Řešení potíží se zařízeními nižší úrovně hybridně připojenými k Microsoft Entra
Tento článek se vztahuje pouze na následující zařízení:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Důležité informace o podpoře starších verzí operačního systému najdete v tématu Podporované verze klientských Windows a Známé problémy a oznámení pro windows 8.1 a Windows Server 2012 R2.
Pro informace o zařízeních s Windows 10 nebo novějšími verzemi a Windows Serverem 2016 si přečtěte Řešení problémů se zařízeními Microsoft Entra hybrid připojenými k Windows 10 a Windows Server 2016.
Tento článek předpokládá, že jste nakonfigurovali hybridní zařízení připojená k Microsoft Entra tak, aby podporovala následující scénáře:
- Podmíněný přístup založený na zařízeních
Tento článek poskytuje průvodce řešením potenciálních problémů.
Co byste měli vědět:
- Hybridní připojení Microsoft Entra pro zařízení s Windows nižší úrovně funguje jinak než ve Windows 10 nebo novějším. Mnoho zákazníků si neuvědomuje, že potřebují službu AD FS (pro federované domény) nebo bezproblémové jednotné přihlašování nakonfigurované (pro spravované domény).
- Bezproblémové jednotné přihlašování nefunguje v privátním režimu procházení v prohlížečích Firefox a Microsoft Edge. Nefunguje ani v Internet Exploreru, pokud je prohlížeč spuštěný v režimu Rozšířené ochrany nebo pokud je povolená konfigurace rozšířeného zabezpečení.
- Pokud je pro zákazníky s federovanými doménami nakonfigurovaný spojovací bod služby (SCP), aby odkazoval na název spravované domény (například contoso.onmicrosoft.com místo contoso.com), nefunguje hybridní připojení Microsoft Entra pro zařízení s Windows nižší úrovně.
- Stejné fyzické zařízení se v ID Microsoft Entra zobrazí vícekrát, když se více uživatelů domény přihlásí k zařízením s hybridním připojeným zařízením Microsoft Entra na nižší úrovni. Pokud se například Osoba1 a Osoba2 přihlásí k zařízení, vytvoří se pro každou z nich samostatná registrace (DeviceID) v záložce INFORMACE UŽIVATELE.
- Můžete také získat více položek pro zařízení na kartě informace o uživateli z důvodu přeinstalace operačního systému nebo ruční opětovné registrace.
- Počáteční registrace / připojení zařízení je nakonfigurována tak, aby se pokusila o přihlášení nebo zamčení / odemčení. Úloha plánovače úloh může aktivovat 5minutové zpoždění.
- Ujistěte se , že je v systému Windows 7 SP1 nebo Windows Server 2008 R2 SP1 nainstalovaný KB4284842 . Tato aktualizace zabraňuje budoucím selháním ověřování kvůli ztrátě přístupu zákazníka k chráněným klíčům po změně hesla.
- Hybridní připojení Microsoft Entra může selhat po změně hlavního názvu uživatele (UPN), což naruší proces jednotného přihlášení SSO. Během procesu připojení se může zobrazit, že se stále odesílá předchozí UPN do Microsoft Entra ID, pokud nejsou relace prohlížeče vymazány nebo se uživatel explicitně neodhlásí a neodstraní starý UPN.
Krok 1: Načtení stavu registrace
Ověření stavu registrace:
- Přihlaste se pomocí uživatelského účtu, který provedl hybridní připojení Microsoft Entra.
- Otevření příkazového řádku
- Zadejte
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Tento příkaz zobrazí dialogové okno s podrobnostmi o stavu připojení.
Krok 2: Vyhodnocení stavu hybridního připojení Microsoft Entra
Pokud zařízení nebylo připojené k hybridnímu připojení Microsoft Entra, můžete se pokusit provést hybridní připojení Microsoft Entra kliknutím na tlačítko Připojit. Pokud pokus o hybridní připojení Microsoft Entra selže, zobrazí se podrobnosti o selhání.
Nejběžnější problémy jsou:
Problémy s chybnou konfigurací služby AD FS nebo Microsoft Entra ID nebo sítě
- Autoworkplace.exe se nedá bezobslužně ověřit pomocí Microsoft Entra ID nebo AD FS. Příčinou tohoto problému může být chybějící nebo chybně nakonfigurovaná služba AD FS (pro federované domény) nebo chybějící nebo chybně nakonfigurované bezproblémové jednotné přihlašování Microsoft Entra (pro spravované domény) nebo problémy se sítí.
- Může se stát, že pro uživatele je povolené nebo nakonfigurované vícefaktorové ověřování (MFA) a na serveru AD FS není nakonfigurované WIAORMULTIAUTHN.
- Další možností je, že stránka pro zjišťování domovské sféry (HRD) čeká na interakci uživatele, což brání autoworkplace.exe v tichému vyžádání tokenu.
- V zóně intranetu IE v klientovi chybí adresy URL služby AD FS a Microsoft Entra.
- Problémy s připojením k síti můžou bránit autoworkplace.exe v přístupu ke službě AD FS nebo adresÁM URL Microsoft Entra.
- Autoworkplace.exe vyžaduje, aby klient měl přímý dohled od klienta k místnímu řadiči domény AD organizace, což znamená, že hybridní připojení Microsoft Entra proběhne úspěšně pouze v případě, že je klient připojený k intranetu organizace.
- Pokud vaše organizace používá bezproblémové jednotné přihlašování Microsoft Entra,
https://autologon.microsoftazuread-sso.com
není k dispozici v nastavení intranetu IE zařízení. - Nastavení internetu
Do not save encrypted pages to disk
je zaškrtnuté.
Nejste přihlášeni jako uživatel domény
K tomuto problému může dojít z několika různých důvodů:
- Přihlášený uživatel není uživatelem domény (například místním uživatelem). Hybridní připojení Microsoft Entra na zařízeních nižší úrovně je podporováno pouze pro uživatele domény.
- Klient se nemůže připojit k řadiči domény.
Dosáhli jsme kvóty.
Služba nereaguje
Informace o stavu najdete také v protokolu událostí v části: Protokol aplikací a služeb\Připojení k pracovišti Microsoftu
Nejběžnější příčiny selhání hybridního připojení Microsoft Entra jsou:
- Váš počítač není připojený k interní síti vaší organizace ani k síti VPN s připojením k místnímu řadiči domény AD.
- Jste přihlášení k počítači pomocí účtu místního počítače.
- Problémy s konfigurací služby:
- Server služby AD FS není nakonfigurován tak, aby podporoval WIAORMULTIAUTHN.
- Struktura vašeho počítače nemá žádný objekt připojení služby, který odkazuje na váš ověřený název domény v Microsoft Entra ID.
- Nebo pokud je vaše doména spravovaná, bezproblémové jednotné přihlašování nebylo nakonfigurováno nebo nefunguje.
- Uživatel dosáhl limitu zařízení.