Risolvere i problemi di co-gestione: Bootstrap con il provisioning moderno
Questo articolo consente di comprendere e risolvere i problemi che possono verificarsi durante la configurazione della co-gestione prendendo il percorso 2: Avviare il client di Configuration Manager con il provisioning moderno.
Questo scenario si verifica quando si dispone di nuovi dispositivi Windows 10 che aggiungono l'ID Microsoft Entra e si registrano automaticamente in Intune, quindi si installa il client di Configuration Manager per raggiungere uno stato di co-gestione.
Prima di iniziare
Prima di iniziare la risoluzione dei problemi, è importante raccogliere alcune informazioni di base sul problema e assicurarsi di seguire tutti i passaggi di configurazione necessari. In questo modo è possibile comprendere meglio il problema e ridurre il tempo necessario per trovare una risoluzione. A tale scopo, seguire questo elenco di controllo per le domande di pre-risoluzione dei problemi:
- Quale opzione di identità ibrida di Microsoft Entra è stata selezionata?
- Qual è l'autorità MDM corrente?
- È stato configurato HTTP avanzato?
- Sono stati creati i servizi cloud in Azure?
- È stato configurato cloud Management Gateway (CMG)?
- Sono stati configurati ruoli client per il traffico del gateway di gestione cloud?
- Il client di Configuration Manager è stato installato in Intune?
La maggior parte dei problemi si verifica perché uno o più di questi passaggi non sono stati completati. Se viene rilevato che un passaggio è stato ignorato o non è stato completato correttamente, controllare i dettagli di ogni passaggio o vedere l'esercitazione seguente:
Esercitazione: Abilitare la co-gestione per i client con provisioning moderno
Risoluzione dei problemi relativi alla configurazione ibrida di Microsoft Entra
Se si verificano problemi che interessano l'identità ibrida di Microsoft Entra o Microsoft Entra Connect, vedere le guide alla risoluzione dei problemi seguenti:
- Risolvere i problemi di installazione di Microsoft Entra Connect
- Risolvere gli errori durante la sincronizzazione di Microsoft Entra Connect
- Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
- Risolvere i problemi relativi all'accesso Single Sign-On intuitivo Microsoft Entra
- Autenticazione pass-through Microsoft Entra
- Risolvere i problemi di Single Sign-On con Active Directory Federation Services
Se si verificano problemi che influiscono sull'aggiunta ibrida di Microsoft Entra per domini gestiti o domini federati, vedere le guide alla risoluzione dei problemi seguenti:
- Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido
- Risoluzione dei problemi relativi ai dispositivi utilizzando il comando dsregcmd
Domande frequenti
Quali ruoli è necessario configurare la co-gestione?
Ecco le autorizzazioni e i ruoli necessari per configurare la co-gestione.
Quale log è possibile usare per convalidare i carichi di lavoro e determinare dove provengono criteri e app in uno scenario di co-gestione?
È possibile usare il file di log seguente nei dispositivi Windows 10:
%WinDir%\CCM\logs\CoManagementHandler.log
Ricerca per categorie verificare che il servizio cloud abbia un nome DNS univoco?
A tale scopo, effettuare i passaggi seguenti:
- Accedere al portale di Azure, passare a Tutti i servizi> Servizi cloud (versione classica) e quindi fare clic su Aggiungi.
- Nel campo nel nome DNS immettere un nome da usare.
- Quando si dispone di un nome disponibile per l'uso, tenere presente che non viene creato nel riquadro Servizio cloud.
- Creare un record CNAME che esegue il mapping del dominio a <name.cloudapp.net> sia nei server DNS interni che esterni.
Dove è possibile trovare l'identità del servizio gestito di installazione client di Configuration Manager?
È possibile trovare il file ccmsetup.msi nella cartella seguente nel server del sito di Configuration Manager:
<ConfigMgr installation directory>\bin\i386
Ricerca per categorie verificare la distribuzione del client di Configuration Manager da Intune ai dispositivi Windows 10 gestiti?
Per verificare la distribuzione, seguire questa procedura nel dispositivo Windows 10:
- Aprire Esplora file e passare a
%WinDir%\CCM\logs. - Aprire il file ADALOperationProvider.log con CMTrace e cercare Ottenere il token Microsoft Entra ID (Utente) e Ottenere il token microsoft Entra ID (dispositivo) per verificare i token.
- In CMTrace aprire il file CoManagementHandler.log, cercare Dispositivo già registrato con MDM e Device Provisioned per verificare la registrazione.
- Aprire Pannello di controllo, digitare Configuration Manager nella casella di ricerca e quindi selezionarlo.
- Selezionare la scheda Generale e verificare il punto di gestione Assegnato.
- Selezionare la scheda Rete e verificare il punto di gestione basato su Internet.
Problemi comuni
Configuration Manager consente solo un punto di gestione abilitato per HTTPS per i client aggiunti a Microsoft Entra
Questo problema si verifica se si usa Configuration Manager Current Branch versione 1802 o una versione precedente. In queste versioni, i punti di gestione abilitati per CMG devono essere HTTPS. A partire dalla versione 1806, il punto di gestione può essere HTTP.
Per risolvere il problema, eseguire l'aggiornamento a Configuration Manager Current Branch versione 1806 o successiva.
Indica se i certificati PKI sono ancora un'opzione valida anziché HTTP avanzato
I certificati PKI sono ancora un'opzione valida, ma hanno i requisiti seguenti:
- Tutte le comunicazioni client vengono eseguite tramite HTTPS.
- È necessario disporre di un controllo avanzato dell'infrastruttura di firma.
Per altre informazioni, vedere HTTP avanzato.
Non è possibile trovare la scheda Comunicazione computer client in Configurazione sito
A partire da Configuration Manager Current Branch versione 1906, questa scheda viene rinominata Sicurezza delle comunicazioni.
L'opzione Usa certificati generati da Configuration Manager per i sistemi del sito HTTP è abilitata, ma non viene ricevuto alcun certificato
Si tratta di un comportamento previsto. La ricezione e la configurazione del nuovo certificato dal sito possono richiedere fino a 30 minuti. È possibile usare il log seguente per tenere traccia, monitorare e verificare quanto segue:
<ConfigMgr installation directory>\Logs\CloudMgr.log
I record per le risorse e le relative informazioni associate da Microsoft Entra ID non vengono creati nel database di Configuration Manager
Quando si esegue l'onboarding del sito gestione della configurazione in Microsoft Entra ID, le risorse utente di Microsoft Entra non vengono individuate o popolate nel database di Configuration Manager. In genere, viene visualizzato l'errore 0x87d00231 in questo scenario.
Questo problema si verifica in una delle situazioni seguenti:
- Le autorizzazioni API per la registrazione dell'app non sono state configurate correttamente nel portale di Azure.
- L'individuazione utente di Microsoft Entra non è abilitata o configurata.
Per risolvere il problema, seguire la procedura descritta in Individuazione utenti Di Microsoft Entra per configurare le autorizzazioni API e l'individuazione utente di Microsoft Entra. È possibile usare i log seguenti per controllare i dettagli:
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.lognel server del sito%WinDir%\CCM\logs\CcmMessaging.logsul client%WinDir%\CCM\logs\LocationServices.logsul client
Note
Se il sito di Configuration Manager è nuovo o ricompilato di recente, è necessario configurare anche l'individuazione utente di Active Directory.
CoManagementHandler.log mostra il timer di registrazione di accodamento in corso...
Il file ADALOperationProvider.log nei dispositivi Windows mostra il token Get Microsoft Entra ID (User) e Getting Microsoft Entra ID (device). Tuttavia, il dispositivo non è registrato e l'ultima riga in CoManagementHandler.log è il timer di registrazione di accodamento da attivare in....
Questo comportamento è previsto in Configuration Manager Current Branch versione 1806 e versioni successive. A partire dalla versione 1806, la registrazione automatica non è immediata per tutti i client. Questo comportamento consente di aumentare la scalabilità della registrazione per ambienti di grandi dimensioni. Configuration Manager randomizza la registrazione in base al numero di client. Ad esempio, se l'ambiente dispone di 100.000 client, la registrazione può verificarsi in diversi giorni.
Per monitorare la co-gestione, passare a Monitoraggio>della co-gestione nella console di Configuration Manager.
Il comando di installazione client personalizzato è stato copiato dalla console di Configuration Manager, ma il client di Configuration Manager non può essere installato
Questo problema si verifica in una delle situazioni seguenti:
- I parametri di installazione nel comando non sono conformi ai valori supportati.
- La lunghezza della riga di comando è maggiore di 1.024 caratteri.
Per risolvere il problema, assicurarsi che il comando soddisfi il requisito e che la riga di comando non sia lunga più di 1.024 caratteri.
Lo stato dell'agente di Configuration Manager non è integro in Intune
Intune valuta lo stato dell'agente di Configuration Manager in base ai ClientHealthLastSyncTime valori e ClientHealthStatus nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
Il valore trovato in ClientHealthStatus è una combinazione di più flag che includono:
- 1: Client installato
- 2: Client registrato
- 4: Valutazione dell'integrità riuscita
- 8: Errore di installazione o aggiornamento del client
- 16: Errore di comunicazione con un punto di gestione
Di seguito sono riportati i valori comuni di ClientHealthStatus:
- 1: Client installato, ma non registrato
- 3: Il client è installato e registrato, ma non ha ancora segnalato una valutazione dell'integrità riuscita
- 5: Il client installato, non attualmente registrato e ha inviato una valutazione dell'integrità riuscita (in precedenza)
- 7: Client integro
- 23: Il client era integro ma aveva un errore di comunicazione con un punto di gestione
Se il ClientHealthStatus valore è 7 (integro), Intune considera il client di Configuration Manager integro se ClientHealthLastSyncTime non supera i 30 giorni.
Se il ClientHealthStatus valore non è 7 (non integro), Intune considera il client di Configuration Manager integro se ClientHealthLastSyncTime non supera le 48 ore.
Il ClientHealthLastSyncTime valore viene aggiornato dal componente Notifica client del client di Configuration Manager e il file di log è CcmNotificationAgent.log.
Per risolvere questo problema, controllare il file CcmNotificationAgent.log se ClientHealthLastSyncTime non è aggiornato. Ecco un esempio:
Aggiornamento di MDM_ConfigSetting.ClientHealthLastSyncTime con valore 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)
Se il ClientHealthLastSyncTime valore è aggiornato, ma l'ora dell'ultima archiviazione dell'agente di Configuration Manager è 2/1/1900 in Intune, significa che il carico di lavoro dei criteri di conformità dei dispositivi viene gestito da Configuration Manager. In questo caso, passare il carico di lavoro dei criteri di conformità a Intune o Intune pilota.
Il punto di connessione cmg viene visualizzato come disconnesso
Il problema si verifica a causa di un problema di autorizzazioni tra il sistema del sito remoto in cui è installato il ruolo del punto di connessione cmg e il sito primario.
Il sistema del sito remoto raccoglie il TrafficData report dal gateway di gestione cloud, quindi invia i dati al sito primario tramite messaggi di stato. Ecco un frammento di log di esempio di SMS_Cloud_ProxyConnector.log:
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - messaggio di stato da inviare: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~
Poiché il sistema del sito remoto è anche un punto di gestione, questi messaggi di stato vengono spostati in una cartella posta in uscita a cui si accede da Gestione dispatch file mp che invia i file al sito primario. Ecco un frammento di log di esempio di mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Spostamento di 1 *. File SMX da C:\SMS\MP\OUTBOXES\statemsg.box\ a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Moved file C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX to \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX
Quando si verifica un problema di autorizzazione, Gestione dispatch file MP non riesce ad accedere alle cartelle posta in arrivo nel sito primario e registra l'errore seguente in mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERRORE: Impossibile connettersi all'origine posta in arrivo, dormire 30 secondi e riprovare.
Per risolvere il problema, aggiungere l'account computer del sistema del sito remoto al gruppo Administrators locale nel sito primario.
I client non possono individuare il punto di gestione usando cmg e viene visualizzato l'errore 403
Quando si verifica questo problema, l'errore seguente viene registrato LocationServices.log nel client:
[CCMHTTP] INFO ERRORE: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
Inoltre, l'errore seguente viene registrato SMS_Cloud_ProxyConnector.log nel server del punto di connessione cmg:
MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
Se il server del punto di connessione del gateway di gestione cloud dispone di un certificato di autenticazione client valido, la causa più possibile è che non sia possibile convalidare l'elenco di revoche di certificati (CRL) per il certificato. In questo caso, viene visualizzato l'errore 0x87d0027e e viene registrato l'errore seguente nel registro eventi CAPI2:
La funzione di revoca non è in grado di completare il controllo di revoca perché il server di revoca è offline. 80092013
Inoltre, se si abilita la registrazione dettagliata impostando il valore del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registro di sistema su 1, le voci di errore simili alle seguenti vengono registrate SMS_Cloud_ProxyConnector.log:
Certificato di compilazione catena non riuscito: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Stato catena 0: RevocationStatusUnknown
Stato catena 1: OfflineRevocation
Certificato di compilazione catena non riuscito: 54E09FEA31FE83F9A8A5389B8D08B34D42FB3CF
Stato catena 0: RevocationStatusUnknown
Stato catena 1: OfflineRevocation
Certificato non consentito: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Conteggio dei certificati filtrati con ca radice consentita e con chiave privata: 0
Conteggio certificati filtrati con autenticazione client: 0
È consigliabile, invece di disabilitare automaticamente il controllo CRL, assicurarsi prima di tutto che funzioni. Tuttavia, se non è possibile ottenere il controllo CRL per funzionare correttamente, disabilitare temporaneamente il controllo CRL per i punti di connessione cmg. In questo modo è possibile selezionare un certificato client senza eseguire il controllo CRL e abilitare la comunicazione con il punto di gestione.
Ulteriori informazioni
Per altre informazioni sulla risoluzione dei problemi di co-gestione, vedere gli articoli seguenti:
- Risolvere i problemi di co-gestione: registrare automaticamente i dispositivi gestiti da Configuration Manager esistenti in Intune
- Risolvere i problemi relativi ai carichi di lavoro di co-gestione
Per altre informazioni sulla co-gestione di Intune e Configuration Manager, vedere gli articoli seguenti: