Problembehandlung bei der Co-Verwaltung: Automatische Registrierung vorhandener configuration Manager-verwalteter Geräte in Intune

Dieser Artikel hilft Ihnen, Probleme zu verstehen und zu beheben, die beim Einrichten der Co-Verwaltung auftreten können, indem Sie vorhandene configuration Manager-verwaltete Geräte automatisch bei Intune registrieren.

In diesem Szenario können Sie Windows 10-Geräte weiterhin mithilfe von Configuration Manager verwalten, oder Sie können Workloads selektiv nach Wunsch nach Microsoft Intune verschieben. Weitere Informationen zum Konfigurieren von Workloads finden Sie unter Support-Tipp: Konfigurieren von Workloads in einer gemeinsam verwalteten Umgebung.

Vor der Installation

Bevor Sie mit der Problembehandlung beginnen, ist es wichtig, einige grundlegende Informationen zum Problem zu sammeln und sicherzustellen, dass Sie alle erforderlichen Konfigurationsschritte ausführen. Es hilft Ihnen, das Problem besser zu verstehen und die Zeit zu reduzieren, um eine Lösung zu finden. Befolgen Sie dazu diese Checkliste der Fragen zur Vorabbehandlung:

• Haben Sie über die erforderlichen Berechtigungen und Rollen zum Konfigurieren der Co-Verwaltung verfügen?
• Welche Hybrididentitätsoption von Microsoft Entra haben Sie ausgewählt?
• Was ist Ihre aktuelle MDM-Autorität?
• Haben Sie Microsoft Entra Connect installiert und konfiguriert?
• Haben Sie dem UPN, das Sie für die Konfiguration verwendet haben, eine Microsoft Entra ID P1- oder P2-Lizenz zugewiesen?
• Haben Sie den Benutzern Intune-Lizenzen zugewiesen?
• Haben Sie die Microsoft Entra-Hybridverknappung für verwaltete Domänen oder Verbunddomänen konfiguriert?
• Haben Sie die Konfigurations-Manager-Client-Agent-Einstellungen für den Hybridbeitritt von Microsoft Entra konfiguriert?
• Haben Sie die automatische Registrierung in Ihrem Intune-Mandanten konfiguriert?
• Haben Sie die Co-Verwaltung in Configuration Manager aktiviert?

Die meisten Probleme treten auf, da mindestens eine dieser Schritte nicht abgeschlossen wurde. Wenn Sie feststellen, dass ein Schritt übersprungen wurde oder nicht erfolgreich abgeschlossen wurde, überprüfen Sie die Details der einzelnen Schritte, oder lesen Sie das folgende Lernprogramm: Aktivieren der Co-Verwaltung für vorhandene Configuration Manager-Clients.

Verwenden Sie die folgende Protokolldatei auf Windows 10-Geräten, um Co-Management-Probleme auf dem Client zu beheben:

%WinDir%\CCM\logs\CoManagementHandler.log

Problembehandlung bei der Hybridkonfiguration von Microsoft Entra

Wenn Probleme auftreten, die sich auf die Hybrididentität von Microsoft Entra oder Microsoft Entra Connect auswirken, finden Sie in den folgenden Anleitungen zur Problembehandlung:

• Beheben von Problemen mit der Installation von Microsoft Entra Connect
• Beheben von Fehlern während der Microsoft Entra Connect-Synchronisierung
• Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung
• Beheben von Problemen mit dem nahtlosen einmaligen Anmelden von Microsoft Entra
• Behandeln von Problemen mit der Microsoft Entra-Passthrough-Authentifizierung
• Behandeln von Problemen mit einmaligem Anmelden mit Active Directory-Verbunddienste (AD FS)

Wenn Probleme auftreten, die sich auf die Hybridverknappung von Microsoft Entra für verwaltete Domänen oder Verbunddomänen auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:

• Problembehandlung für in Microsoft Entra eingebundene Hybridgeräte
• Problembehandlung von Geräten mit dem Befehl „dsregcmd“

Häufige Probleme

Clients haben die Richtlinie nicht vom Configuration Manager-Verwaltungspunkt erhalten, um den Registrierungsprozess mit der Microsoft Entra-ID und Intune zu starten.

Dieses Problem tritt aufgrund eines Problems in Configuration Manager und nicht inTune auf. Sie können die Clientprotokolldateien verwenden, um solche Probleme zu beheben.

Der Configuration Manager-Client ist installiert. Das Gerät registriert sich jedoch nicht mit der Microsoft Entra-ID, und es werden keine Fehler angezeigt.

Dieses Problem tritt in der Regel auf, da die Konfigurations-Manager-Client-Agent-Einstellungen nicht so konfiguriert sind, dass die Clients registriert werden.

Um das Problem zu beheben, stellen Sie sicher, dass Sie die Schritte unter Konfigurieren von Clienteinstellungen für direkte Clients bei Microsoft Entra ID ausführen.

Der Configuration Manager-Client ist installiert, und das Gerät wird erfolgreich mit der Microsoft Entra-ID registriert. Das Gerät wird jedoch nicht automatisch in Intune registriert, und es werden keine Fehler angezeigt.

Dieses Problem tritt in der Regel auf, wenn die automatische Registrierung in Ihrem Intune-Mandanten unter Microsoft Entra ID>Mobility (MDM und MAM)>Microsoft Intune falsch konfiguriert ist.

Um das Problem zu beheben, führen Sie die Schritte unter Konfigurieren der automatischen Registrierung von Geräten in Intune aus.

Sie können den Knoten "Co-Management" unter "Verwaltungsclouddienste > " in der Configuration Manager-Konsole nicht finden.

Dieses Problem tritt auf, wenn Ihre Version von Configuration Manager vor Version 1906 liegt.

Um das Problem zu beheben, aktualisieren Sie Configuration Manager auf Version 1906 oder eine höhere Version.

Microsoft Entra Hybrid-verbundene Geräte können nicht registriert und fehler 0x8018002a

Wenn dieses Problem auftritt, bemerken Sie auch die folgenden Symptome:

• Die folgende Fehlermeldung wird in den Anwendungs- und Dienstprotokollen>protokolliert: Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin log in the Ereignisanzeige:

  Automatische MDM-Registrierung: Fehlgeschlagen (Unbekannter Win32-Fehlercode: 0x8018002a)

• Die folgende Fehlermeldung wird in Den Anwendungen und Diensten protokolliert>Microsoft>Windows>Entra ID>Betriebsprotokoll im Ereignisanzeige:

  Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
  Code: interaction_required
  Beschreibung: AADSTS50076: Aufgrund einer Vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um darauf zuzugreifen.

Dieses Problem tritt auf, wenn die mehrstufige Authentifizierung (MFA) erzwungen wird. Dadurch wird verhindert, dass der Configuration Manager-Client-Agent das Gerät mithilfe der angemeldeten Benutzeranmeldeinformationen registriert.

Notiz

Es gibt einen Unterschied zwischen aktivierter und erzwungener MFA. Weitere Informationen zum Unterschied finden Sie unter Benutzerstatus der mehrstufigen Microsoft Entra-Authentifizierung. Dieses Szenario funktioniert, indem MFA aktiviert , aber nicht MFA erzwungen wird.

Verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

• Legen Sie MFA auf aktiviert , aber nicht erzwungen fest. Weitere Informationen finden Sie unter Einrichten der mehrstufigen Authentifizierung.
• Vorübergehendes Deaktivieren der MFA während der Registrierung in vertrauenswürdigen IPs.

Geräte können nach der automatischen Registrierung nicht synchronisiert werden

Ab Configuration Manager Version 1906 registriert sich automatisch ein gemeinsam verwaltetes Gerät mit Windows 10, Version 1803 oder höher, basierend auf seinen Microsoft Entra-Gerätetoken für den Microsoft Intune-Dienst. Das Gerät kann jedoch nicht synchronisiert werden, und Sie erhalten die folgende Fehlermeldung in "Einstellungen>Konten>zugriff auf Geschäfts-, Schul- oder Unikonto":

Die Synchronisierung war nicht vollständig erfolgreich, da wir Ihre Anmeldeinformationen nicht überprüfen konnten. Wählen Sie "Synchronisieren" aus, um sich anzumelden, und versuchen Sie es erneut.

Wenn dieses Problem auftritt, wird die folgende Fehlermeldung in Den Anwendungs- und Dienstprotokollen>von Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin-Log in der Ereignisanzeige protokolliert:

MDM-Sitzung: Fehler beim Abrufen des Microsoft Entra-Tokens für das Synchronisierungssitzungsbenutzertoken: (Unbekannter Win32-Fehlercode: 0xcaa2000c) Gerätetoken: (Falsche Funktion).

Die folgende Fehlermeldung wird in Den Anwendungen und Diensten protokolliert>Microsoft>Windows>Entra ID>Betriebsprotokoll im Ereignisanzeige:

Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
Code: interaction_required
Beschreibung: AADSTS50076: Aufgrund einer Vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um darauf zuzugreifen.

Dieses Problem tritt auf, wenn MFA aktiviert oder erzwungen ist, oder Microsoft Entra-Richtlinien für bedingten Zugriff, die MFA erfordern, auf alle Cloud-Apps angewendet werden. Sie verhindert die Benutzerzuordnung mit dem Gerät im Portal.

Verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:

• Wenn MFA aktiviert oder erzwungen wird:
  • MFA auf "Deaktiviert" festlegen. Weitere Informationen finden Sie unter Deaktivieren der Legacy-MFA pro Benutzer.
  • Umgehen von MFA mithilfe von vertrauenswürdigen IPs.
• Wenn Microsoft Entra-Richtlinien für bedingten Zugriff verwendet werden, schließen Sie die Microsoft Intune-App aus den Richtlinien aus, die MFA erfordern, um die Gerätesynchronisierung mithilfe der Benutzeranmeldeinformationen zuzulassen.

Ein in Microsoft Entra hybrid eingebundenes Windows 10-Gerät kann bei Intune nicht registriert werden, wenn fehler 0x800706D9 oder 0x80180023

Wenn dieses Problem auftritt, wird in der Regel die folgende Fehlermeldung in Den Anwendungs- und Dienstprotokollen>von Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider-Administrator>im Ereignisanzeige angezeigt:

MDM-Registrierung: Fehler bei der OMA-DM-Clientkonfiguration. RAWResult: (0x800706D9) Ergebnis: (Unbekannter Win32-Fehlercode: 0x80180023).
MDM-Registrierung: Fehler bei der Bereitstellung. Ergebnis: (Unbekannter Win32-Fehlercode: 0x80180023).
MDM-Registrierung: Fehlgeschlagen (Unbekannter Win32-Fehlercode: 0x80180023)
Automatische MDM-Registrierung: Geräteanmeldeinformationen (0x80180023), Fehlgeschlagen (%2)
MDM-Registrierung aufheben: Fehler beim Senden der Unenroll-Warnung an den Server. Ergebnis: (Falsche Funktion.)
MDM-Registrierung aufheben: Fehler beim Ändern des Starttyps "dmwappushservice" auf "Anforderungsstart". Ergebnis: (Der angegebene Dienst ist nicht als installierter Dienst vorhanden.)

Dieses Problem tritt auf, wenn der dmwappushservice Dienst vom Gerät fehlt. Führen Sie services.msc zum Überprüfen nach diesem Dienst aus.

Zur Behebung dieses Problems führen Sie die folgenden Schritte aus:

1. Exportieren Sie auf einem Arbeitsgerät, das dieselbe Version von Windows 10 wie das betroffene Gerät ausführt, den folgenden Registrierungsschlüssel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Melden Sie sich beim betroffenen Gerät als lokaler Administrator an, kopieren Sie die .reg Datei auf das betroffene Gerät, und führen Sie sie dann mit der lokalen Registrierung zusammen.

3. Starten Sie das betroffene Gerät neu.

4. Löschen Sie die alte Microsoft Entra-Registrierung, und aktualisieren Sie dann die Gruppenrichtlinie.

5. Starten Sie das betroffene Gerät erneut neu. Das Gerät sollte in der Lage sein, sich mit der Microsoft Entra-ID zu registrieren und sich automatisch in Intune zu registrieren.

Fehler bei der Microsoft Entra-Hybridverknappung in einer verwalteten Domäne mit Fehler 0x801c03f2

Wenn Sie über eine Eingabeaufforderung auf dem Gerät ausgeführt werden dsregcmd /status , können Sie sehen, dass die Domäne in die Domäne eingebunden ist, aber nicht in Microsoft Entra Hybrid eingebunden ist. Die folgende Fehlermeldung wird in Anwendungs- und Dienstprotokollen>des Microsoft>Windows-Benutzergeräteregistrierungsadministratorprotokolls>> im Ereignisanzeige protokolliert:

Serverantwort war: {"ErrorType":"DirectoryError","Message":"Das Benutzerzertifikat für öffentliche Schlüssel wurde im Geräteobjekt mit der ID <DeviceID> nicht gefunden".

Dieses Problem tritt in einer der folgenden Situationen auf:

• Das Geräteobjekt fehlt in der Microsoft Entra-ID.
• Das Usercertificate Attribut verfügt nicht über das Gerätezertifikat in der lokales Active Directory- oder Microsoft Entra-ID.

Damit die Windows 10-Geräteregistrierung in einer verwalteten Domäne funktioniert, muss das Geräteobjekt zuerst synchronisiert werden. Der Registrierungsprozess funktioniert wie folgt:

• Das Windows 10-Gerät wird zum ersten Mal gestartet, nachdem es einer lokalen Domäne beigetreten ist.
• Die Geräteregistrierung wird ausgelöst und eine Zertifikatanforderung wird erstellt.
• Wenn die Anforderung erstellt wird, wird der öffentliche Schlüssel des Zertifikats im lokalen AD für das Geräteobjekt veröffentlicht. Dadurch wird das Usercertificate Attribut für die Geräteobjekte aktualisiert. Gleichzeitig wird die signierte Geräteregistrierungsanforderung an die Microsoft Entra-ID gesendet.
• Die Registrierung schlägt fehl, da die Microsoft Entra-ID das Geräteobjekt nicht authentifizieren oder die signierte Anforderung überprüfen kann.
• Wenn der Synchronisierungszyklus das nächste Mal ausgeführt wird, findet es das Geräteobjekt, das das Usercertificate Attribut aufgefüllt hat, und synchronisiert das Geräteobjekt mit der Microsoft Entra-ID.
• Wenn der Registrierungsdienst das nächste Mal ausgelöst wird (dies wird jede Stunde ausgeführt), sendet das Gerät eine neue Anforderung, die vom privaten Schlüssel signiert ist.
• Azure überprüft die Signatur auf der Anforderung mithilfe des öffentlichen Zertifikats, das während des Synchronisierungszyklus von der lokalen Domäne empfangen wurde. Wenn die Microsoft Entra-ID die Signatur auf der Anforderung überprüfen kann, ist die Geräteregistrierung erfolgreich.

Führen Sie diese Schritte aus, um das Problem zu beheben:

1. Stellen Sie im lokalen AD sicher, dass das Usercertificate Attribut aufgefüllt ist und über das richtige Zertifikat verfügt.

2. Überprüfen Sie das Back-End-Geräteobjekt, und stellen Sie sicher, dass das Usercertificate Attribut vorhanden ist und aufgefüllt wird.

3. Wenn das Zertifikat fehlt oder jemand das Zertifikat aus dem lokalen AD gelöscht hat (was wiederum das Zertifikat aus der Microsoft Entra-ID löscht), schlägt die Geräteregistrierung fehl. Gehen Sie zum Beheben dieses Problems auf dem Clientgerät wie folgt vor:

   1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus:

      dsregcmd /leave
      

   2. Führen Sie die Ausführung aus certlm.msc , um den Zertifikatspeicher des lokalen Computers zu öffnen.

   3. Stellen Sie sicher, dass das Computerzertifikat, das von MS-Organization-Access ausgestellt wurde, gelöscht wird.

   4. Starten Sie das Clientgerät neu, um eine neue Geräteregistrierung auszulösen.

   5. Stellen Sie nach dem Neustart des Geräts sicher, dass der neue öffentliche Zertifikatschlüssel auf dem Geräteobjekt im lokalen AD aktualisiert wird. Wenn mehrere Domänencontroller vorhanden sind, stellen Sie sicher, dass das Attribut auf alle Domänencontroller repliziert wird.

   6. Auslösen einer Delta-Synchronisierung auf dem Microsoft Entra Connect-Server.

   7. Nach Abschluss der Synchronisierung können Sie die Geräteregistrierung auslösen, indem Sie den Client neu starten, den dsregcmd /debug Befehl ausführen oder die geplante Aufgabe Automatic-Device-Join unter Workplace Join ausführen.

Fehler bei der automatischen Geräteregistrierung 0x80280036

Wenn dieses Problem auftritt, wird die folgende Fehlermeldung in den Anwendungs- und Dienstprotokollen>des Microsoft>Windows-Benutzergeräteregistrierungsadministrators>> im Ereignisanzeige protokolliert:

DeviceRegistrationApi::BeginJoin mit Fehlercode fehlgeschlagen: 0x80280036

Beschreibung:
Fehler bei der Initialisierung der Join-Anforderung mit Beendigungscode: Das TPM versucht, einen Befehl auszuführen, der nur im FIPS-Modus verfügbar ist.

Dieses Problem tritt auf, wenn der TPM-Chip auf dem Clientgerät FIPS-Modus aktiviert ist. DER FIPS-Modus wird für die Azure-Geräteregistrierung nicht unterstützt oder empfohlen. Weitere Informationen finden Sie unter "Warum wir nicht mehr den FIPS-Modus" empfehlen.

Fehler bei der Microsoft Entra-Hybridbeitritts-0x80090016

Die hybride Microsoft Entra-Registrierung eines Windows 10-Geräts schlägt fehl, und Sie erhalten die folgende Fehlermeldung:

Es ist ein Problem aufgetreten. Vergewissern Sie sich, dass Sie die richtigen Anmeldeinformationen verwenden und dass Ihre Organisation diese Funktion verwendet. Sie können versuchen, dies erneut zu tun, oder wenden Sie sich an den Systemadministrator mit dem Fehlercode 0x80090016

Die Fehlermeldung von 0x80090016 ist Keyset nicht vorhanden. Dies bedeutet, dass die Geräteregistrierung den Geräteschlüssel nicht speichern konnte, da auf die TPM-Schlüssel nicht zugegriffen werden konnte.

Dieses Problem tritt auf, wenn Windows nicht der Besitzer des TPM ist. Ab Windows 10 wird das Betriebssystem automatisch initialisiert und die Inhaberschaft des TPMs übernommen. Wenn dieser Vorgang jedoch fehlschlägt, ist Windows nicht der Besitzer und führt zu dem Problem.

Um dieses Problem zu beheben, löschen Sie das TPM, und starten Sie das Clientgerät neu. Führen Sie die folgenden Schritte aus, um das TPM zu löschen:

1. Öffnen Sie die Windows-Sicherheit-App.

2. Wählen Sie "Gerätesicherheit" aus.

3. Wählen Sie Die Details des Sicherheitsprozessors aus.

4. Wählen Sie die Problembehandlung für den Sicherheitsprozessor aus.

5. Klicken Sie auf "TPM löschen".

   Wichtig

   Bevor Sie das TPM löschen, beachten Sie Folgendes:

   • Das Löschen von TPM kann zu Datenverlust führen. Sie verlieren alle erstellten Schlüssel, die dem TPM zugeordnet sind, und Daten, die durch diese Schlüssel geschützt sind, z. B. eine virtuelle Smartcard, eine Anmelde-PIN oder BitLocker-Schlüssel.
   • Wenn BitLocker auf dem Gerät aktiviert ist, stellen Sie sicher, dass Sie BitLocker deaktivieren, bevor Sie das TPM löschen.
   • Stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die vom TPM geschützt oder verschlüsselt sind.

6. Starten Sie das Gerät neu, wenn Sie dazu aufgefordert werden.

   Notiz

   Während des Neustarts werden Sie möglicherweise von der UEFI aufgefordert, eine Schaltfläche zu drücken, um zu bestätigen, dass Sie das TPM löschen möchten. Nach Abschluss des Neustarts wird das TPM automatisch für die Verwendung von Windows 10 vorbereitet.

Nach dem Neustart des Geräts sollte die Hybrid-Verknüpfung von Microsoft Entra erfolgreich sein. Führen Sie dsregcmd /status zum Überprüfen den Befehl an einer Eingabeaufforderung aus. Das folgende Ergebnis gibt einen erfolgreichen Beitritt an:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Weitere Informationen finden Sie unter Problembehandlung für das TPM.

Weitere Informationen

Weitere Informationen zur Problembehandlung bei Co-Management-Problemen finden Sie in den folgenden Artikeln:

• Problembehandlung bei der Co-Verwaltung: Bootstrap mit moderner Bereitstellung
• Problembehandlung bei Co-Management-Workloads

Weitere Informationen zur Co-Verwaltung von Intune und Configuration Manager finden Sie in den folgenden Artikeln:

• Übersicht über die gemeinsame Verwaltung von Windows 10
• Erste Schritte: Pfade zum Co-Management
• Schnellstarts für das Co-Management
• Lernprogramm: Aktivieren der Co-Verwaltung für vorhandene Configuration Manager-Clients