針對共同管理進行疑難解答：使用新式布建啟動程式

本文透過採用路徑 2：使用新式布建啟動 Configuration Manager 客戶端，協助您了解並針對設定共同管理時可能遇到的問題進行疑難解答。

當您有新 Windows 10 裝置加入 Microsoft Entra ID 並自動註冊 Intune，然後安裝 Configuration Manager 用戶端以達到共同管理狀態時，就會發生此案例。

開始之前

開始進行疑難解答之前，請務必收集問題的基本資訊，並確定您遵循所有必要的設定步驟。 這可協助您進一步了解問題，並縮短尋找解決方案的時間。 若要這樣做，請遵循此預先疑難解答問題的檢查清單：

• 您選取了哪個 Microsoft Entra 混合式身分識別選項？
• 您 目前的 MDM 授權單位為何？
• 您 是否已設定增強的 HTTP？
• 您是否 已在 Azure 中建立雲端服務？
• 您是否 (CMG) 設定雲端管理閘道 ？
• 您是否 為 CMG 流量設定面向用戶端的角色？
• 您是否已在 Intune 中安裝 Configuration Manager 用戶端？

發生大部分的問題是因為其中一或多個步驟尚未完成。 如果您發現已略過或未成功完成步驟，請檢查每個步驟的詳細數據，或參閱下列教學課程：

教學課程：啟用新式布建用戶端的共同管理

針對混合式 Microsoft Entra 組態進行疑難解答

如果您遇到影響 Microsoft Entra 混合式身分識別或 Microsoft Entra Connect 的問題，請參閱下列疑難解答指南：

• 針對連線安裝 Microsoft Entra問題進行疑難解答
• 針對 Microsoft Entra 連線同步處理期間的錯誤進行疑難解答
• 針對使用 Microsoft Entra Connect Sync 的密碼哈希同步處理進行疑難解答
• 針對無縫單一登錄 Microsoft Entra 進行疑難解答
• 針對傳遞驗證 Microsoft Entra 進行疑難解答
• 針對單一登錄問題進行疑難解答 Active Directory 同盟服務

如果您遇到會影響受控網域或同盟網域 Microsoft Entra 混合式加入的問題，請參閱下列疑難解答指南：

• 針對混合式聯結裝置 Microsoft Entra 進行疑難解答
• 使用 dsregcmd 命令對裝置進行疑難排解

常見問題集

我需要哪些角色才能設定共同管理？

以下是設定共同管理所需的 許可權和角色 。

我可以使用哪一個記錄來驗證工作負載，並判斷共同管理案例中的原則和應用程式來自何處？

您可以在 Windows 10 裝置上使用下列記錄檔：

%WinDir%\CCM\logs\CoManagementHandler.log

如何? 驗證我的雲端服務有唯一的 DNS 名稱嗎？

如果要執行這項操作，請依照下列步驟執行：

1. 登入 Azure 入口網站，移至 [所有服務 雲端服務 (> 傳統 ) ]，然後按兩下 [新增]。
2. 在 [ DNS 名稱 ] 字段中，輸入您要使用的名稱。
3. 當您有可供使用的名稱時，請記下它，而不需要在 [雲端服務 ] 窗格中建立它。
4. 建立將網域對應至<內部和外部 DNS 伺服器中 name.cloudapp.net> 的 CNAME 記錄。

哪裡可以找到 Configuration Manager 客戶端設定 MSI？

您可以在 Configuration Manager 站台伺服器的下列資料夾中找到ccmsetup.msi檔案：

<ConfigMgr installation directory>\bin\i386

如何? 驗證從 Intune 到受控 Windows 10 裝置的 Configuration Manager 用戶端部署？

若要確認部署，請在 Windows 10 裝置上遵循下列步驟：

1. 開啟 檔案總管，然後移至 %WinDir%\CCM\logs。
2. 使用 CMTrace 開啟ADALOperationProvider.log檔案，並尋找取得 Microsoft Entra ID (使用者) 令牌和取得 Microsoft Entra ID (裝置) 令牌來驗證令牌。
3. 在 CMTrace 中，開啟CoManagementHandler.log檔案，尋找 已向 MDM 註冊裝置和 布建裝置以驗證註冊。
4. 開啟 控制台，在搜尋方塊中輸入 Configuration Manager，然後加以選取。
5. 選取 [ 一般] 索引標籤，並確認 [指派的管理點]。
6. 選取 [ 網络] 索引 標籤，並確認 以因特網為基礎的管理點。

常見問題

Configuration Manager 只允許已加入 Microsoft Entra 客戶端的 HTTPS 管理點

如果您使用最新分支版本 1802 或更早版本 Configuration Manager，就會發生此問題。 在這些版本中，您為 CMG 啟用的管理點必須是 HTTPS。 從 1806 版開始，管理點可以是 HTTP。

若要修正此問題，請更新為 Configuration Manager 最新分支 1806 版或更新版本。

PKI 憑證是否仍是有效的選項，而不是增強的 HTTP

PKI 憑證對您而言仍是一個有效的選項，但它們有下列需求：

• 所有客戶端通訊都是透過 HTTPS 完成。
• 您必須具有簽署基礎結構的進階控制權。

如需詳細資訊，請參閱 增強 HTTP。

我在月臺設定中找不到 [用戶端計算機通訊] 索引標籤

從最新分支版本 1906 Configuration Manager 開始，此索引標籤已重新命名為通訊安全性。

已啟用 [針對 HTTP 月台系統使用 Configuration Manager 產生的憑證] 選項，但未收到任何憑證

這是預期的行為。 管理點最多可能需要 30 分鐘的時間，才能從月臺接收和設定新的憑證。 您可以使用下列記錄來追蹤、監視及驗證：

<ConfigMgr installation directory>\Logs\CloudMgr.log

不會在 Configuration Manager 資料庫中建立資源的記錄及其來自 Microsoft Entra ID 的相關信息

當您將 Configuration Management 月台上線以 Microsoft Entra ID 時，不會探索 Microsoft Entra 用戶資源，也不會填入 Configuration Manager 資料庫中。 通常，您會在此案例中收到0x87d00231錯誤。

此問題會在下列其中一種情況下發生：

• 您未成功在 Azure 入口網站 中設定應用程式註冊的 API 許可權。
• Microsoft Entra 使用者探索未啟用或設定。

若要修正此問題，請遵循 Microsoft Entra 使用者探索中的步驟來設定 API 許可權並 Microsoft Entra 使用者探索。 您可以使用下列記錄來檢查詳細資料：

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log 在月台伺服器上
• %WinDir%\CCM\logs\CcmMessaging.log 在用戶端上
• %WinDir%\CCM\logs\LocationServices.log 在用戶端上

注意事項

如果 Configuration Manager 網站是新的或最近重建的，您也必須設定 Active Directory 使用者探索。

CoManagementHandler.log顯示 要引發佇列註冊定時器...

Windows 裝置上的ADALOperationProvider.log檔案會顯示取得 Microsoft Entra ID (使用者) 令牌和取得 Microsoft Entra ID (裝置) 令牌。 不過，裝置並未註冊，而CoManagementHandler.log的最後一行是要 在...引發佇列註冊定時器。

在最新分支版本 1806 和更新版本 Configuration Manager 預期會有此行為。 從 1806 版開始，並非所有用戶端都會立即自動註冊。 此行為有助於針對大型環境進行更佳的註冊調整。 Configuration Manager 根據客戶端數目隨機化註冊。 例如，如果您的環境有100,000個客戶端，註冊可能會在數天內發生。

若要監視共同管理，請移至 Configuration Manager 控制台中的 [監視>共同管理]。

我已從 Configuration Manager 主控台複製自訂用戶端安裝命令，但無法安裝 Configuration Manager用戶端

此問題會在下列其中一種情況下發生：

• 命令中的安裝參數不符合 支援的值。
• 命令行的長度大於 1,024 個字元。

若要修正此問題，請確定命令符合需求，且命令行長度不超過 1,024 個字元。

Configuration Manager 代理程序狀態在 Intune 狀況不良

Intune 會根據ClientHealthLastSyncTime下列登錄子機碼中的 和 ClientHealthStatus 值來評估 Configuration Manager 代理程式狀態：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

下列是 的 ClientHealthStatus可能值：

• 1：已安裝用戶端
• 2：用戶端已註冊
• 5：已安裝用戶端，但尚未執行健康情況評估
• 7：客戶端狀況良好
• 8：用戶端安裝或升級錯誤
• 16：管理點中的通訊錯誤

如果值ClientHealthStatus為 7 (狀況良好) ，Intune 如果 未超過 30 天，ClientHealthLastSyncTime則會將 Configuration Manager 客戶端視為狀況良好。

ClientHealthStatus如果值不是 7， (狀況不良的) ，Intune 會將 Configuration Manager 客戶端視為狀況良好，ClientHealthLastSyncTime如果 不是超過 48 小時。

ClientHealthLastSyncTime Configuration Manager 用戶端的用戶端通知元件會更新此值，而且記錄檔會CcmNotificationAgent.log。

若要針對此問題進行疑難解答，如果 不是最新狀態， ClientHealthLastSyncTime 請檢查CcmNotificationAgent.log檔案。 範例如下：

更新 MDM_ConfigSetting.ClientHealthLastSyncTime，其值為 2019-04-01T21：42：51Z BgbAgent 4/2/2019 8：42：51 AM 9476 (0x2504)

ClientHealthLastSyncTime如果此值是最新的，但 Intune 中 Configuration Manager 代理程序的最後一次簽入時間是 2/1/1900，這表示裝置合規性原則工作負載是由 Configuration Manager 所管理。 在此情況下，請將合規性政策工作負載切換為 Intune 或試驗 Intune。

CMG 連接點會顯示為已中斷連線

發生此問題的原因是 CMG 連接點角色安裝所在的遠端月臺系統與主要月臺之間的許可權問題。

遠端月臺系統會 TrafficData 從 CMG 收集報告，然後透過狀態消息將數據傳送至主要月臺。 以下是SMS_Cloud_ProxyConnector.log的範例記錄代碼段：

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - 要傳送的狀態消息：~~ProxyTrafficStateDetails< ServerName=“PS1DP.CONTOSO.COM” StartTime=“Date1 Time1” EndTime=“Date2 Time2” MaxConcurrentRequests=“2”><EndPoints>~~ <EndPoint Name=“BGB” ProxyServer=“DOMAINCMG.CLOUDAPP.NET” TargetHost=“ps.contoso.com” TotalRequests=“2” TotalRequestsWithBearerToken=“0” MaxConcurrentRequests=“2” TotalRequestBytes=“2594” TotalResponseBytes=“716”FailedRequests=“0”/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

由於遠端站臺系統也是管理點，因此這些狀態消息會移至 MP 檔案分派管理員存取的寄件匣，以將檔案傳送至主要月臺。 以下是mpfdm.log的範例記錄代碼段：

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~移動 1 *。SMX 檔案 (從 C：\SMS\MP\OUTBOXES\statemsg.box\ 到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\的) 。
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~將檔案 C：\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX 移至 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

發生許可權問題時，MP 檔案分派管理員無法存取主要站臺上的收件匣，並在 mpfdm.log 中記錄下列錯誤：

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR：無法連線到收件匣來源，請睡眠 30 秒，然後再試一次。

若要修正此問題，請將遠端站臺系統的電腦帳戶新增至主要站臺上的本機系統管理員群組。

客戶端無法使用 CMG 找到管理點，而且您收到錯誤 403

發生此問題時，用戶端上的LocationServices.log會記錄下列錯誤：

[CCMHTTP]錯誤資訊： StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

此外，下列錯誤會記錄在 CMG 連接點伺服器的SMS_Cloud_ProxyConnector.log中：

MessageID： <ID> RequestURI：https://< FQDN>/SMS_MP/.sms_aut？SITESIGNCERT EndpointName： SMS_MP ResponseHeader： HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize： 5274 ElapsedTime： 44 毫秒 SMS_CLOUD_PROXYCONNECTOR

如果 CMG 連接點伺服器具有有效的客戶端驗證憑證，最可能的原因是無法驗證憑證的證書吊銷清單 (憑證的 CRL) 。 如果是這種情況，您會收到0x87d0027e錯誤，而且 CAPI2 事件記錄檔中會記錄下列錯誤：

撤銷函式無法檢查撤銷，因為撤銷伺服器已離線。 80092013

此外，如果您藉由將登錄值設定 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging 為 1來啟用詳細信息記錄，則會將類似下列的錯誤項目記錄在 SMS_Cloud_ProxyConnector.log：

鏈結構建置失敗憑證：C019CC17EEFA681D154BA9F24F8EAE9640D54C49
鏈鏈 0 狀態：RevocationStatusUnknown
鏈鏈 1 狀態：OfflineRevocation
鏈結建置失敗憑證：54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
鏈鏈 0 狀態：RevocationStatusUnknown
鏈鏈 1 狀態：OfflineRevocation
不允許的憑證：52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
具有允許根 CA 且具有私鑰的已篩選憑證計數：0
使用客戶端驗證篩選的憑證計數：0

我們建議您不要自動停用CRL檢查，而是先確定它能正常運作。 不過，如果您無法讓CRL檢查正常運作，請暫時停用CMG連接點的CRL檢查。 這可讓您在不執行CRL檢查的情況下選取客戶端憑證，並啟用與管理點的通訊。

其他相關資訊

如需針對共同管理問題進行疑難解答的詳細資訊，請參閱下列文章：

• 共同管理疑難解答：將現有 Configuration Manager 管理的裝置自動註冊到 Intune
• 針對共同管理工作負載進行疑難解答

如需共同管理 Intune 和 Configuration Manager 的詳細資訊，請參閱下列文章：

• 共同管理 Windows 10 概觀
• 使用者入門：共同管理的路徑
• 共同管理的快速入門
• 教學課程：為現有的 Configuration Manager 用戶端啟用共同管理
• 如何準備以因特網為基礎的裝置以進行共同管理