Résoudre les problèmes de cogestion : inscrire automatiquement des appareils gérés par Configuration Manager dans Intune

Cet article vous aide à comprendre et à résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez la cogestion en inscrivant automatiquement des appareils gérés par Configuration Manager dans Intune.

Dans ce scénario, vous pouvez continuer à gérer les appareils Windows 10 à l’aide de Configuration Manager, ou vous pouvez déplacer de manière sélective des charges de travail vers Microsoft Intune comme vous le souhaitez. Pour plus d’informations sur la configuration des charges de travail, consultez Conseil de support : Configuration des charges de travail dans un environnement cogéré.

Avant de commencer

Avant de commencer la résolution des problèmes, il est important de collecter des informations de base sur le problème et de vous assurer que vous suivez toutes les étapes de configuration requises. Il vous aide à mieux comprendre le problème et à réduire le temps de trouver une résolution. Pour ce faire, suivez cette liste de vérification des questions de pré-résolution des problèmes :

• Avez-vous les autorisations et rôles nécessaires pour configurer la cogestion ?
• Quelle option d’identité hybride Microsoft Entra avez-vous sélectionnée ?
• Qu’est-ce que votre autorité MDM actuelle ?
• Avez-vous installé et configuré Microsoft Entra Connect ?
• Avez-vous affecté une licence Microsoft Entra ID P1 ou P2 à l’UPN que vous avez utilisée pour la configuration ?
• Avez-vous affecté des licences Intune aux utilisateurs ?
• Avez-vous configuré la jonction hybride Microsoft Entra pour les domaines managés ou les domaines fédérés ?
• Avez-vous configuré les paramètres de l’agent client Configuration Manager pour la jonction hybride Microsoft Entra ?
• Avez-vous configuré l’inscription automatique dans votre locataire Intune ?
• Avez-vous activé la cogestion dans Configuration Manager ?

La plupart des problèmes se produisent parce qu’une ou plusieurs de ces étapes n’ont pas été effectuées. Si vous constatez qu’une étape a été ignorée ou qu’elle n’a pas été effectuée correctement, vérifiez les détails de chaque étape ou consultez le didacticiel suivant : Activer la cogestion pour les clients Configuration Manager existants.

Utilisez le fichier journal suivant sur les appareils Windows 10 pour résoudre les problèmes de cogestion sur le client :

%WinDir%\CCM\logs\CoManagementHandler.log

Résolution des problèmes de configuration de Microsoft Entra hybride

Si vous rencontrez des problèmes qui affectent l’identité hybride Microsoft Entra ou Microsoft Entra Connect, consultez les guides de résolution des problèmes suivants :

• Résoudre les problèmes d’installation de Microsoft Entra Connect
• Résoudre les erreurs lors de la synchronisation Microsoft Entra Connect
• Résoudre les problèmes de synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync
• Résoudre les problèmes d’authentification SSSO Microsoft Entra
• Résoudre les problèmes d’authentification pass-through Microsoft Entra
• Résoudre les problèmes d’authentification unique avec services de fédération Active Directory (AD FS)

Si vous rencontrez des problèmes qui affectent la jonction hybride Microsoft Entra pour les domaines managés ou les domaines fédérés, reportez-vous aux guides de résolution des problèmes suivants :

• Dépannage des appareils à jointure hybride Microsoft Entra
• Résolution des problèmes des appareils à l’aide de la commande dsregcmd

Problèmes courants

Les clients n’ont pas reçu la stratégie du point de gestion Configuration Manager pour démarrer le processus d’inscription avec l’ID Microsoft Entra et Intune

Ce problème se produit en raison d’un problème dans Configuration Manager et non dans Intune. Vous pouvez utiliser les fichiers journaux clients pour résoudre ces problèmes.

Le client Configuration Manager est installé. Toutefois, l’appareil ne s’inscrit pas auprès de Microsoft Entra ID et aucune erreur n’est visible

Ce problème se produit généralement parce que les paramètres de l’agent client Configuration Manager ne sont pas configurés pour diriger les clients à inscrire.

Pour résoudre le problème, vérifiez que vous suivez les étapes décrites dans Configurer les paramètres client pour diriger les clients à s’inscrire auprès de l’ID Microsoft Entra.

Le client Configuration Manager est installé et l’appareil est enregistré avec succès avec l’ID Microsoft Entra. Toutefois, l’appareil n’est pas automatiquement inscrit dans Intune et aucune erreur n’est visible

Ce problème se produit généralement lorsque l’inscription automatique est mal configurée dans votre locataire Intune sous Microsoft Entra ID>Mobility (MDM et MAM)>Microsoft Intune.

Pour résoudre le problème, suivez les étapes décrites dans Configurer l’inscription automatique des appareils auprès d’Intune.

Vous ne pouvez pas localiser le nœud de cogestion sous Administration > Services cloud dans la console Configuration Manager

Ce problème se produit si votre version de Configuration Manager est antérieure à la version 1906.

Pour résoudre le problème, mettez à jour Configuration Manager vers la version 1906 ou une version ultérieure.

Les appareils joints à Microsoft Entra hybride ne parviennent pas à s’inscrire et à générer des erreurs 0x8018002a

Lorsque ce problème se produit, vous remarquez également les symptômes suivants :

• Le message d’erreur suivant est journalisé dans les journaux>des applications et services Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin dans l’Observateur d’événements :

  Inscription mdm automatique : Échec (code d’erreur Win32 inconnu : 0x8018002a)

• Le message d’erreur suivant est journalisé dans les journaux>des applications et des services dans le journal opérationnel Microsoft Entra ID>Microsoft>Windows>dans l’Observateur d’événements :

  Erreur : 0xCAA2000C La demande nécessite une interaction utilisateur.
  Code : interaction_required
  Description : AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur ou parce que vous avez déplacé vers un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour accéder.

Ce problème se produit lorsque l’authentification multifacteur (MFA) est appliquée. Il empêche l’agent client Configuration Manager d’inscrire l’appareil à l’aide des informations d’identification de l’utilisateur connectés.

Note

Il existe une différence entre l’activation de l’authentification multifacteur et l’application. Pour plus d’informations sur la différence, consultez les états utilisateur de l’authentification multifacteur Microsoft Entra. Ce scénario fonctionne en utilisant l’authentification multifacteur activée , mais pas l’authentification multifacteur appliquée.

Pour résoudre le problème, utilisez l’une des méthodes suivantes :

• Définissez l’authentification multifacteur sur Activé , mais pas appliqué. Pour plus d’informations, consultez Configurer l’authentification multifacteur.
• Désactivez temporairement l’authentification multifacteur pendant l’inscription dans des adresses IP approuvées.

Les appareils ne parviennent pas à se synchroniser après l’inscription automatique

À compter de Configuration Manager version 1906, un appareil cogéré exécutant Windows 10 version 1803 ou une version ultérieure s’inscrit automatiquement au service Microsoft Intune en fonction de ses jetons d’appareil Microsoft Entra. Toutefois, l’appareil ne parvient pas à se synchroniser et vous recevez le message d’erreur suivant dans Paramètres>Comptes>d’accès professionnel ou scolaire :

La synchronisation n’a pas réussi complètement, car nous n’avons pas pu vérifier vos informations d’identification. Sélectionnez Synchroniser pour vous connecter, puis réessayez.

Lorsque ce problème se produit, le message d’erreur suivant est journalisé dans les journaux>des applications et des services Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin dans l’Observateur d’événements :

Session MDM : Échec de l’obtention du jeton Microsoft Entra pour le jeton utilisateur de la session de synchronisation : (Code d’erreur Win32 inconnu : 0xcaa2000c) Jeton d’appareil : (fonction incorrecte).

Le message d’erreur suivant est journalisé dans les journaux>des applications et des services dans le journal opérationnel Microsoft Entra ID>Microsoft>Windows>dans l’Observateur d’événements :

Erreur : 0xCAA2000C La demande nécessite une interaction utilisateur.
Code : interaction_required
Description : AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur ou parce que vous avez déplacé vers un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour accéder.

Ce problème se produit lorsque l’authentification multifacteur est activée ou appliquée, ou les stratégies d’accès conditionnel Microsoft Entra qui nécessitent l’authentification multifacteur sont appliquées à toutes les applications cloud. Il empêche l’association de l’utilisateur avec l’appareil dans le portail.

Pour résoudre le problème, utilisez l’une des méthodes suivantes :

• Si l’authentification multifacteur est activée ou appliquée :
  • Définissez L’authentification multifacteur sur Désactivé. Pour plus d’informations, consultez Désactiver l’authentification multifacteur héritée par utilisateur.
  • Contourner l’authentification multifacteur à l’aide d’adresses IP approuvées.
• Si les stratégies d’accès conditionnel Microsoft Entra sont utilisées, excluez l’application Microsoft Intune des stratégies qui nécessitent l’authentification multifacteur pour autoriser la synchronisation des appareils à l’aide des informations d’identification de l’utilisateur.

Un appareil Windows 10 joint à Microsoft Entra ne parvient pas à s’inscrire dans Intune avec une erreur 0x800706D9 ou 0x80180023

Lorsque ce problème se produit, vous voyez généralement le message d’erreur suivant dans applications et services journaux>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin log in the Event Viewer :

Inscription MDM : échec de la configuration du client OMA-DM. RAWResult : (0x800706D9) Résultat : (Code d’erreur Win32 inconnu : 0x80180023).
Inscription MDM : Échec de l’approvisionnement. Résultat : (Code d’erreur Win32 inconnu : 0x80180023).
Inscription MDM : Échec (code d’erreur Win32 inconnu : 0x80180023)
Inscription mdm automatique : Informations d’identification de l’appareil (0x80180023), Échec (%2)
Désinscription MDM : Erreur lors de l’envoi d’une alerte de désinscription au serveur. Résultat : (fonction incorrecte.).
Désinscription MDM : Échec de la modification du type de démarrage dmwappushservice en échec de démarrage à la demande. Résultat : (Le service spécifié n’existe pas en tant que service installé.)

Ce problème se produit si le dmwappushservice service est absent de l’appareil. Pour vérifier, exécutez cette opération services.msc pour rechercher ce service.

Pour résoudre ce problème, effectuez les étapes suivantes :

1. Sur un appareil opérationnel qui exécute la même version de Windows 10 que l’appareil concerné, exportez la clé de Registre suivante :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Connectez-vous à l’appareil concerné en tant qu’administrateur local, copiez le fichier .reg sur l’appareil concerné, puis fusionnez-le avec le registre local.

3. Redémarrez l’appareil concerné.

4. Supprimez l’ancienne inscription Microsoft Entra, puis mettez à jour la stratégie de groupe.

5. Redémarrez à nouveau l’appareil concerné. L’appareil doit pouvoir s’inscrire auprès de Microsoft Entra ID et s’inscrire automatiquement dans Intune.

La jointure hybride Microsoft Entra échoue dans un domaine managé avec une erreur 0x801c03f2

Lorsque vous exécutez dsregcmd /status à partir d’une invite de commandes sur l’appareil, vous pouvez voir qu’il s’agit d’un domaine joint mais pas à Microsoft Entra hybride. Le message d’erreur suivant est enregistré dans les journaux>d’activité d’application et de service Microsoft>Windows>User Device Registration>Admin dans l’Observateur d’événements :

La réponse du serveur était : {"ErrorType » :"DirectoryError »,"Message » :"Le certificat utilisateur de clé publique est introuvable sur l’objet de l’appareil avec id <DeviceID> ».

Ce problème se produit dans l’une des situations suivantes :

• L’objet d’appareil est manquant dans l’ID Microsoft Entra.
• L’attribut Usercertificate n’a pas le certificat d’appareil dans le Active Directory local ou l’ID Microsoft Entra.

Pour que l’inscription d’appareils Windows 10 fonctionne dans un domaine managé, l’objet d’appareil doit d’abord être synchronisé. Le processus d’inscription fonctionne comme suit :

• L’appareil Windows 10 démarre pour la première fois après qu’il est joint à un domaine local.
• L’inscription de l’appareil est déclenchée et une demande de certificat est créée.
• Lorsque la demande est créée, la clé publique du certificat est publiée dans l’ad local pour l’objet de l’appareil. Cela met à jour l’attribut Usercertificate sur les objets de l’appareil. En même temps, la demande d’inscription d’appareil signée est envoyée à l’ID Microsoft Entra.
• L’inscription échoue, car l’ID Microsoft Entra ne peut pas authentifier l’objet de l’appareil ou vérifier la demande signée.
• La prochaine fois que le cycle de synchronisation s’exécute, il recherche l’objet d’appareil dont l’attribut Usercertificate est rempli et synchronise l’objet appareil avec l’ID Microsoft Entra.
• La prochaine fois que le service d’inscription est déclenché (cela s’exécute toutes les heures), l’appareil envoie une nouvelle demande signée par la clé privée.
• Azure vérifie la signature sur la demande à l’aide du certificat public reçu du domaine local pendant le cycle de synchronisation. Si l’ID Microsoft Entra peut vérifier la signature sur la demande, l’inscription de l’appareil réussit.

Pour résoudre ce problème, effectuez les étapes suivantes :

1. Dans ad local, vérifiez que l’attribut Usercertificate est rempli et dispose du certificat approprié.

2. Vérifiez l’objet d’appareil principal et vérifiez que l’attribut Usercertificate existe et est rempli.

3. Si le certificat est manquant ou qu’une personne a supprimé le certificat de l’AD local (qui, à son tour, supprime le certificat de l’ID Microsoft Entra), l’inscription de l’appareil échoue. Pour résoudre ce problème, procédez comme suit sur l’appareil client :

   1. Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez la commande suivante :

      dsregcmd /leave
      

   2. Exécutez certlm.msc pour ouvrir le magasin de certificats de l’ordinateur local.

   3. Assurez-vous que le certificat d’ordinateur émis par MS-Organization-Access est supprimé.

   4. Redémarrez l’appareil client pour déclencher une nouvelle inscription d’appareil.

   5. Une fois l’appareil redémarré, assurez-vous que la nouvelle clé publique de certificat est mise à jour sur l’objet de l’appareil dans l’ad local. S’il existe plusieurs contrôleurs de domaine, assurez-vous que l’attribut est répliqué sur tous les contrôleurs de domaine.

   6. Déclenchez une synchronisation delta sur le serveur Microsoft Entra Connect.

   7. Une fois la synchronisation terminée, vous pouvez déclencher l’inscription de l’appareil en redémarrant le client, en exécutant la dsregcmd /debug commande ou en exécutant la tâche planifiée Automatic-Device-Join sous Workplace Join.

L’inscription automatique de l’appareil échoue avec l’erreur 0x80280036

Lorsque ce problème se produit, le message d’erreur suivant est consigné dans les journaux>>d’activité d’application et de service Microsoft Windows>User Device Registration>Admin dans l’Observateur d’événements :

DeviceRegistrationApi ::BeginJoin a échoué avec le code d’erreur : 0x80280036

Description :
L’initialisation de la demande de jointure a échoué avec le code de sortie : le module TPM tente d’exécuter une commande uniquement disponible en mode FIPS.

Ce problème se produit si la puce TPM sur l’appareil client a activé le mode FIPS. Le mode FIPS n’est pas pris en charge ou recommandé pour l’inscription d’appareils Azure. Pour plus d’informations, consultez Pourquoi nous ne recommandons plus le « mode FIPS ».

La jointure hybride Microsoft Entra échoue avec l’erreur 0x80090016

L’inscription Microsoft Entra hybride d’un appareil Windows 10 échoue et vous recevez le message d’erreur suivant :

Nous avons rencontré un problème. Confirmez que vous utilisez les bonnes informations de connexion et que votre organisation utilise cette fonctionnalité. Vous pouvez réessayer ou contacter votre administrateur système avec le code d’erreur 0x80090016

Le message d’erreur de 0x80090016 est Keyset n’existe pas. Cela signifie que l’inscription de l’appareil n’a pas pu enregistrer la clé d’appareil, car les clés TPM n’ont pas été accessibles.

Ce problème se produit si Windows n’est pas le propriétaire du module de plateforme sécurisée. À compter de Windows 10, le système d’exploitation initialise automatiquement le module TPM et s’en attribue la propriété. Toutefois, si ce processus échoue, Windows ne sera pas le propriétaire et entraînera le problème.

Pour résoudre ce problème, effacez le module TPM et redémarrez l’appareil client. Pour effacer le module de plateforme sécurisée, procédez comme suit :

1. Ouvrez l’application Sécurité Windows.

2. Sélectionnez Sécurité de l’appareil.

3. Sélectionnez les détails du processeur de sécurité.

4. Sélectionnez Résolution des problèmes du processeur de sécurité.

5. Cliquez sur Effacer le module TPM.

   Important

   Avant d’effacer le module de plateforme sécurisée, tenez compte des éléments suivants :

   • L’effacement du module de plateforme sécurisée peut entraîner une perte de données. Vous perdez toutes les clés créées associées au module de plateforme sécurisée et aux données protégées par ces clés, telles qu’une carte à puce virtuelle, un code confidentiel d’ouverture de session ou des clés BitLocker.
   • Si BitLocker est activé sur l’appareil, veillez à désactiver BitLocker avant d’effacer le module TPM.
   • Vérifiez que vous disposez d’une méthode de sauvegarde et de récupération pour toutes les données protégées ou chiffrées par le module de plateforme sécurisée.

6. Redémarrez l’appareil lorsque vous y êtes invité.

   Note

   Pendant le redémarrage, vous pouvez être invité par l’UEFI à appuyer sur un bouton pour confirmer que vous souhaitez effacer le module de plateforme sécurisée. Une fois le redémarrage terminé, le module de plateforme sécurisée est automatiquement préparé pour une utilisation par Windows 10.

Une fois l’appareil redémarré, la jonction hybride Microsoft Entra doit réussir. Pour vérifier, exécutez la dsregcmd /status commande à l’invite de commandes. Le résultat suivant indique une jointure réussie :

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Pour plus d’informations, consultez Résoudre les problèmes du module TPM.

Plus d’informations

Pour plus d’informations sur la résolution des problèmes de cogestion, consultez les articles suivants :

• Résoudre les problèmes de cogestion : Démarrage avec provisionnement moderne
• Résoudre les problèmes liés aux charges de travail de cogestion

Pour plus d’informations sur la cogestion Intune et Configuration Manager, consultez les articles suivants :

• Vue d’ensemble de la cogestion de Windows 10
• Prise en main : chemins d’accès à la cogestion
• Démarrages rapides pour la cogestion
• Tutoriel : Activer la cogestion pour les clients Configuration Manager existants