Problembehandlung bei Microsoft Entra hybrid eingebundenen, down-level-Geräten
Dieser Artikel gilt nur für die folgenden Geräte:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Weitere Informationen zu Windows 10 oder höher und Windows Server 2016 finden Sie unter Problembehandlung bei Geräten unter Windows 10 und Windows Server 2016 mit Hybrideinbindung in Microsoft Entra.
In diesem Artikel wird vorausgesetzt, dass Sie in Microsoft Entra eingebundene Hybridgeräte konfiguriert haben, um die folgenden Szenarien zu unterstützen:
- Gerätebasierter bedingter Zugriff
Dieser Artikel enthält Anleitungen zur Problembehandlung zum Beheben potenzieller Probleme.
Wichtige Informationen:
- Die Microsoft Entra-Hybrideinbindung für Windows-Geräte mit einer Vorgängerversion funktioniert etwas anders als unter Windows 10 oder höher. Viele Kunden wissen nicht, dass sie Active Directory-Verbunddienste (AD FS) (für Verbunddomänen) oder nahtloses einmaliges Anmelden (für verwaltete Domänen) benötigen.
- Das nahtlose einmalige Anmelden funktioniert in den Browsern Firefox und Microsoft Edge nicht im privaten Modus. Es funktioniert ebenfalls nicht im Internet Explorer, wenn der Browser im erweiterten geschützten Modus ausgeführt wird oder wenn die verstärkte Sicherheitskonfiguration aktiviert ist.
- Wenn bei Kunden mit Verbunddomänen der Dienstverbindungspunkt so konfiguriert ist, dass er auf den Namen der verwalteten Domäne zeigt (z. B. „contoso.onmicrosoft.com“ statt „contoso.com“), funktioniert Microsoft Entra Hybrid Join für Windows-Geräte mit einer Vorgängerversion nicht.
- Dasselbe physische Gerät wird mehrfach in Microsoft Entra ID angezeigt, wenn sich mehrere Domänenbenutzer an den untergeordneten Microsoft Entra Hybrid-Geräten anmelden. Beispiel: Wenn jdoe und jharnett sich auf einem Gerät anmelden, wird für jeden dieser Benutzer eine separate Registrierung (DeviceID) auf der Registerkarte USER erstellt.
- Aufgrund einer Neuinstallation des Betriebssystems oder einer manuellen Neuregistrierung können Sie mehrere Einträge für ein Gerät auf der Registerkarte „Benutzerinformationen“ abrufen.
- Bei der anfänglichen Gerätekonfiguration für die Registrierung bzw. den Beitritt von Geräten wird zunächst eine Anmeldung oder Sperren/Entsperren versucht. Es kann eine Verzögerung von bis zu 5 Minuten auftreten, die durch eine Aufgabe der Aufgabenplanung ausgelöst wird.
- Stellen Sie sicher, dass KB4284842 unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 installiert ist. Dieses Update verhindert zukünftige Authentifizierungsfehler, wenn Kunden den Zugriff auf geschützte Schlüssel nach dem Ändern des Kennworts verlieren.
- Eine Hybrideinbindung von Microsoft Entra kann fehlschlagen, nachdem ein Benutzer seinen UPN geändert hat, wodurch der Prozess der nahtlosen SSO-Authentifizierung unterbrochen wird. Während des Einbindungsprozesses wird möglicherweise immer noch die vorherige UPN an Microsoft Entra ID gesendet, es sei denn, die Sitzungscookies des Browsers werden gelöscht oder der Benutzer meldet sich explizit ab und entfernt die alte UPN.
Schritt 1: Abrufen des Registrierungsstatus
So überprüfen Sie den Registrierungsstatus:
- Melden Sie sich mit dem Benutzerkonto an, das die Microsoft Entra-Hybrideinbindung durchgeführt hat.
- Öffnen Sie die Eingabeaufforderung.
- Geben Sie
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
ein
Dieser Befehl zeigt ein Dialogfeld an, das Ihnen ausführliche Informationen zum Einbindungsstatus bietet.
Schritt 2: Bewerten Sie den Status des Microsoft Entra-Hybridbeitritts
Wenn das Gerät noch nicht mit Microsoft Entra hybrid verbunden wurde, können Sie versuchen, es mit Microsoft Entra hybrid zu verbinden, indem Sie auf die Schaltfläche „Verbinden“ klicken. Wenn der Versuch, eine Microsoft Entra-Hybridverbindung herzustellen, fehlschlägt, werden die Fehlerdetails angezeigt.
Folgende Probleme treten am häufigsten auf:
Eine falsch konfigurierte AD FS oder Microsoft Entra ID oder Netzwerkprobleme
- Autoworkplace.exe ist nicht in der Lage, sich im Hintergrund mit Microsoft Entra ID oder AD FS zu authentifizieren. Dieses Problem kann durch fehlendes oder falsch konfiguriertes AD FS (für Verbunddomänen) oder fehlendes oder falsch konfiguriertes Microsoft Entra Seamless Single Sign-On (für verwaltete Domänen) oder durch Netzwerkprobleme verursacht werden.
- Möglicherweise ist die Multi-Faktor-Authentifizierung (MFA) für den Benutzer aktiviert/konfiguriert, und „WIAORMULTIAUTHN“ nicht auf dem AD FS-Server konfiguriert.
- Eine weitere Möglichkeit ist, dass die Seite der Startbereichsermittlung (Home Realm Discovery, HRD) auf eine Benutzerinteraktion wartet, wodurch autoworkplace.exe daran gehindert wird, unbeaufsichtigt ein Token abzurufen.
- Es könnte sein, dass die AD FS- und Microsoft Entra-URLs in der Intranetzone des IE auf dem Client fehlen.
- Probleme mit der Netzwerkkonnektivität verhindern möglicherweise, dass autoworkplace.exe AD FS oder die Microsoft Entra-URLs erreichen kann.
- Autoworkplace.exe setzt voraus, dass der Client eine direkte Sichtverbindung zum lokalen AD-Domänencontroller des Unternehmens hat. Das bedeutet, dass Microsoft Entra-Hybridbeitritt nur dann erfolgreich ist, wenn der Client mit dem Intranet des Unternehmens verbunden ist.
- Wenn Ihre Organisation das nahtlose einmalige Anmelden von Microsoft Entra verwendet, ist
https://autologon.microsoftazuread-sso.com
in den IE-Intraneteinstellungen des Geräts nicht vorhanden. - Die Interneteinstellung
Do not save encrypted pages to disk
ist aktiviert.
Sie sind nicht als Domänenbenutzer angemeldet
Dieses Problem kann aus verschiedenen Gründen auftreten:
- Der angemeldete Benutzer ist kein Domänenbenutzer (sondern beispielsweise ein lokaler Benutzer). Ein Microsoft Entra-Hybridbeitritt auf Geräten niedriger Ebene wird nur für Domänenbenutzer unterstützt.
- Der Client kann keine Verbindung mit einem Domänencontroller herstellen.
Ein Kontingent ist erreicht
Der Dienst reagiert nicht.
Die Statusinformationen finden Sie auch im Ereignisprotokoll unter Anwendungs- und Dienstprotokolle\Microsoft-Workplace Join.
Die häufigsten Ursachen für Fehler beim Microsoft Entra-Hybridbeitritt sind:
- Der Computer ist weder mit dem internen Netzwerk Ihrer Organisation noch mit einem VPN mit Verbindung mit Ihrem lokalen AD-Domänencontroller verbunden.
- Sie sind über ein lokales Computerkonto bei Ihrem Computer angemeldet.
- Probleme bei der Dienstkonfiguration:
- Der AD FS-Server wurde nicht für die Unterstützung von WIAORMULTIAUTHN konfiguriert.
- Die Gesamtstruktur Ihres Computers enthält kein Dienstverbindungspunkt-Objekt, das auf Ihren verifizierten Domänennamen in Microsoft Entra verweist
- Falls Ihre Domäne verwaltet wird: Das nahtlose einmalige Anmelden wurde nicht konfiguriert bzw. funktioniert nicht.
- Ein Benutzer hat den Grenzwert für Geräte erreicht.