Bewerken

Delen via


Veelgestelde vragen over Microsoft Entra-apparaatbeheer

Algemene veelgestelde vragen

Ik heb het apparaat onlangs geregistreerd. Waarom zie ik het apparaat niet onder mijn gebruikersgegevens? Of waarom wordt de eigenaar van het apparaat gemarkeerd als N/B voor hybride apparaten van Microsoft Entra?

Windows 10- of nieuwere apparaten die lid zijn van Microsoft Entra hybrid, worden niet weergegeven onder USER-apparaten. Gebruik de weergave Alle apparaten . U kunt ook een PowerShell Get-MgDevice-cmdlet gebruiken.

Alleen de volgende apparaten worden vermeld onder GEBRUIKERS-apparaten:

  • Alle persoonlijke apparaten die niet zijn toegevoegd aan Microsoft Entra hybrid.
  • Alle apparaten zonder Windows 10 of hoger en Windows Server 2016 of hoger.
  • Alle niet-Windows-apparaten.

Hoe weet ik wat de apparaatregistratiestatus van de client is?

Ga naar Alle apparaten. Zoek het apparaat met behulp van de apparaat-id. Controleer de waarde onder de kolom jointype. Soms kan het apparaat opnieuw worden ingesteld of opnieuw worden ingesteld. Het is dus essentieel om ook de status van de apparaatregistratie op het apparaat te controleren:

  • Voer voor Apparaten met Windows 10 of hoger en Windows Server 2016 of hoger de opdracht uit dsregcmd.exe /status.
  • Voer voor versies van het besturingssysteem op lager niveau uit %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Zie de volgende artikelen voor informatie over het oplossen van problemen:

Mijn on-premises AD-gebruikers van mijn organisatie worden gesplitst in twee of meer verschillende tenants in Microsoft Entra-id. Krijg ik Windows PRT voor elke tenant op clientcomputer?

Windows-clients halen de PRT op uit Microsoft Entra-id als de gebruiker en het apparaat tot dezelfde tenant behoren. Gebruikers krijgen geen PULL-aanvraag voor een andere tenant als het apparaat niet is geregistreerd of als de gebruiker daar geen lid is. Als de twee tenants elkaar vertrouwen via B2B, kunt u altijd B2B-toegang tot meerdere tenants maken en apparaatclaims van uw thuistenant vertrouwen.

Ik zie de apparaatrecord onder de gebruikersgegevens en ik zie de status als geregistreerd. Ben ik correct ingesteld voor het gebruik van voorwaardelijke toegang?

De apparaatdeelnamestatus, weergegeven door deviceID, moet overeenkomen met de status op Microsoft Entra-id en voldoen aan alle evaluatiecriteria voor voorwaardelijke toegang. Zie Beheerde apparaten vereisen voor toegang tot cloud-apps met voorwaardelijke toegang voor meer informatie.

Waarom zien mijn gebruikers een foutbericht met de tekst 'Uw organisatie heeft het apparaat verwijderd' of 'Uw organisatie heeft het apparaat uitgeschakeld' op hun Windows 10/11-apparaten?

Op Windows 10/11-apparaten die zijn toegevoegd aan of zijn geregistreerd bij Microsoft Entra ID, krijgen gebruikers een primair vernieuwingstoken (PRT) uitgegeven waarmee eenmalige aanmelding mogelijk is. De geldigheid van de PRT is gebaseerd op de geldigheid van het apparaat zelf. Gebruikers zien dit bericht als het apparaat is verwijderd of uitgeschakeld in Microsoft Entra ID zonder de actie van het apparaat zelf te starten. Een apparaat kan worden verwijderd of uitgeschakeld in Microsoft Entra, een van de volgende scenario's:

  • De gebruiker schakelt het apparaat uit vanuit de portal Mijn apps.
  • Een beheerder (of gebruiker) verwijdert of schakelt het apparaat uit.
  • Alleen aan Microsoft Entra hybrid toegevoegd: een beheerder verwijdert de organisatie-eenheid van de apparaten buiten synchronisatiebereik, wat resulteert in het verwijderen van de apparaten uit Microsoft Entra-id.
  • Alleen aan Microsoft Entra hybride gekoppeld: een beheerder schakelt het computeraccount on-premises uit, waardoor het apparaat wordt uitgeschakeld in Microsoft Entra-id.
  • Microsoft Entra Connect upgraden naar versie 1.4.xx.x. Informatie over Microsoft Entra Connect 1.4.xx.x en het verdwijnen van apparaten.

Ik heb mijn apparaat uitgeschakeld of verwijderd, maar de lokale status op het apparaat zegt dat het nog steeds is geregistreerd. Wat moet ik doen?

Deze bewerking is standaard. In dit geval heeft het apparaat geen toegang tot resources in de cloud. Beheerders kunnen deze actie uitvoeren voor verouderde, verloren of gestolen apparaten om onbevoegde toegang te voorkomen. Als deze actie onbedoeld is uitgevoerd, moet u het apparaat opnieuw inschakelen of opnieuw registreren met behulp van de volgende stappen:

  • Als het apparaat is uitgeschakeld in Microsoft Entra ID, kan een beheerder met voldoende bevoegdheden dit inschakelen in het Microsoft Entra-beheercentrum.

    Notitie

    Als u apparaten synchroniseert met Microsoft Entra Connect, worden hybride apparaten van Microsoft Entra automatisch opnieuw ingeschakeld tijdens de volgende synchronisatiecyclus. Dus als u een hybride apparaat van Microsoft Entra moet uitschakelen, moet u dit uitschakelen vanuit uw on-premises AD.

  • Als het apparaat wordt verwijderd in Microsoft Entra ID, moet u het apparaat opnieuw registreren. Om het apparaat opnieuw te registreren, moet u een handmatige actie uitvoeren op het apparaat. Zie de volgende stappen voor instructies voor het opnieuw registreren op basis van de apparaatstatus.

    Voer de volgende stappen uit als u Microsoft Entra hybride gekoppelde Windows 10/11- en Windows Server 2016/2019-apparaten opnieuw wilt registreren:

    1. Open de opdrachtprompt als beheerder.
    2. Voer dsregcmd.exe /debug /leave in.
    3. Meld u af en meld u aan om de geplande taak te activeren die het apparaat opnieuw registreert met Microsoft Entra-id.

    Voer de volgende stappen uit voor versies van windows-besturingssystemen die zijn gekoppeld aan Microsoft Entra Hybrid:

    1. Open de opdrachtprompt als beheerder.
    2. Voer "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l" in.
    3. Voer "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j" in.

    Voor Windows 10/11-apparaten die zijn toegevoegd aan Microsoft Entra, voert u de volgende stappen uit:

    1. Open de opdrachtprompt als beheerder
    2. Voer dsregcmd /forcerecovery in (U moet een beheerder zijn om deze actie uit te voeren).
    3. Klik op Aanmelden in het dialoogvenster dat wordt geopend en ga verder met het aanmeldingsproces.
    4. Meld u af en weer aan op het apparaat om het herstel te voltooien.

    Voer voor geregistreerde Windows 10/11-apparaten van Microsoft Entra de volgende stappen uit:

    1. Ga naar Instellingenaccounts>>voor toegang tot werk of school.
    2. Selecteer het account en selecteer Verbinding verbreken.
    3. Klik op +Connect en registreer het apparaat opnieuw door het aanmeldingsproces te doorlopen.

Waarom zie ik dubbele apparaatvermeldingen?

  • Voor Windows 10 of hoger en Windows Server 2016 of hoger kunnen herhaalde pogingen tot het ongedaan maken en opnieuw deelnemen aan hetzelfde apparaat dubbele vermeldingen veroorzaken.
  • Elke Windows-gebruiker die Werk- of schoolaccount toevoegen gebruikt, maakt een nieuwe apparaatrecord met dezelfde apparaatnaam.
  • Voor down-level Windows OS-versies die on-premises domeindeelnames zijn van een Azure Directory, maakt automatische registratie een nieuwe apparaatrecord met dezelfde apparaatnaam voor elke domeingebruiker die zich bij het apparaat aanmeldt.
  • Een Microsoft Entra-computer die wordt gewist, opnieuw geïnstalleerd en opnieuw toegevoegd met dezelfde naam, wordt als een andere record met dezelfde apparaatnaam weergegeven.

Ondersteunt windows 10/11-apparaatregistratie in Microsoft Entra TPM's in de FIPS-modus?

Apparaatregistratie voor Windows 10/11 wordt alleen ondersteund voor FIPS-compatibele TPM 2.0 en niet ondersteund voor TPM 1.2. Als uw apparaten FIPS-compatibele TPM 1.2 hebben, moet u deze uitschakelen voordat u doorgaat met Microsoft Entra join of Microsoft Entra hybrid join. Microsoft biedt geen hulpprogramma's voor het uitschakelen van de FIPS-modus voor TPM's, omdat deze afhankelijk is van de TPM-fabrikant. Neem contact op met uw hardware-OEM voor ondersteuning.

Waarom heeft een gebruiker nog steeds toegang tot resources vanaf een apparaat dat ik heb uitgeschakeld?

Het duurt maximaal een uur voordat het intrekken is toegepast vanaf het moment dat het Microsoft Entra-apparaat is gemarkeerd als uitgeschakeld.

Notitie

Voor ingeschreven apparaten wordt u aangeraden het apparaat te wissen om ervoor te zorgen dat gebruikers geen toegang hebben tot de resources. Zie Wat is apparaatinschrijving? voor meer informatie.

Ik kan niet meer dan 3 Microsoft Entra-gebruikersaccounts toevoegen onder dezelfde gebruikerssessie op een Windows 10/11-apparaat, waarom?

Microsoft Entra ID heeft ondersteuning toegevoegd voor meerdere Microsoft Entra-accounts vanaf de release van Windows 10 1803. Windows 10/11 beperkt echter het aantal Microsoft Entra-accounts op een apparaat tot 3 om de grootte van tokenaanvragen te beperken en betrouwbare eenmalige aanmelding (SSO) in te schakelen. Zodra er drie accounts zijn toegevoegd, zien gebruikers een fout voor volgende accounts. De aanvullende probleeminformatie op het foutscherm bevat het volgende bericht dat de reden aangeeft: 'Accountbewerking toevoegen is geblokkeerd omdat accountlimiet is bereikt'.

Wat zijn de MS-Organization-Access-certificaten aanwezig op onze Windows 10/11-apparaten?

De MS-Organization-Access-certificaten worden uitgegeven door de Microsoft Entra Device Registration Service tijdens het apparaatregistratieproces. Deze certificaten worden uitgegeven aan alle jointypen die worden ondersteund in Windows- Microsoft Entra-gekoppeld, hybride Microsoft Entra-gekoppelde apparaten en geregistreerde Microsoft Entra-apparaten. Zodra ze zijn uitgegeven, worden ze gebruikt als onderdeel van het verificatieproces van het apparaat om een primair vernieuwingstoken (PRT) aan te vragen. Voor apparaten die zijn toegevoegd aan Microsoft Entra en hybride apparaten van Microsoft Entra, is dit certificaat aanwezig in Lokale Computer\Personal\Certificates, terwijl voor geregistreerde Microsoft Entra-apparaten het certificaat aanwezig is in Current User\Personal\Certificates. Alle MS-Organization-Access-certificaten hebben een standaardlevensduur van 10 jaar. Deze certificaten worden verwijderd uit het bijbehorende certificaatarchief wanneer de registratie van het apparaat bij Microsoft Entra-id ongedaan is. Elke onbedoelde verwijdering van dit certificaat leidt tot verificatiefouten voor de gebruiker en vereist dat het apparaat in dergelijke gevallen opnieuw wordt geregistreerd.

Veelgestelde vragen over Microsoft Entra-deelname

Hoe kan ik een lokaal aan Microsoft Entra gekoppeld apparaat los te koppelen op het apparaat?

Voor pure Microsoft Entra-gekoppelde apparaten moet u een offline lokaal beheerdersaccount hebben of er een maken. U kunt zich niet aanmelden met gebruikersreferenties van Microsoft Entra. Ga vervolgens naar Instellingenaccounts>>voor toegang tot werk of school. Selecteer uw account en selecteer Verbinding verbreken. Volg de aanwijzingen en geef de referenties van de lokale beheerder op wanneer u hierom wordt gevraagd. Start het apparaat opnieuw op om het niet-aaneenvoegproces te voltooien.

Kunnen mijn gebruikers zich aanmelden bij aan Microsoft Entra gekoppelde apparaten die zijn verwijderd of uitgeschakeld in Microsoft Entra ID?

Ja. Windows heeft een functie voor gebruikersnaam en wachtwoord in de cache waarmee gebruikers die zich eerder hebben aangemeld, snel toegang hebben tot het bureaublad, zelfs zonder netwerkverbinding.

Wanneer een apparaat wordt verwijderd of uitgeschakeld in Microsoft Entra ID, is het niet bekend bij het Windows-apparaat. Gebruikers die zich eerder hebben aangemeld, hebben dus nog steeds toegang tot het bureaublad met de gebruikersnaam en het wachtwoord in de cache. Maar omdat het apparaat wordt verwijderd of uitgeschakeld, hebben gebruikers geen toegang tot resources die worden beveiligd door voorwaardelijke toegang op basis van apparaten.

Gebruikers die zich eerder niet hebben aangemeld, hebben geen toegang tot het apparaat. Er is geen gebruikersnaam en wachtwoord in de cache ingeschakeld.

Kan een uitgeschakelde of verwijderde gebruiker zich aanmelden bij een apparaat dat is toegevoegd aan Microsoft Entra?

Ja, maar slechts voor een beperkte tijd. Wanneer een gebruiker wordt verwijderd of uitgeschakeld in Microsoft Entra ID, is deze niet direct bekend bij het Windows-apparaat. Gebruikers die zich eerder hebben aangemeld, hebben dus toegang tot het bureaublad met de gebruikersnaam en het wachtwoord in de cache.

Normaal gesproken is het apparaat in minder dan vier uur op de hoogte van de gebruikersstatus. Vervolgens blokkeert Windows de toegang van deze gebruikers tot het bureaublad. Wanneer de gebruiker wordt verwijderd of uitgeschakeld in De Microsoft Entra-id, worden al hun tokens ingetrokken. Ze hebben dus geen toegang tot resources.

Verwijderde of uitgeschakelde gebruikers die zich eerder niet hebben aangemeld, hebben geen toegang tot een apparaat. Er is geen gebruikersnaam en wachtwoord in de cache ingeschakeld.

Kan een gastgebruiker zich aanmelden bij een apparaat dat is toegevoegd aan Microsoft Entra?

Nee, momenteel kunnen gastgebruikers zich niet aanmelden bij een apparaat dat is gekoppeld aan Microsoft Entra.

Mijn gebruikers kunnen niet zoeken naar printers van aan Microsoft Entra gekoppelde apparaten. Hoe kan ik afdrukken vanaf deze apparaten inschakelen?

Organisaties kunnen ervoor kiezen om Windows Server Hybrid Cloud Print te implementeren met pre-verificatie of Universal Print voor hun aan Microsoft Entra gekoppelde apparaten.

Hoe kan ik verbinding maken met een extern apparaat dat is gekoppeld aan Microsoft Entra?

Zie Verbinding maken met externe pc die is gekoppeld aan Microsoft Entra.

Waarom zien mijn gebruikers 'U kunt hier niet komen'?

Hebt u bepaalde regels voor voorwaardelijke toegang geconfigureerd om een specifieke apparaatstatus te vereisen? Als het apparaat niet aan de criteria voldoet, worden gebruikers geblokkeerd en zien ze dat bericht. Evalueer de beleidsregels voor voorwaardelijke toegang. Zorg ervoor dat het apparaat voldoet aan de criteria om het bericht te voorkomen.

Waarom krijg ik een bericht 'gebruikersnaam of wachtwoord is onjuist' voor een apparaat dat ik zojuist heb toegevoegd aan Microsoft Entra ID?

Veelvoorkomende redenen voor dit scenario zijn als volgt:

  • Uw gebruikersreferenties zijn niet meer geldig.
  • Uw computer kan niet communiceren met Microsoft Entra ID. Controleer op eventuele problemen met de netwerkverbinding.
  • Federatieve aanmeldingen vereisen dat uw federatieserver WS-Trust-eindpunten ondersteunt die zijn ingeschakeld en toegankelijk zijn.
  • U hebt passthrough-verificatie ingeschakeld. Uw tijdelijke wachtwoord moet dus worden gewijzigd wanneer u zich aanmeldt.

Hoe kunnen gebruikers hun tijdelijke of verlopen wachtwoord wijzigen op apparaten die lid zijn van Microsoft Entra?

Momenteel dwingen Microsoft Entra-gekoppelde apparaten gebruikers niet om het wachtwoord op het vergrendelingsscherm te wijzigen. Gebruikers met tijdelijke of verlopen wachtwoorden worden dus alleen gedwongen om wachtwoorden te wijzigen wanneer ze toegang hebben tot een toepassing (waarvoor een Microsoft Entra-token is vereist) nadat ze zich hebben aangemeld bij Windows.

Waarom zie ik de 'Oops... er is een fout opgetreden!' dialoogvenster wanneer ik Microsoft Entra probeer deel te nemen aan mijn pc?

Deze fout treedt op wanneer u automatische inschrijving van Microsoft Entra met Intune instelt zonder de juiste licentie toegewezen. Zorg ervoor dat aan de gebruiker die Microsoft Entra join probeert te maken, de juiste Intune-licentie is toegewezen. Zie Inschrijving voor Windows-apparaten instellen voor meer informatie.

Waarom is mijn poging om microsoft Entra lid te worden van een pc mislukt, hoewel ik geen foutinformatie heb ontvangen?

Een waarschijnlijke oorzaak is dat u bent aangemeld bij het apparaat met behulp van het lokale ingebouwde beheerdersaccount. Maak een ander lokaal account voordat u Microsoft Entra join gebruikt om de installatie te voltooien.

Wat is de P2P Server-toepassing en waarom wordt deze geregistreerd in mijn tenant?

De P2P Server-toepassing is een toepassing die is geregistreerd door Microsoft Entra ID om RDP-verbindingen (Remote Desktop Protocol) in te schakelen met alle aan Microsoft Entra gekoppelde Windows-apparaten of hybride Windows-apparaten in uw tenant. Deze toepassing maakt een tenantbreed certificaat dat is uitgegeven door de certificeringsinstantie van Microsoft Entra en wordt gebruikt voor het uitgeven van RDP-apparaat- en gebruikerscertificaten voor RDP-connectiviteit. Om ervoor te zorgen dat dit de juiste toepassing is, kunt u de object-id van de P2P Server-toepassing vinden in het Microsoft Entra-beheercentrumToepassingen>voor bedrijfstoepassingen>. Als u het toegepaste standaardfilter verwijdert, ziet u alle toepassingen. Vergelijk deze object-id met behulp van de Microsoft Graph API om te zoeken naar de details met GET /servicePrincipals/{objectid} en controleer of de eigenschap servicePrincipalNames is urn:p2p_cert.

Wat zijn de MS-Organization-P2P-Access-certificaten aanwezig op onze Windows 10/11-apparaten?

De MS-Organization-P2P-Access-certificaten worden door Microsoft Entra ID uitgegeven aan beide, aan Microsoft Entra gekoppelde apparaten en hybride apparaten van Microsoft Entra. Deze certificaten worden gebruikt voor het inschakelen van vertrouwen tussen apparaten in dezelfde tenant voor extern bureaublad-scenario's. Het ene certificaat wordt uitgegeven aan het apparaat en een ander certificaat wordt aan de gebruiker verleend. Het apparaatcertificaat is aanwezig Local Computer\Personal\Certificates en is één dag geldig. Dit certificaat wordt vernieuwd (door een nieuw certificaat uit te geven) als het apparaat nog steeds actief is in Microsoft Entra-id. Het gebruikerscertificaat is niet permanent en is één uur geldig, maar wordt op aanvraag uitgegeven wanneer een gebruiker een extern bureaubladsessie probeert uit te voeren op een ander apparaat dat is toegevoegd aan Microsoft Entra. Deze wordt niet verlengd na afloop. Beide certificaten worden uitgegeven met behulp van het MS-Organization-P2P-Access-certificaat dat aanwezig is in de Local Computer\AAD Token Issuer\Certificates. Dit certificaat wordt uitgegeven door Microsoft Entra ID tijdens apparaatregistratie.

Hoe kunnen we aanmelding in de cache uitschakelen/de cacheaanmelding van de gebruiker op microsoft Entra-gekoppelde apparaten uitschakelen?

Het is niet mogelijk om eerdere aanmeldingen in de cache uit te schakelen of te laten verlopen op aan Microsoft Entra gekoppelde apparaten.

Veelgestelde vragen over hybride deelname aan Microsoft Entra

Hoe ontkoppel ik een hybride gekoppeld Microsoft Entra-apparaat lokaal op het apparaat?

Voor hybride apparaten van Microsoft Entra moet u automatische registratie in AD uitschakelen met behulp van het artikel Gecontroleerde validatie . Vervolgens registreert de geplande taak het apparaat niet opnieuw. Open vervolgens een opdrachtprompt als beheerder en voer deze in dsregcmd.exe /debug /leave. U kunt deze opdracht ook uitvoeren als een script op verschillende apparaten om bulksgewijs aan elkaar te koppelen.

Waar vind ik informatie over probleemoplossing voor het diagnosticeren van fouten met hybride Microsoft Entra-koppelingen?

Waarom zie ik een dubbele geregistreerde Microsoft Entra-record voor mijn hybride apparaat voor Windows 10/11 Dat is gekoppeld aan Microsoft Entra in de lijst met Microsoft Entra-apparaten?

Wanneer uw gebruikers hun accounts toevoegen aan apps op een apparaat dat lid is van een domein, wordt ze mogelijk gevraagd om account toevoegen aan Windows? Als ze Ja invoeren bij de prompt, wordt het apparaat geregistreerd bij Microsoft Entra-id. Het vertrouwenstype is gemarkeerd als Microsoft Entra geregistreerd. Nadat u Hybride deelname van Microsoft Entra hebt ingeschakeld in uw organisatie, wordt op het apparaat ook hybride microsoft Entra toegevoegd. Vervolgens worden er twee apparaatstatussen weergegeven voor hetzelfde apparaat.

In de meeste gevallen heeft Hybride Join van Microsoft Entra voorrang op de geregistreerde Microsoft Entra-status, wat resulteert in het feit dat uw apparaat wordt beschouwd als hybride toegevoegd aan Microsoft Entra voor elke verificatie- en evaluatie van voorwaardelijke toegang. Soms kan deze dubbele status echter resulteren in een niet-deterministische evaluatie van het apparaat en toegangsproblemen veroorzaken. We raden u ten zeerste aan om een upgrade uit te voeren naar Windows 10 versie 1803 en hoger, waarbij de geregistreerde Microsoft Entra-status automatisch wordt opgeschoond. Meer informatie over het voorkomen of opschonen van deze dubbele status op de Windows 10-computer.

Waarom hebben mijn gebruikers problemen met windows 10 hybride apparaten die aan Microsoft Entra zijn toegevoegd nadat ze hun UPN hebben gewijzigd?

UPN-wijzigingen worden ondersteund met Windows 10 2004-update en ook van toepassing op Windows 11. Gebruikers op apparaten met deze update hebben geen problemen na het wijzigen van hun UPN's.

UPN-wijzigingen in oudere versies van Windows 10 worden niet volledig ondersteund met hybride apparaten van Microsoft Entra. Hoewel gebruikers zich kunnen aanmelden bij het apparaat en toegang hebben tot hun on-premises toepassingen, mislukt de verificatie met Microsoft Entra-id na een UPN-wijziging. Hierdoor hebben gebruikers problemen met eenmalige aanmelding en voorwaardelijke toegang op hun apparaten. U moet het apparaat ontkoppelen van Microsoft Entra ID (voer 'dsregcmd /leave' met verhoogde bevoegdheden uit) en opnieuw lid te worden (gebeurt automatisch) om het probleem op te lossen.

Vereisen hybride apparaten van Microsoft Entra windows 10/11 toegang tot cloudresources om toegang te krijgen tot cloudresources voor windows 10/11?

Nee, behalve wanneer het wachtwoord van de gebruiker wordt gewijzigd. Nadat de hybride deelname van Windows 10/11 voor Microsoft Entra is voltooid en de gebruiker zich ten minste één keer heeft aangemeld, heeft het apparaat geen zicht op de domeincontroller nodig om toegang te krijgen tot cloudresources. Windows 10/11 kan eenmalige aanmelding krijgen bij Microsoft Entra-toepassingen vanaf elke locatie met een internetverbinding, behalve wanneer een wachtwoord wordt gewijzigd. Gebruikers die zich aanmelden met Windows Hello voor Bedrijven blijven gebruikmaken van eenmalige aanmelding bij Microsoft Entra-toepassingen, zelfs na een wachtwoordwijziging, zelfs als ze geen zicht hebben op hun domeincontroller.

Wat gebeurt er als een gebruiker zijn wachtwoord wijzigt en zich probeert aan te melden bij zijn of haar hybride Apparaat dat is toegevoegd aan Windows 10/11 microsoft Entra buiten het bedrijfsnetwerk?

Als een wachtwoord buiten het bedrijfsnetwerk wordt gewijzigd (bijvoorbeeld door Microsoft Entra SSPR te gebruiken), mislukt de aanmelding van de gebruiker met het nieuwe wachtwoord. Voor hybride apparaten van Microsoft Entra is on-premises Active Directory de primaire instantie. Wanneer een apparaat geen zicht heeft op een domeincontroller, kan het nieuwe wachtwoord niet worden gevalideerd. De gebruiker moet een verbinding tot stand brengen met de domeincontroller (via VPN of in het bedrijfsnetwerk) voordat ze zich met hun nieuwe wachtwoord kunnen aanmelden bij het apparaat. Anders kunnen ze zich alleen aanmelden met hun oude wachtwoord vanwege de mogelijkheid om zich in de cache aan te melden in Windows. Het oude wachtwoord wordt echter ongeldig gemaakt door Microsoft Entra ID tijdens tokenaanvragen en voorkomt daarom eenmalige aanmelding en mislukt beleid voor voorwaardelijke toegang op basis van apparaten totdat de gebruiker zich verifieert met het nieuwe wachtwoord in een app of browser. Dit probleem treedt niet op als u microsoft Entra-gekoppelde apparaten gebruikt.

Veelgestelde vragen over Microsoft Entra-registratie

Hoe kan ik een geregistreerde Microsoft Entra-status voor een apparaat lokaal verwijderen?

  • Ga voor geregistreerde Windows 10/11 Microsoft Entra-apparaten naar Instellingenaccounts>>voor toegang tot werk of school. Selecteer uw account en selecteer Verbinding verbreken. Apparaatregistratie is per gebruikersprofiel in Windows 10/11.
  • Voor iOS en Android kunt u de Microsoft Authenticator-toepassingSinstellingen >Apparaatregistratie gebruiken en de registratie van het apparaat opheffen selecteren.
  • Voor macOS kunt u de Microsoft Intune-bedrijfsportal-toepassing gebruiken om de registratie van het apparaat uit het beheer ongedaan te maken en eventuele registraties te verwijderen.

Voor Windows 10 versie 2004 en ouder kan dit proces worden geautomatiseerd met het verwijderingsprogramma Workplace Join (WPJ).

Notitie

Met deze tool worden alle SSO-accounts op het apparaat verwijderd. Na deze bewerking verliezen alle toepassingen de SSO-status en wordt het apparaat uit de beheerhulpprogramma's (MDM) en uit de cloud verwijderd. De volgende keer dat een toepassing zich probeert aan te melden, worden gebruikers gevraagd het account opnieuw toe te voegen.

Hoe kan ik voorkomen dat gebruikers meer werkaccounts (Microsoft Entra geregistreerd) toevoegen op mijn zakelijke Windows 10/11-apparaten?

Schakel het volgende register in om te voorkomen dat uw gebruikers andere werkaccounts toevoegen aan uw bedrijfsdomein, Aan Microsoft Entra toegevoegd of Aan Microsoft Entra gekoppelde Windows 10/11-apparaten. Dit beleid kan ook worden gebruikt om te voorkomen dat computers die lid zijn van een domein, onbedoeld Microsoft Entra registreren bij hetzelfde gebruikersaccount.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001