Résoudre les problèmes de cogestion : Démarrage avec provisionnement moderne

Cet article vous aide à comprendre et à résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez la cogestion en prenant le chemin 2 : Démarrer le client Configuration Manager avec l’approvisionnement moderne.

Ce scénario se produit lorsque vous avez de nouveaux appareils Windows 10 qui rejoignent l’ID Microsoft Entra et s’inscrivent automatiquement à Intune, puis que vous installez le client Configuration Manager pour atteindre un état de cogestion.

Avant de commencer

Avant de commencer la résolution des problèmes, il est important de collecter des informations de base sur le problème et de vous assurer que vous suivez toutes les étapes de configuration requises. Cela vous aide à mieux comprendre le problème et à réduire le temps de trouver une résolution. Pour ce faire, suivez cette liste de vérification des questions de pré-résolution des problèmes :

• Quelle option d’identité hybride Microsoft Entra avez-vous sélectionnée ?
• Qu’est-ce que votre autorité MDM actuelle ?
• Avez-vous configuré http amélioré ?
• Avez-vous créé les services cloud dans Azure ?
• Avez-vous configuré la passerelle de gestion cloud (CMG) ?
• Avez-vous configuré des rôles côté client pour le trafic de passerelle de gestion cloud ?
• Avez-vous installé le client Configuration Manager dans Intune ?

La plupart des problèmes se produisent parce qu’une ou plusieurs de ces étapes n’ont pas été effectuées. Si vous constatez qu’une étape a été ignorée ou qu’elle n’a pas été effectuée correctement, vérifiez les détails de chaque étape ou consultez le didacticiel suivant :

Tutoriel : Activer la cogestion pour les clients approvisionnés modernes

Résolution des problèmes de configuration de Microsoft Entra hybride

Si vous rencontrez des problèmes qui affectent l’identité hybride Microsoft Entra ou Microsoft Entra Connect, consultez les guides de résolution des problèmes suivants :

• Résoudre les problèmes d’installation de Microsoft Entra Connect
• Résoudre les erreurs lors de la synchronisation Microsoft Entra Connect
• Résoudre les problèmes de synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync
• Résoudre les problèmes d’authentification SSSO Microsoft Entra
• Résoudre les problèmes d’authentification pass-through Microsoft Entra
• Résoudre les problèmes d’authentification unique avec services de fédération Active Directory (AD FS)

Si vous rencontrez des problèmes qui affectent la jonction hybride Microsoft Entra pour les domaines managés ou les domaines fédérés, reportez-vous aux guides de résolution des problèmes suivants :

• Dépannage des appareils à jointure hybride Microsoft Entra
• Résolution des problèmes des appareils à l’aide de la commande dsregcmd

Forum aux questions

Quels rôles dois-je configurer la cogestion ?

Voici les autorisations et rôles requis pour configurer la cogestion.

Quel journal puis-je utiliser pour valider les charges de travail et déterminer où proviennent les stratégies et les applications dans un scénario de cogestion ?

Vous pouvez utiliser le fichier journal suivant sur les appareils Windows 10 :

%WinDir%\CCM\logs\CoManagementHandler.log

Comment faire vérifier que mon service cloud a un nom DNS unique ?

Pour ce faire, procédez comme suit :

1. Connectez-vous au Portail Azure, accédez à Tous les services> Services cloud (classique), puis cliquez sur Ajouter.
2. Dans le champ nom DNS, entrez un nom que vous souhaitez utiliser.
3. Lorsque vous avez un nom disponible pour vous permettre d’utiliser, notez-le sans le créer dans le volet Service cloud.
4. Créez un enregistrement CNAME qui mappe votre domaine à <name.cloudapp.net> dans les serveurs DNS internes et externes.

Où puis-je trouver le msi de configuration du client Configuration Manager ?

Vous trouverez le fichier ccmsetup.msi dans le dossier suivant sur le serveur de site Configuration Manager :

<ConfigMgr installation directory>\bin\i386

Comment faire vérifier le déploiement du client Configuration Manager à partir d’Intune vers les appareils Windows 10 gérés ?

Pour vérifier le déploiement, procédez comme suit sur l’appareil Windows 10 :

1. Ouvrez Explorateur de fichiers, puis accédez à %WinDir%\CCM\logs.
2. Ouvrez le fichier ADALOperationProvider.log avec CMTrace et recherchez obtenir le jeton d’ID Microsoft Entra (utilisateur) et l’obtention du jeton Microsoft Entra ID (appareil) pour vérifier les jetons.
3. Dans CMTrace, ouvrez le fichier CoManagementHandler.log, recherchez Appareil déjà inscrit auprès de MDM et Device Provisioned pour vérifier l’inscription.
4. Ouvrez Panneau de configuration, tapez Configuration Manager dans la zone de recherche, puis sélectionnez-le.
5. Sélectionnez l’onglet Général et vérifiez le point de gestion affecté.
6. Sélectionnez l’onglet Réseau et vérifiez le point de gestion basé sur Internet.

Problèmes courants

Configuration Manager autorise uniquement un point de gestion compatible HTTPS pour les clients joints à Microsoft Entra

Ce problème se produit si vous utilisez Configuration Manager Current Branch version 1802 ou une version antérieure. Dans ces versions, les points de gestion que vous activez pour la passerelle de gestion cloud doivent être HTTPS. À compter de la version 1806, le point de gestion peut être HTTP.

Pour résoudre le problème, mettez à jour vers Configuration Manager Current Branch version 1806 ou une version ultérieure.

Indique si les certificats PKI sont toujours une option valide au lieu de http amélioré

Les certificats PKI sont toujours une option valide pour vous, mais ils ont les conditions suivantes :

• Toutes les communications clientes sont effectuées via HTTPS.
• Vous devez disposer d’un contrôle avancé de l’infrastructure de signature.

Pour plus d’informations, consultez HTTP amélioré.

Je ne trouve pas l’onglet Communication de l’ordinateur client dans Configuration du site

À compter de Configuration Manager Current Branch version 1906, cet onglet est renommé en Communication Security.

L’option Utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP est activée, mais aucun certificat n’est reçu

Il s’agit du comportement attendu. La réception et la configuration du nouveau certificat à partir du site peuvent prendre jusqu’à 30 minutes. Vous pouvez utiliser le journal suivant pour suivre, surveiller et vérifier ceci :

<ConfigMgr installation directory>\Logs\CloudMgr.log

Les enregistrements des ressources et leurs informations associées à partir de l’ID Microsoft Entra ne sont pas créés dans la base de données Configuration Manager

Lorsque vous intégrez le site Configuration Management à l’ID Microsoft Entra, les ressources utilisateur Microsoft Entra ne sont pas découvertes ou renseignées dans la base de données Configuration Manager. En règle générale, vous recevez l’erreur 0x87d00231 dans ce scénario.

Ce problème se produit dans l’une des situations suivantes :

• Vous n’avez pas correctement configuré les autorisations d’API pour l’inscription de l’application dans le Portail Azure.
• Microsoft Entra user Discovery n’est pas activé ou configuré.

Pour résoudre le problème, suivez les étapes décrites dans Microsoft Entra user Discovery pour configurer les autorisations d’API et microsoft Entra user Discovery. Vous pouvez utiliser les journaux suivants pour vérifier les détails :

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log sur le serveur de site
• %WinDir%\CCM\logs\CcmMessaging.log sur le client
• %WinDir%\CCM\logs\LocationServices.log sur le client

Note

Si le site Configuration Manager est nouveau ou récemment reconstruit, vous devez également configurer la découverte d’utilisateurs Active Directory.

CoManagementHandler.log montre le minuteur d’inscription Queuing à déclencher...

Le fichier ADALOperationProvider.log sur les appareils Windows affiche l’obtention du jeton Microsoft Entra ID (utilisateur) et l’obtention du jeton Microsoft Entra ID (appareil). Toutefois, l’appareil n’est pas inscrit et la dernière ligne de CoManagementHandler.log est le minuteur d’inscription Queuing à déclencher à....

Ce comportement est attendu dans Configuration Manager Current Branch version 1806 et versions ultérieures. À compter de la version 1806, l’inscription automatique n’est pas immédiate pour tous les clients. Ce comportement permet d’améliorer l’échelle de l’inscription pour les environnements volumineux. Configuration Manager aléatoire l’inscription en fonction du nombre de clients. Par exemple, si votre environnement a 100 000 clients, l’inscription peut se produire sur plusieurs jours.

Pour surveiller la cogestion, accédez à Supervision>de la cogestion dans la console Configuration Manager.

J’ai copié la commande d’installation personnalisée du client à partir de la console Configuration Manager, mais le client Configuration Manager ne peut pas être installé

Ce problème se produit dans l’une des situations suivantes :

• Les paramètres d’installation de la commande ne sont pas conformes aux valeurs prises en charge.
• La longueur de la ligne de commande est supérieure à 1 024 caractères.

Pour résoudre le problème, assurez-vous que la commande répond à la condition requise et que la ligne de commande ne dépasse pas 1 024 caractères.

L’état de l’agent Configuration Manager n’est pas sain dans Intune

Intune évalue l’état de l’agent Configuration Manager en fonction des valeurs et ClientHealthStatus des ClientHealthLastSyncTime valeurs de la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

La valeur trouvée est ClientHealthStatus une combinaison de plusieurs indicateurs, notamment :

• 1 : Client installé
• 2 : Client inscrit
• 4 : Évaluation réussie de l’intégrité
• 8 : Erreur d’installation ou de mise à niveau du client
• 16 : Erreur de communication avec un point de gestion

Les valeurs courantes suivantes sont les ClientHealthStatussuivantes :

• 1 : Le client est installé, mais n’a pas été inscrit
• 3 : Le client installé et inscrit, mais n’a pas encore signalé d’évaluation d’intégrité réussie
• 5 : Le client n’est pas actuellement inscrit et a envoyé une évaluation d’intégrité réussie (précédemment)
• 7 : Sain du client
• 23 : Le client était sain mais avait une erreur de communication avec un point de gestion

Si la ClientHealthStatus valeur est 7 (saine), Intune considère le client Configuration Manager comme sain si l’état ClientHealthLastSyncTime est inférieur à 30 jours.

Si la ClientHealthStatus valeur n’est pas 7 (non saine), Intune considère que le client Configuration Manager est sain si l’état ClientHealthLastSyncTime est inférieur à 48 heures.

La ClientHealthLastSyncTime valeur est mise à jour par le composant Notification client du client Configuration Manager et le fichier journal est CcmNotificationAgent.log.

Pour résoudre ce problème, vérifiez le fichier CcmNotificationAgent.log si le ClientHealthLastSyncTime fichier n’est pas à jour. Voici un exemple :

Mise à jour de MDM_ConfigSetting.ClientHealthLastSyncTime avec la valeur 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

Si la ClientHealthLastSyncTime valeur est à jour, mais que le dernier archivage de l’agent Configuration Manager est 2/1/1900 dans Intune, cela signifie que la charge de travail des stratégies de conformité des appareils est gérée par Configuration Manager. Dans ce cas, basculez la charge de travail des stratégies de conformité vers Intune ou Pilote Intune.

Le point de connexion de la passerelle de gestion cloud s’affiche comme déconnecté

Le problème se produit en raison d’un problème d’autorisations entre le système de site distant où le rôle de point de connexion de passerelle de gestion cloud est installé et le site principal.

Le système de site distant collecte le TrafficData rapport à partir de la passerelle de gestion cloud, puis envoie les données au site principal par le biais de messages d’état. Voici un exemple d’extrait de journal de SMS_Cloud_ProxyConnector.log :

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - message d’état à envoyer : ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM » StartTime="Date1 Time1 » EndTime="Date2 Time2 » MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB » ProxyServer="DOMAINCMG.CLOUDAPP.NET » TargetHost="ps.contoso.com » TotalRequests="2 » TotalRequestsWithBearerToken="0 » MaxConcurrentRequests="2 » TotalRequestBytes="2594 » TotalResponseBytes="716 » FailedRequests=« 0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~ ~ ~

Étant donné que le système de site distant est également un point de gestion, ces messages d’état sont déplacés dans une boîte de réception accessible par le Gestionnaire de distribution de fichiers MP qui envoie les fichiers au site principal. Voici un exemple d’extrait de journal de mpfdm.log :

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Déplacement 1 *. Fichier(s) SMX de C :\SMS\MP\OUTBOXES\statemsg.box\ à \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Fichier déplacé C :\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX vers \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

En cas de problème d’autorisation, le Gestionnaire de distribution de fichiers MP ne peut pas accéder aux boîtes de réception sur le site principal et enregistre l’erreur suivante dans mpfdm.log :

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERREUR : Impossible de se connecter à la source de la boîte de réception, veillez à 30 secondes et réessayez.

Pour résoudre le problème, ajoutez le compte d’ordinateur du système de site distant au groupe Administrateurs locaux sur le site principal.

Les clients ne peuvent pas localiser le point de gestion à l’aide de la passerelle de gestion cloud et vous recevez l’erreur 403

Lorsque ce problème se produit, l’erreur suivante est enregistrée LocationServices.log sur le client :

[CCMHTTP] INFORMATIONS D’ERREUR : StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

En outre, l’erreur suivante est consignée dans SMS_Cloud_ProxyConnector.log sur le serveur de point de connexion de passerelle de gestion cloud :

MessageID : <ID> RequestURI : https://< FQDN>/SMS_MP/.sms_aut ? SITESIGNCERT EndpointName : SMS_MP ResponseHeader : HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize : 5274 ElapsedTime : 44 ms SMS_CLOUD_PROXYCONNECTOR

Si le serveur de point de connexion de passerelle de gestion cloud a un certificat d’authentification client valide, la cause la plus possible est l’échec de validation de la liste de révocation de certificats (CRL) pour le certificat. Si c’est le cas, vous recevez l’erreur 0x87d0027e et l’erreur suivante est consignée dans le journal des événements CAPI2 :

La fonction de révocation n’a pas pu vérifier la révocation, car le serveur de révocation était déconnecté. 80092013

En outre, si vous activez la journalisation détaillée en définissant la valeur de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registre sur 1, les entrées d’erreur semblables à celles-ci sont consignées SMS_Cloud_ProxyConnector.log :

Certificat de génération de chaîne ayant échoué : C019CC17EEFA681D154BA9F24F8EAE9640D54C49
État de chaîne 0 : RevocationStatusUnknown
État de la chaîne 1 : OfflineRevocation
Certificat de build de chaîne ayant échoué : 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
État de chaîne 0 : RevocationStatusUnknown
État de la chaîne 1 : OfflineRevocation
Certificat non autorisé : 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Nombre de certificats filtrés avec l’autorité de certification racine autorisée et possède une clé privée : 0
Nombre de certificats filtrés avec authentification du client : 0

Nous vous recommandons d’abord de désactiver automatiquement la vérification de la liste de révocation de certificats. Vous devez d’abord vous assurer qu’elle fonctionne. Toutefois, si vous ne pouvez pas vérifier la liste de révocation de certificats pour fonctionner correctement, désactivez temporairement la vérification de la liste de révocation de certificats pour les points de connexion de passerelle de gestion cloud. Cela permet à un certificat client d’être sélectionné sans effectuer la vérification de la liste de révocation de certificats et d’activer la communication avec le point de gestion.

Plus d’informations

Pour plus d’informations sur la résolution des problèmes de cogestion, consultez les articles suivants :

• Résoudre les problèmes de cogestion : inscrire automatiquement des appareils gérés par Configuration Manager dans Intune
• Résoudre les problèmes liés aux charges de travail de cogestion

Pour plus d’informations sur la cogestion Intune et Configuration Manager, consultez les articles suivants :

• Vue d’ensemble de la cogestion de Windows 10
• Prise en main : chemins d’accès à la cogestion
• Démarrages rapides pour la cogestion
• Tutoriel : Activer la cogestion pour les clients Configuration Manager existants
• Guide pratique pour préparer des appareils basés sur Internet pour la cogestion