝置,請採取下列步驟:
- 移至 設定> Accounts>Access 公司或學校。
- 選取帳戶,然後選取 [ 中斷連線]。
- 按兩下 [+ 連線],然後透過登入程式再次註冊裝置。
為什麼我會看到重複的裝置專案?
- 針對 Windows 10 或更新版本和 Windows Server 2016 或更新版本,重複嘗試取消加入並重新加入相同的裝置可能會導致重複的專案。
- 每個使用 [新增工作或學校帳戶] 的 Windows 使用者都會以相同的裝置名稱建立一個新裝置記錄。
- 針對已加入內部部署 Active Directory 網域的舊版 Windows OS 版本,自動註冊會為每個登入裝置的網域使用者,以相同的裝置名稱建立一個新裝置記錄。
- 已加入 Microsoft Entra 的機器如果經過抹除、重新安裝,然後再以相同名稱重新加入,就會顯示成另一個具有相同裝置名稱的記錄。
Microsoft Entra 中的 Windows 10/11 裝置註冊是否支援 FIPS 模式中的 TPM?
Windows 10/11 裝置註冊僅支援符合 FIPS 規範的 TPM 2.0,且 TPM 1.2 不支援。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,您必須先停用它們,再繼續進行 Microsoft Entra Join 或 Microsoft Entra 混合式聯結。 Microsoft 不會提供任何工具來停用 TPM 的 FIPS 模式,因為它相依於 TPM 製造商。 請連絡硬體 OEM 以取得支援。
為什麼使用者仍可從我停用的裝置存取資源?
在 Microsoft Entra 裝置標示為停用時,最多需要一個小時才能套用撤銷。
注意
針對已註冊的裝置,建議您抹除裝置,以確保使用者無法存取資源。 如需詳細資訊,請參閱 什麼是裝置註冊?。
我無法在 Windows 10/11 裝置的相同用戶會話下新增超過 3 個 Microsoft Entra 使用者帳戶,原因為何?
從 Windows 10 1803 版開始,Microsoft Entra 識別符新增了多個 Microsoft Entra 帳戶的支援。 不過,Windows 10/11 會將裝置上的 Microsoft Entra 帳戶數目限制為 3,以限制令牌要求的大小,並啟用可靠的單一登錄 (SSO)。 新增 3 個帳戶之後,使用者會看到後續帳戶的錯誤。 錯誤畫面上的其他問題資訊提供下列訊息,指出原因:「因為達到帳戶限制而封鎖了帳戶作業」。
我們的 Windows 10/11 裝置上有哪些 MS-Organization-Access 憑證?
MS-Organization-Access 憑證會在裝置註冊程序期間由 Microsoft Entra 裝置註冊服務簽發。 這些憑證會發行給 Windows 上支援的所有聯結類型 - 已加入 Microsoft Entra、Microsoft Entra 混合式聯結和 Microsoft Entra 已註冊的裝置。 發行之後,它們會用來作為裝置驗證程式的一部分,以要求主要重新整理令牌 (PRT)。 對於已加入 Microsoft Entra 和 Microsoft Entra 混合式已加入的裝置,此憑證會出現在本機電腦\Personal\Certificates 中,而針對 Microsoft Entra 已註冊的裝置,憑證會出現在目前的使用者\Personal\Certificates 中。 所有 MS-Organization-Access 憑證的預設存留期為 10 年。 當裝置從 Microsoft Entra 識別元取消註冊時,這些憑證會從對應的證書存儲中刪除。 任何不小心刪除此憑證會導致使用者的驗證失敗,而且在這種情況下需要重新註冊裝置。
Microsoft Entra join 常見問題
如何? 在本機裝置上取消加入 Microsoft Entra 的裝置?
針對已加入純 Microsoft Entra 的裝置,請確定您有離線的本機系統管理員帳戶或建立一個帳戶。 您無法使用任何 Microsoft Entra 使用者認證登入。 接下來,移至 設定> Accounts>Access Work 或 School。 選取您的帳戶,然後選取 [ 中斷連線]。 遵循提示,並在出現提示時提供本機系統管理員認證。 重新啟動裝置以完成未加入的程式。
我的使用者是否可以登入 Microsoft Entra 已加入的裝置,而這些裝置在 Microsoft Entra ID 中已刪除或停用?
是。 Windows 具有快取的使用者名稱和密碼功能,可讓先前登入的使用者快速存取桌面,即使沒有網路連線。
在 Microsoft Entra ID 中刪除或停用裝置時,Windows 裝置並不知道。 因此,先前登入的用戶會繼續使用快取的使用者名稱和密碼來存取桌面。 但是,當裝置遭到刪除或停用時,用戶無法存取受裝置型條件式存取所保護的任何資源。
先前未登入的用戶無法存取裝置。 沒有針對它們啟用快取的使用者名稱和密碼。
已停用或刪除的使用者是否可以登入已加入 Microsoft Entra 的裝置?
是的,但僅限於有限的時間。 在 Microsoft Entra ID 中刪除或停用使用者時,Windows 裝置不會立即知道。 因此,先前登入的使用者可以使用快取的使用者名稱和密碼來存取桌面。
一般而言,裝置在不到四小時內就會察覺到用戶狀態。 然後,Windows 會封鎖這些使用者的桌面存取權。 當使用者在 Microsoft Entra ID 中刪除或停用時,會撤銷其所有令牌。 因此,他們無法存取任何資源。
已刪除或停用先前未登入的用戶無法存取裝置。 沒有針對它們啟用快取的使用者名稱和密碼。
來賓使用者是否可以登入已加入 Microsoft Entra 的裝置?
否,目前來賓用戶無法登入已加入 Microsoft Entra 的裝置。
我的用戶無法從已加入 Microsoft Entra 的裝置搜尋印表機。 如何從這些裝置啟用列印功能?
如何? 連線到遠端 Microsoft Entra 已加入裝置?
為什麼我的使用者會看到「您無法從這裡取得」?
您是否將特定條件式存取規則設定為需要特定裝置狀態? 如果裝置不符合準則,則會封鎖使用者,並看到該訊息。 評估條件式存取原則規則。 請確定裝置符合準則,以避免訊息。
為什麼我剛加入 Microsoft Entra 識別符的裝置收到「使用者名稱或密碼不正確」訊息?
此案例的常見原因如下:
- 您的用戶認證已不再有效。
- 您的電腦無法與 Microsoft Entra ID 通訊。 檢查是否有任何網路連線問題。
- 同盟登入需要您的同盟伺服器支援已啟用且可存取的 WS-Trust 端點。
- 您已啟用傳遞驗證。 因此,當您登入時,您的暫時密碼必須變更。
使用者如何在已加入 Microsoft Entra 的裝置上變更其暫時或過期的密碼?
目前,已加入 Microsoft Entra 的裝置不會強制使用者在鎖定畫面上變更密碼。 因此,具有暫時或過期密碼的使用者只有在登入 Windows 之後才能存取應用程式(需要 Microsoft Entra 令牌)時,才會強制變更密碼。
為什麼我會看到 'Oops... 發生錯誤! 當我嘗試加入我的計算機時,對話框?
當您使用 Intune 設定 Microsoft Entra 自動註冊而不指派適當的授權時,就會發生此錯誤。 請確定嘗試加入 Microsoft Entra 的使用者已獲指派正確的 Intune 授權。 如需詳細資訊,請參閱 設定 Windows 裝置的註冊。
為什麼我的嘗試 Microsoft Entra 加入計算機失敗,但我沒有收到任何錯誤資訊?
可能是因為您使用本機內建系統管理員帳戶登入裝置。 使用 Microsoft Entra join 完成設定之前,請先建立不同的本機帳戶。
什麼是 P2P 伺服器應用程式,以及它為何在我的租用戶中註冊?
P2P Server 應用程式是由 Microsoft Entra ID 註冊的應用程式,可啟用遠端桌面通訊協定 (RDP) 連線到租使用者中任何已加入 Microsoft Entra 或 Microsoft Entra 混合式已加入 Windows 裝置的連線。 此應用程式會建立 Microsoft Entra 證書頒發機構單位所簽發的租用戶寬憑證,並用來發行 RDP 連線的 RDP 裝置和用戶憑證。 為了確保這是正確的應用程式,您可以在 Microsoft Entra 系統管理中心> Applications>Enterprise Applications 中找到 P2P 伺服器應用程式的物件識別碼。 拿掉套用的預設篩選,您可以看到所有應用程式。 使用 Microsoft Graph API 比較此物件識別符,以使用 GET /servicePrincipals/{objectid} 查詢詳細數據,並確認 servicePrincipalNames 屬性為 urn:p2p_cert。
Windows 10/11 裝置上有哪些 MS-Organization-P2P-Access 憑證?
MS-Organization-P2P-Access 憑證是由 Microsoft Entra 標識符發行給已加入 Microsoft Entra 和 Microsoft Entra 混合式聯結裝置。 這些憑證可用來針對遠端桌面案例,在相同租使用者中的裝置之間啟用信任。 一個憑證會發給裝置,另一個憑證會發給使用者。 裝置憑證存在於 中 Local Computer\Personal\Certificates ,且有效期為一天。 如果裝置仍在 Microsoft Entra 識別符中,則會更新此憑證(藉由發出新的憑證)。 用戶憑證不是持續性的,而且有效期為一小時,但當使用者嘗試將遠端桌面會話傳送至另一個已加入 Microsoft Entra 的裝置時,就會視需要發出憑證。 到期時不會續約。 這兩個憑證都是使用 中 Local Computer\AAD Token Issuer\Certificates存在的 MS-Organization-P2P-Access 憑證來發行。 此憑證會在裝置註冊期間由 Microsoft Entra ID 簽發。
我們如何停用快取登入/使加入 Microsoft Entra 之裝置上的使用者快取登入過期?
無法在已加入 Microsoft Entra 的裝置上停用或過期先前的快取登入。
Microsoft Entra 混合式加入常見問題
如何在裝置本機將 Microsoft Entra 混合式加入的裝置解除聯結?
針對 Microsoft Entra 混合式已加入裝置,請務必使用 受控驗證 一文關閉 AD 中的自動註冊。 然後排程的工作不會再次註冊裝置。 接下來,以系統管理員身分開啟命令提示字元,然後輸入 dsregcmd.exe /debug /leave。 或者,在數個裝置上以腳本的形式執行此命令,以大量取消加入。
哪裡可以找到用以診斷 Microsoft Entra 混合式加入失敗的疑難排解資訊?
如需疑難解答資訊,請參閱下列文章:
為什麼我在 Microsoft Entra 裝置清單中看到 Windows 10/11 Microsoft Entra 混合式已加入裝置的重複 Microsoft Entra 註冊記錄?
當使用者在已加入網域的裝置上將其帳戶新增至應用程式時,系統可能會提示您將 帳戶新增至 Windows? 如果他們在提示字元中輸入 [是 ],裝置就會向 Microsoft Entra ID 註冊。 信任類型會標示為已註冊 Microsoft Entra。 在組織中啟用 Microsoft Entra 混合式加入之後,裝置也會加入 Microsoft Entra 混合式。 然後,相同的裝置會顯示兩個裝置狀態。
在大部分情況下,Microsoft Entra 混合式聯結的優先順序高於 Microsoft Entra 註冊狀態,因此您的裝置會被視為任何驗證和條件式存取評估的 Microsoft Entra 混合式聯結。 不過,有時候,這種雙重狀態可能會導致裝置的非決定性評估,並導致存取問題。 我們強烈建議升級至 Windows 10 版本 1803 和更新版本,以便自動清除 Microsoft Entra 已註冊的狀態。 瞭解如何避免 或清除 Windows 10 電腦上的這種雙重狀態。
為什麼我的使用者在變更 UPN 之後,在 Windows 10 Microsoft Entra 混合式加入裝置上發生問題?
Windows 10 2004 更新也適用於 Windows 11 支援 UPN 變更。 在變更 UPN 之後,具有此更新之裝置上的使用者不會有任何問題。
Microsoft Entra 混合式已加入裝置不支援舊版 Windows 10 上的 UPN 變更。 雖然使用者可以登入裝置並存取其內部部署應用程式,但使用 Microsoft Entra ID 進行驗證會在 UPN 變更後失敗。 因此,使用者在其裝置上有 SSO 和條件式存取問題。 您必須從 Microsoft Entra ID 取消加入裝置(以提升的許可權執行 」dsregcmd /leave“),然後重新加入 (自動發生) 以解決問題。
Windows 10/11 Microsoft Entra 混合式聯結裝置需要域控制器的視線才能存取雲端資源嗎?
否,除非使用者的密碼變更。 Windows 10/11 Microsoft Entra 混合式加入完成之後,且使用者至少登入一次,裝置就不需要域控制器的視線才能存取雲端資源。 Windows 10/11 可以透過因特網連線從任何地方取得 Microsoft Entra 應用程式的單一登錄,但密碼變更時除外。 使用 Windows Hello 企業版 登入的使用者即使在密碼變更之後,仍會繼續取得 Microsoft Entra 應用程式的單一登錄,即使他們沒有域控制器的視線也一樣。
如果使用者變更其密碼,並嘗試登入公司網路外部的 Windows 10/11 Microsoft Entra 混合式已加入裝置,會發生什麼事?
如果在公司網路外部變更密碼(例如,使用 Microsoft Entra SSPR),則以新密碼登入的用戶會失敗。 對於 Microsoft Entra 混合式聯結裝置,內部部署的 Active Directory 是主要授權單位。 當裝置沒有域控制器的視線時,就無法驗證新的密碼。 用戶必須先與域控制器建立連線(透過 VPN 或公司網路),才能使用新的密碼登入裝置。 否則,他們只能使用舊密碼登入,因為 Windows 中的快取登入功能。 不過,舊密碼會在令牌要求期間由 Microsoft Entra ID 失效,因此會防止單一登錄,並讓任何裝置型條件式存取原則失敗,直到使用者在應用程式或瀏覽器中使用新密碼進行驗證為止。 如果您使用已加入 Microsoft Entra 的裝置,則不會發生此問題。
Microsoft Entra 註冊常見問題
如何? 移除本機裝置的 Microsoft Entra 註冊狀態?
- 針對 Windows 10/11 Microsoft Entra 已註冊的裝置,請移至 設定> Accounts>Access 公司或學校。 選取您的帳戶,然後選取 [ 中斷連線]。 裝置註冊是每個 Windows 10/11 上的使用者配置檔。
- 針對 iOS 和 Android,您可以使用 Microsoft Authenticator 應用程式 設定> 裝置註冊,然後選取 [取消註冊裝置]。
- 針對macOS,您可以使用 Microsoft Intune 公司入口網站 應用程式取消註冊裝置,並移除任何註冊。
針對 Windows 10 2004 版和更舊版本,此程式可以使用 Workplace Join (WPJ) 移除工具自動化。
注意
此工具會移除裝置上的所有 SSO 帳戶。 此作業之後,所有應用程式都會失去 SSO 狀態,且裝置將會從管理工具 (MDM) 取消註冊,並從雲端取消註冊。 下次應用程式嘗試登入時,系統會要求使用者再次新增帳戶。
如何在我的公司 Windows 10/11 裝置上封鎖使用者新增更多工作帳戶(已註冊 Microsoft Entra?
啟用下列登錄,以封鎖使用者將其他工作帳戶新增至已加入公司網域、已加入 Microsoft Entra 或 Microsoft Entra 混合式加入 Windows 10/11 裝置。 此原則也可以用來封鎖已加入網域的計算機,不小心讓已加入網域的機器以相同的用戶帳戶註冊 Microsoft Entra。
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001
相關內容
- Microsoft 錯誤查閱工具 \(部分機器翻譯\)