Risolvere i problemi di co-gestione: registrare automaticamente i dispositivi gestiti da Configuration Manager esistenti in Intune

Questo articolo consente di comprendere e risolvere i problemi che possono verificarsi quando si configura la co-gestione registrando automaticamente i dispositivi gestiti da Configuration Manager esistenti in Intune.

In questo scenario è possibile continuare a gestire i dispositivi Windows 10 usando Configuration Manager oppure spostare in modo selettivo i carichi di lavoro in Microsoft Intune in base alle aspettative. Per altre informazioni su come configurare i carichi di lavoro, vedere Suggerimento per il supporto: Configurazione dei carichi di lavoro in un ambiente co-gestito.

Prima di iniziare

Prima di iniziare la risoluzione dei problemi, è importante raccogliere alcune informazioni di base sul problema e assicurarsi di seguire tutti i passaggi di configurazione necessari. Consente di comprendere meglio il problema e ridurre il tempo necessario per trovare una risoluzione. A tale scopo, seguire questo elenco di controllo per le domande di pre-risoluzione dei problemi:

• Sono state ottenute le autorizzazioni e i ruoli necessari per configurare la co-gestione?
• Quale opzione di identità ibrida di Microsoft Entra è stata selezionata?
• Qual è l'autorità MDM corrente?
• È stato installato e configurato Microsoft Entra Connect?
• È stata assegnata una licenza P1 o P2 di Microsoft Entra ID all'UPN usato per la configurazione?
• Sono state assegnate licenze di Intune agli utenti?
• L'aggiunta ibrida di Microsoft Entra è stata configurata per domini gestiti o domini federati?
• Sono state configurate le impostazioni dell'agente client di Configuration Manager per l'aggiunta ibrida a Microsoft Entra?
• La registrazione automatica è stata configurata nel tenant di Intune?
• È stata abilitata la co-gestione in Configuration Manager?

La maggior parte dei problemi si verifica perché uno o più di questi passaggi non sono stati completati. Se viene rilevato che un passaggio è stato ignorato o non è stato completato correttamente, controllare i dettagli di ogni passaggio o vedere l'esercitazione seguente: Abilitare la co-gestione per i client di Configuration Manager esistenti.

Usare il file di log seguente nei dispositivi Windows 10 per risolvere i problemi di co-gestione nel client:

%WinDir%\CCM\logs\CoManagementHandler.log

Risoluzione dei problemi relativi alla configurazione ibrida di Microsoft Entra

Se si verificano problemi che interessano l'identità ibrida di Microsoft Entra o Microsoft Entra Connect, vedere le guide alla risoluzione dei problemi seguenti:

• Risolvere i problemi di installazione di Microsoft Entra Connect
• Risolvere gli errori durante la sincronizzazione di Microsoft Entra Connect
• Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
• Risolvere i problemi relativi all'accesso Single Sign-On intuitivo Microsoft Entra
• Autenticazione pass-through Microsoft Entra
• Risolvere i problemi di Single Sign-On con Active Directory Federation Services

Se si verificano problemi che influiscono sull'aggiunta ibrida di Microsoft Entra per domini gestiti o domini federati, vedere le guide alla risoluzione dei problemi seguenti:

• Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido
• Risoluzione dei problemi relativi ai dispositivi utilizzando il comando dsregcmd

Problemi comuni

I client non hanno ricevuto i criteri dal punto di gestione di Configuration Manager per avviare il processo di registrazione con Microsoft Entra ID e Intune

Questo problema si verifica a causa di un problema in Configuration Manager e non in Intune. È possibile usare i file di log del client per risolvere tali problemi.

Il client di Configuration Manager è installato. Tuttavia, il dispositivo non esegue la registrazione con Microsoft Entra ID e non vengono visualizzati errori

Questo problema si verifica in genere perché le impostazioni dell'agente client di Configuration Manager non sono configurate per indirizzare i client alla registrazione.

Per risolvere il problema, verificare di seguire la procedura descritta in Configurare le impostazioni client per indirizzare la registrazione dei client con Microsoft Entra ID.

Il client di Configuration Manager viene installato e il dispositivo viene registrato correttamente con Microsoft Entra ID. Tuttavia, il dispositivo non viene registrato automaticamente in Intune e non vengono visualizzati errori

Questo problema si verifica in genere quando la registrazione automatica non è configurata correttamente nel tenant di Intune in Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

Per risolvere il problema, seguire la procedura descritta in Configurare la registrazione automatica dei dispositivi in Intune.

Non è possibile individuare il nodo di co-gestione in Amministrazione > Servizi cloud nella console di Configuration Manager

Questo problema si verifica se la versione di Configuration Manager è precedente alla versione 1906.

Per risolvere il problema, aggiornare Configuration Manager alla versione 1906 o successiva.

I dispositivi aggiunti a Microsoft Entra ibrido non riescono a registrare e generare un errore 0x8018002a

Quando si verifica questo problema, si notano anche i sintomi seguenti:

• Il messaggio di errore seguente viene registrato nel log applicazioni e servizi di>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin nel Visualizzatore eventi:

  Registrazione automatica MDM: non riuscita (codice errore Win32 sconosciuto: 0x8018002a)

• Il seguente messaggio di errore viene registrato in Registri applicazioni e servizi di Microsoft>Windows>Microsoft>Entra ID>Operational log nel Visualizzatore eventi:

  Errore: 0xCAA2000C La richiesta richiede l'interazione dell'utente.
  Codice: interaction_required
  Descrizione: AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere.

Questo problema si verifica quando viene applicata l'autenticazione a più fattori (MFA). Impedisce all'agente client di Configuration Manager di registrare il dispositivo usando le credenziali utente registrate.

Note

Esiste una differenza tra l'abilitazione dell'autenticazione a più fattori e l'applicazione. Per altre informazioni sulla differenza, vedere Stati utente di autenticazione a più fattori di Microsoft Entra. Questo scenario funziona con l'abilitazione dell'autenticazione a più fattori ma non con L'autenticazione a più fattori applicata.

Per risolvere il problema, usare uno dei metodi seguenti:

• Impostare MFA su Abilitato ma non applicato. Per altre informazioni, vedere Configurare l'autenticazione a più fattori.
• Disabilitare temporaneamente l'autenticazione a più fattori durante la registrazione in indirizzi IP attendibili.

La sincronizzazione dei dispositivi non riesce dopo la registrazione automatica

A partire da Configuration Manager versione 1906, un dispositivo co-gestito che esegue Windows 10 versione 1803 o successiva registra automaticamente nel servizio Microsoft Intune in base ai token del dispositivo Microsoft Entra. Tuttavia, il dispositivo non riesce a eseguire la sincronizzazione e viene visualizzato il seguente messaggio di errore in Impostazioni>Account>Accesso all'azienda o all'istituto di istruzione:

La sincronizzazione non è stata completata perché non è stato possibile verificare le credenziali. Selezionare Sincronizza per accedere e riprovare.

Quando si verifica questo problema, il messaggio di errore seguente viene registrato in Registri applicazioni e servizi>di Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin nel Visualizzatore eventi:

Sessione MDM: non è stato possibile ottenere il token Microsoft Entra per la sessione di sincronizzazione Token utente: (Codice errore Win32 sconosciuto: 0xcaa2000c) Token dispositivo: (funzione non corretta).

Il seguente messaggio di errore viene registrato in Registri applicazioni e servizi di Microsoft>Windows>Microsoft>Entra ID>Operational log nel Visualizzatore eventi:

Errore: 0xCAA2000C La richiesta richiede l'interazione dell'utente.
Codice: interaction_required
Descrizione: AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere.

Questo problema si verifica quando l'autenticazione a più fattori è abilitata o applicata o i criteri di accesso condizionale di Microsoft Entra che richiedono l'autenticazione a più fattori vengono applicati a tutte le app cloud. Impedisce l'associazione dell'utente con il dispositivo nel portale.

Per risolvere il problema, usare uno dei metodi seguenti:

• Se L'autenticazione a più fattori è abilitata o applicata:
  • Impostare MFA su Disabilitato. Per altre informazioni, vedere Disattivare l'autenticazione a più fattori legacy per utente.
  • Ignorare l'autenticazione a più fattori usando indirizzi IP attendibili.
• Se vengono usati i criteri di accesso condizionale di Microsoft Entra, escludere l'app Microsoft Intune dai criteri che richiedono L'autenticazione a più fattori per consentire la sincronizzazione dei dispositivi usando le credenziali utente.

Un dispositivo Windows 10 aggiunto a Microsoft Entra ibrido non riesce a registrarsi in Intune con errore 0x800706D9 o 0x80180023

Quando si verifica questo problema, in genere viene visualizzato il messaggio di errore seguente nei log applicazioni e servizi di>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin nel Visualizzatore eventi:

Registrazione MDM: configurazione client OMA-DM non riuscita. RAWResult: (0x800706D9) Risultato: (Codice errore Win32 sconosciuto: 0x80180023).
Registrazione MDM: provisioning non riuscito. Risultato: (Codice errore Win32 sconosciuto: 0x80180023).
Registrazione MDM: non riuscita (codice errore Win32 sconosciuto: 0x80180023)
Registrazione automatica MDM: credenziali del dispositivo (0x80180023), non riuscito (%2)
Annullamento registrazione MDM: errore durante l'invio di un avviso di annullamento della registrazione al server. Risultato: (funzione non corretta).
Annullamento registrazione MDM: modifica del tipo di avvio dmwappushservice con avvio della richiesta non riuscita. Risultato: il servizio specificato non esiste come servizio installato.

Questo problema si verifica se il dmwappushservice servizio non è presente nel dispositivo. Per verificare, eseguire services.msc per cercare questo servizio.

Per risolvere il problema, seguire questa procedura:

1. In un dispositivo funzionante che esegue la stessa versione di Windows 10 del dispositivo interessato, esportare la chiave del Registro di sistema seguente:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Accedere al dispositivo interessato come amministratore locale, copiare il file .reg nel dispositivo interessato e quindi unirlo al registro locale.

3. Riavviare il dispositivo interessato.

4. Eliminare la registrazione di Microsoft Entra precedente e quindi aggiornare Criteri di gruppo.

5. Riavviare di nuovo il dispositivo interessato. Il dispositivo deve essere in grado di registrarsi con Microsoft Entra ID e registrarsi automaticamente in Intune.

L'aggiunta ibrida di Microsoft Entra ha esito negativo in un dominio gestito con errore 0x801c03f2

Quando si esegue dsregcmd /status da un prompt dei comandi nel dispositivo, è possibile vedere che è aggiunto a un dominio ma non aggiunto a Microsoft Entra ibrido. Il messaggio di errore seguente viene registrato in Registri applicazioni e servizi di>Microsoft>Windows>User Device Registration>Admin nel Visualizzatore eventi:

Risposta del server: {"ErrorType":"DirectoryError","Message":"Il certificato utente della chiave pubblica non viene trovato nell'oggetto dispositivo con ID <DeviceID>".

Questo problema si verifica in una delle situazioni seguenti:

• L'oggetto dispositivo non è presente nell'ID Microsoft Entra.
• L'attributo Usercertificate non ha il certificato del dispositivo nel Active Directory locale o nell'ID Microsoft Entra.

Affinché la registrazione del dispositivo Windows 10 funzioni in un dominio gestito, l'oggetto dispositivo deve essere sincronizzato per primo. Il processo di registrazione funziona come segue:

• Il dispositivo Windows 10 viene avviato per la prima volta dopo l'aggiunta al dominio locale.
• La registrazione del dispositivo viene attivata e viene creata una richiesta di certificato.
• Quando viene creata la richiesta, la chiave pubblica del certificato viene pubblicata in AD locale per l'oggetto dispositivo. Questo aggiorna l'attributo Usercertificate negli oggetti dispositivo. Allo stesso tempo, la richiesta di registrazione del dispositivo firmata viene inviata all'ID Microsoft Entra.
• La registrazione non riesce perché Microsoft Entra ID non è in grado di autenticare l'oggetto dispositivo o di verificare la richiesta firmata.
• Alla successiva esecuzione del ciclo di sincronizzazione, trova l'oggetto dispositivo con l'attributo Usercertificate popolato e sincronizza l'oggetto dispositivo con Microsoft Entra ID.
• Alla successiva attivazione del servizio di registrazione (l'esecuzione viene eseguita ogni ora), il dispositivo invierà una nuova richiesta firmata dalla chiave privata.
• Azure verifica la firma nella richiesta usando il certificato pubblico ricevuto dal dominio locale durante il ciclo di sincronizzazione. Se Microsoft Entra ID può verificare la firma nella richiesta, la registrazione del dispositivo ha esito positivo.

Per correggere il problema, attenersi alla seguente procedura:

1. In AD locale verificare che l'attributo Usercertificate sia popolato e che il certificato sia corretto.

2. Controllare l'oggetto dispositivo back-end e assicurarsi che l'attributo Usercertificate esista e che sia popolato.

3. Se il certificato è mancante o un utente ha eliminato il certificato da AD locale (che a sua volta elimina il certificato dall'ID Microsoft Entra), la registrazione del dispositivo ha esito negativo. Per risolvere questo problema, eseguire le operazioni seguenti nel dispositivo client:

   1. Aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire il comando seguente:

      dsregcmd /leave
      

   2. Eseguire certlm.msc per aprire l'archivio certificati del computer locale.

   3. Assicurarsi che il certificato del computer rilasciato da MS-Organization-Access venga eliminato.

   4. Riavviare il dispositivo client per attivare una nuova registrazione del dispositivo.

   5. Dopo il riavvio del dispositivo, assicurarsi che la nuova chiave pubblica del certificato venga aggiornata nell'oggetto dispositivo in ACTIVE Directory locale. Se sono presenti più controller di dominio, assicurarsi che l'attributo venga replicato in tutti i controller di dominio.

   6. Attivare una sincronizzazione differenziale nel server Microsoft Entra Connect.

   7. Al termine della sincronizzazione, è possibile attivare la registrazione del dispositivo riavviando il client, eseguendo il dsregcmd /debug comando o eseguendo l'attività pianificata Automatic-Device-Join in Aggiunta all'area di lavoro.

La registrazione automatica del dispositivo ha esito negativo con errore 0x80280036

Quando si verifica questo problema, nel Visualizzatore eventi viene registrato il messaggio di errore seguente nell'applicazione e nel servizio Log>registrazione dispositivo> utente Microsoft>Windows:>

DeviceRegistrationApi::BeginJoin non riuscito con codice errore: 0x80280036

Descrizione:
L'inizializzazione della richiesta di join non è riuscita con il codice di uscita: il TPM sta tentando di eseguire un comando disponibile solo in modalità FIPS.

Questo problema si verifica se il chip TPM nel dispositivo client ha la modalità FIPS abilitata. La modalità FIPS non è supportata o consigliata per la registrazione dei dispositivi di Azure. Per altre informazioni, vedere Perché non è più consigliabile "modalità FIPS".

L'aggiunta ibrida a Microsoft Entra ha esito negativo e viene visualizzato l'errore 0x80090016

La registrazione ibrida di Microsoft Entra di un dispositivo Windows 10 ha esito negativo e viene visualizzato il messaggio di errore seguente:

Si è verificato un errore. Verificare di utilizzare le informazioni di accesso corrette e che l'organizzazione utilizzi questa funzionalità. È possibile provare a eseguire di nuovo questa operazione oppure contattare l'amministratore di sistema con il codice di errore 0x80090016

Il messaggio di errore di 0x80090016 è Keyset non esiste. Ciò significa che la registrazione del dispositivo non è riuscita a salvare la chiave del dispositivo perché le chiavi TPM non erano accessibili.

Questo problema si verifica se Windows non è il proprietario del TPM. A partire da Windows 10, il sistema operativo inizializza automaticamente e assume la proprietà del TPM. Tuttavia, se questo processo non riesce, Windows non sarà il proprietario e genererà il problema.

Per risolvere questo problema, deselezionare il TPM e riavviare il dispositivo client. Per cancellare il TPM, seguire questa procedura:

1. Aprire l'app Sicurezza di Windows.

2. Selezionare Sicurezza del dispositivo.

3. Selezionare Dettagli processore di sicurezza.

4. Selezionare Risoluzione dei problemi del processore di sicurezza.

5. Fare clic su Cancella TPM.

   Importante

   Prima di cancellare il TPM, tenere presente quanto segue:

   • La cancellazione del TPM può comportare la perdita di dati. Si perderanno tutte le chiavi create associate al TPM e ai dati protetti da tali chiavi, ad esempio una smart card virtuale, un PIN di accesso o chiavi BitLocker.
   • Se BitLocker è abilitato nel dispositivo, assicurarsi di disabilitare BitLocker prima di cancellare il TPM.
   • Assicurarsi di disporre di un metodo di backup e ripristino per tutti i dati protetti o crittografati dal TPM.

6. Riavviare il dispositivo quando viene richiesto.

   Note

   Durante il riavvio, potrebbe essere richiesto da UEFI di premere un pulsante per confermare che si vuole cancellare il TPM. Al termine del riavvio, il TPM verrà preparato automaticamente per l'uso da Parte di Windows 10.

Dopo il riavvio del dispositivo, l'aggiunta ibrida a Microsoft Entra dovrebbe avere esito positivo. Per verificare, eseguire dsregcmd /status il comando al prompt dei comandi. Il risultato seguente indica un join riuscito:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Per altre informazioni, vedere Risolvere i problemi relativi al TPM.

Ulteriori informazioni

Per altre informazioni sulla risoluzione dei problemi di co-gestione, vedere gli articoli seguenti:

• Risolvere i problemi di co-gestione: Bootstrap con il provisioning moderno
• Risolvere i problemi relativi ai carichi di lavoro di co-gestione

Per altre informazioni sulla co-gestione di Intune e Configuration Manager, vedere gli articoli seguenti:

• Panoramica della co-gestione di Windows 10
• Guida introduttiva: Percorsi per la co-gestione
• Guide introduttive per la co-gestione
• Esercitazione: Abilitare la co-gestione per i client di Configuration Manager esistenti