Problemen met co-beheer oplossen: bestaande door Configuration Manager beheerde apparaten automatisch inschrijven bij Intune

Dit artikel helpt u bij het begrijpen en oplossen van problemen die kunnen optreden wanneer u co-beheer instelt door bestaande door Configuration Manager beheerde apparaten automatisch in te schrijven bij Intune.

In dit scenario kunt u Windows 10-apparaten blijven beheren met Behulp van Configuration Manager of u kunt werkbelastingen selectief naar Microsoft Intune verplaatsen zoals u wilt. Zie Ondersteuningstip: Workloads configureren in een co-beheerde omgeving voor meer informatie over het configureren van workloads.

Voordat u begint

Voordat u begint met het oplossen van problemen, is het belangrijk om basisinformatie over het probleem te verzamelen en ervoor te zorgen dat u alle vereiste configuratiestappen volgt. Het helpt u beter inzicht te krijgen in het probleem en de tijd te verkorten om een oplossing te vinden. Volg hiervoor deze controlelijst met vragen voor het oplossen van problemen:

• Hebt u de vereiste machtigingen en rollen om co-beheer te configureren?
• Welke hybride identiteitsoptie van Microsoft Entra hebt u geselecteerd?
• Wat is uw huidige MDM-instantie?
• Hebt u Microsoft Entra Connect geïnstalleerd en geconfigureerd?
• Hebt u een Microsoft Entra ID P1- of P2-licentie toegewezen aan de UPN die u hebt gebruikt voor configuratie?
• Hebt u Intune-licenties toegewezen aan de gebruikers?
• Hebt u hybride deelname van Microsoft Entra geconfigureerd voor beheerde domeinen of federatieve domeinen?
• Hebt u de instellingen voor de Configuration Manager-clientagent geconfigureerd voor hybride deelname aan Microsoft Entra?
• Hebt u automatische inschrijving geconfigureerd in uw Intune-tenant?
• Hebt u co-beheer ingeschakeld in Configuration Manager?

De meeste problemen treden op omdat een of meer van deze stappen niet zijn voltooid. Als u merkt dat een stap is overgeslagen of niet is voltooid, controleert u de details van elke stap of raadpleegt u de volgende zelfstudie: Co-beheer inschakelen voor bestaande Configuration Manager-clients.

Gebruik het volgende logboekbestand op Windows 10-apparaten om co-beheerproblemen op de client op te lossen:

%WinDir%\CCM\logs\CoManagementHandler.log

Problemen met hybride Microsoft Entra-configuratie oplossen

Als u problemen ondervindt die van invloed zijn op de hybride identiteit van Microsoft Entra of Microsoft Entra Connect, raadpleegt u de volgende handleidingen voor probleemoplossing:

• Installatieproblemen met Microsoft Entra Connect oplossen
• Fouten oplossen tijdens Microsoft Entra Connect-synchronisatie
• Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect-synchronisatie
• Problemen met naadloze eenmalige aanmelding van Microsoft Entra oplossen
• Problemen met passthrough-verificatie van Microsoft Entra oplossen
• Problemen met eenmalige aanmelding met Active Directory Federation Services oplossen

Raadpleeg de volgende handleidingen voor probleemoplossing als u problemen ondervindt die van invloed zijn op Hybride Join van Microsoft Entra voor beheerde domeinen of federatieve domeinen:

• Problemen met hybride gekoppelde apparaten met Microsoft Entra oplossen
• Probleemoplossing voor apparaten met de opdracht dsregcmd

Algemene problemen

Clients hebben het beleid niet ontvangen van het Configuration Manager-beheerpunt om het registratieproces te starten met Microsoft Entra ID en Intune

Dit probleem treedt op vanwege een probleem in Configuration Manager en niet in Intune. U kunt de clientlogboekbestanden gebruiken om dergelijke problemen op te lossen.

De Configuration Manager-client is geïnstalleerd. Het apparaat wordt echter niet geregistreerd bij de Microsoft Entra-id en er worden geen fouten weergegeven

Dit probleem treedt meestal op omdat de instellingen van de Configuration Manager-clientagent niet zijn geconfigureerd om de clients om te leiden om zich te registreren.

Als u het probleem wilt oplossen, controleert u of u de stappen in Clientinstellingen configureren volgt om clients te laten registreren bij Microsoft Entra-id.

De Configuration Manager-client is geïnstalleerd en het apparaat is geregistreerd bij Microsoft Entra-id. Het apparaat wordt echter niet automatisch geregistreerd bij Intune en er worden geen fouten weergegeven

Dit probleem treedt meestal op wanneer automatische inschrijving onjuist is geconfigureerd in uw Intune-tenant onder Microsoft Entra ID>Mobility (MDM en MAM)>Microsoft Intune.

Volg de stappen in Het configureren van automatische inschrijving van apparaten bij Intune om het probleem op te lossen.

U kunt het co-beheerknooppunt niet vinden onder Beheercloudservices > in de Configuration Manager-console

Dit probleem treedt op als uw versie van Configuration Manager ouder is dan versie 1906.

Werk Configuration Manager bij naar versie 1906 of een nieuwere versie om het probleem op te lossen.

Hybride apparaten van Microsoft Entra kunnen niet worden ingeschreven en er wordt een fout gegenereerd 0x8018002a

Wanneer dit probleem optreedt, ziet u ook de volgende symptomen:

• Het volgende foutbericht wordt vastgelegd in de logboeken toepassingen en services van>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin in de Logboeken:

  Automatische MDM-registratie: Mislukt (onbekende Win32-foutcode: 0x8018002a)

• Het volgende foutbericht wordt vastgelegd in de logboeken toepassingen en services van>Microsoft>Windows>Microsoft Entra ID>Operationeel logboek in de Logboeken:

  Fout: 0xCAA2000C De aanvraag vereist gebruikersinteractie.
  Code: interaction_required
  Beschrijving: AADSTS50076: Vanwege een configuratiewijziging die door uw beheerder is aangebracht of omdat u bent verplaatst naar een nieuwe locatie, moet u meervoudige verificatie gebruiken voor toegang.

Dit probleem treedt op wanneer meervoudige verificatie (MFA) wordt afgedwongen. Hiermee voorkomt u dat de Configuration Manager-clientagent het apparaat registreert met behulp van de aangemelde gebruikersreferenties.

Notitie

Er is een verschil tussen het inschakelen van MFA en afgedwongen. Zie De gebruikersstatussen van Microsoft Entra voor meervoudige verificatie voor meer informatie over het verschil. Dit scenario werkt door MFA ingeschakeld te hebben, maar niet MFA afgedwongen.

Gebruik een van de volgende methoden om het probleem op te lossen:

• Stel MFA in op Ingeschakeld , maar niet afgedwongen. Zie Meervoudige verificatie instellen voor meer informatie.
• Schakel MFA tijdelijk uit tijdens de inschrijving in vertrouwde IP-adressen.

Apparaten kunnen niet worden gesynchroniseerd na automatische inschrijving

Vanaf Configuration Manager versie 1906 wordt een gezamenlijk beheerd apparaat met Windows 10 versie 1803 of een latere versie automatisch ingeschreven bij de Microsoft Intune-service op basis van de Microsoft Entra-apparaattokens. Het apparaat kan echter niet worden gesynchroniseerd en u ontvangt het volgende foutbericht in Instellingenaccounts>>toegang tot werk of school:

Synchronisatie is niet volledig geslaagd omdat we uw referenties niet konden verifiëren. Selecteer Synchroniseren om u aan te melden en probeer het opnieuw.

Wanneer dit probleem zich voordoet, wordt het volgende foutbericht vastgelegd in toepassingen en serviceslogboeken van>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin in de Logboeken:

MDM-sessie: Kan Microsoft Entra-token niet ophalen voor het token van de synchronisatiesessie: (Onbekende Win32-foutcode: 0xcaa2000c) Apparaattoken: (Onjuiste functie).

Het volgende foutbericht wordt vastgelegd in de logboeken toepassingen en services van>Microsoft>Windows>Microsoft Entra ID>Operationeel logboek in de Logboeken:

Fout: 0xCAA2000C De aanvraag vereist gebruikersinteractie.
Code: interaction_required
Beschrijving: AADSTS50076: Vanwege een configuratiewijziging die door uw beheerder is aangebracht of omdat u bent verplaatst naar een nieuwe locatie, moet u meervoudige verificatie gebruiken voor toegang.

Dit probleem treedt op wanneer MFA is ingeschakeld of afgedwongen, of beleid voor voorwaardelijke toegang van Microsoft Entra waarvoor MFA is vereist, worden toegepast op alle cloud-apps. Hiermee voorkomt u dat gebruikerskoppelingen met het apparaat in de portal worden gebruikt.

Gebruik een van de volgende methoden om het probleem op te lossen:

• Als MFA is ingeschakeld of afgedwongen:
  • Stel MFA in op Uitgeschakeld. Zie Verouderde MFA per gebruiker uitschakelen voor meer informatie.
  • MFA overslaan met behulp van vertrouwde IP-adressen.
• Als beleid voor voorwaardelijke toegang van Microsoft Entra wordt gebruikt, sluit u de Microsoft Intune-app uit van het beleid waarvoor MFA is vereist om apparaatsynchronisatie toe te staan met behulp van de gebruikersreferenties.

Een hybride Windows 10-apparaat van Microsoft Entra kan niet worden ingeschreven bij Intune met een fout 0x800706D9 of 0x80180023

Wanneer dit probleem zich voordoet, ziet u doorgaans het volgende foutbericht in toepassingen en serviceslogboeken van>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin in de Logboeken:

MDM-inschrijving: CONFIGURATIE van OMA-DM-client is mislukt. RAWResult: (0x800706D9) Resultaat: (Onbekende Win32-foutcode: 0x80180023).
MDM-inschrijving: inrichten is mislukt. Resultaat: (Onbekende Win32-foutcode: 0x80180023).
MDM-registratie: Mislukt (onbekende Win32-foutcode: 0x80180023)
Automatisch MDM-inschrijving: apparaatreferenties (0x80180023), mislukt (%2)
Registratie bij MDM ongedaan maken: fout bij het verzenden van waarschuwing voor uitschrijven naar de server. Resultaat: (Onjuiste functie.).
MDM-registratie ongedaan maken: het opstarttype dmwappushservice wijzigen in aanvraagstart is mislukt. Resultaat: (De opgegeven service bestaat niet als een geïnstalleerde service.)

Dit probleem treedt op als de dmwappushservice service ontbreekt op het apparaat. Voer deze service services.msc uit om te controleren.

Volg deze stappen om dit probleem op te lossen:

1. Exporteer op een werkend apparaat met dezelfde versie van Windows 10 als het betreffende apparaat de volgende registersleutel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Meld u als lokale beheerder aan bij het betreffende apparaat, kopieer het .reg bestand naar het betreffende apparaat en voeg het vervolgens samen met het lokale register.

3. Start het betreffende apparaat opnieuw op.

4. Verwijder de oude Microsoft Entra-registratie en werk vervolgens Groepsbeleid bij.

5. Start het betreffende apparaat opnieuw op. Het apparaat moet zich kunnen registreren bij Microsoft Entra ID en automatisch kunnen inschrijven bij Intune.

Hybride deelname van Microsoft Entra mislukt in een beheerd domein met fout 0x801c03f2

Wanneer u vanaf een opdrachtprompt op het apparaat uitvoert dsregcmd /status , kunt u zien dat het lid is van het domein, maar niet dat microsoft Entra hybrid lid is. Het volgende foutbericht wordt vastgelegd in toepassings- en servicelogboeken microsoft>>Windows-registratiebeheerder> voor apparaatregistratie>in het Logboeken:

Serverantwoord was: {"ErrorType":"DirectoryError","Message":"The public key user certificate is not found on the device object with id <DeviceID>".

Dit probleem treedt op in een van de volgende situaties:

• Het apparaatobject ontbreekt in Microsoft Entra-id.
• Het Usercertificate kenmerk heeft het apparaatcertificaat niet in de on-premises Active Directory- of Microsoft Entra-id.

Als de apparaatregistratie van Windows 10 werkt in een beheerd domein, moet het apparaatobject eerst worden gesynchroniseerd. Het registratieproces werkt als volgt:

• Het Windows 10-apparaat wordt voor het eerst gestart nadat het on-premises domein is toegevoegd.
• Apparaatregistratie wordt geactiveerd en er wordt een certificaataanvraag gemaakt.
• Wanneer de aanvraag wordt gemaakt, wordt de openbare sleutel van het certificaat gepubliceerd in de on-premises AD voor het apparaatobject. Hiermee wordt het Usercertificate kenmerk op de apparaatobjecten bijgewerkt. Tegelijkertijd wordt de ondertekende aanvraag voor apparaatregistratie verzonden naar de Microsoft Entra-id.
• De registratie mislukt omdat de Microsoft Entra-id het apparaatobject niet kan verifiëren of de ondertekende aanvraag kan verifiëren.
• De volgende keer dat de synchronisatiecyclus wordt uitgevoerd, wordt het apparaatobject gevonden waarop het Usercertificate kenmerk is ingevuld en wordt het apparaatobject gesynchroniseerd met Microsoft Entra-id.
• De volgende keer dat de registratieservice wordt geactiveerd (dit wordt elk uur uitgevoerd), verzendt het apparaat een nieuwe aanvraag die is ondertekend door de persoonlijke sleutel.
• Azure controleert de handtekening op de aanvraag met behulp van het openbare certificaat dat is ontvangen van het on-premises domein tijdens de synchronisatiecyclus. Als Microsoft Entra ID de handtekening op de aanvraag kan verifiëren, slaagt de apparaatregistratie.

Volg deze stappen om het probleem op te lossen:

1. Controleer in de on-premises AD of het Usercertificate kenmerk is ingevuld en het juiste certificaat heeft.

2. Controleer het back-endapparaatobject en controleer of het Usercertificate kenmerk bestaat en is ingevuld.

3. Als het certificaat ontbreekt of als iemand het certificaat heeft verwijderd uit de on-premises AD (waardoor het certificaat op zijn beurt wordt verwijderd uit Microsoft Entra ID), mislukt de apparaatregistratie. Ga als volgt te werk op het clientapparaat om dit probleem op te lossen:

   1. Open een opdrachtpromptvenster met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit:

      dsregcmd /leave
      

   2. Voer deze opdracht uit certlm.msc om het certificaatarchief van de lokale computer te openen.

   3. Zorg ervoor dat het computercertificaat dat is uitgegeven door MS-Organization-Access , is verwijderd.

   4. Start het clientapparaat opnieuw op om een nieuwe apparaatregistratie te activeren.

   5. Nadat het apparaat opnieuw is opgestart, moet u ervoor zorgen dat de openbare sleutel van het nieuwe certificaat wordt bijgewerkt op het apparaatobject in de on-premises AD. Als er meerdere domeincontrollers zijn, moet u ervoor zorgen dat het kenmerk wordt gerepliceerd naar alle domeincontrollers.

   6. Activeer een deltasynchronisatie op de Microsoft Entra Connect-server.

   7. Nadat de synchronisatie is voltooid, kunt u apparaatregistratie activeren door de client opnieuw op te starten, de dsregcmd /debug opdracht uit te voeren of de geplande taak Automatisch deelnemen aan apparaten uit te voeren onder Werkplekdeelname.

Automatische apparaatregistratie mislukt met fout 0x80280036

Wanneer dit probleem zich voordoet, wordt het volgende foutbericht vastgelegd in toepassings- en servicelogboeken>microsoft>Windows-apparaatregistratiebeheerder>> in het Logboeken:

DeviceRegistrationApi::BeginJoin is mislukt met foutcode: 0x80280036

Beschrijving:
De initialisatie van de join-aanvraag is mislukt met afsluitcode: de TPM probeert een opdracht alleen uit te voeren wanneer deze zich in de FIPS-modus bevindt.

Dit probleem treedt op als de TPM-chip op het clientapparaat DE FIPS-modus heeft ingeschakeld. De FIPS-modus wordt niet ondersteund of aanbevolen voor registratie van Azure-apparaten. Zie Waarom we 'FIPS-modus' niet meer aanbevelen voor meer informatie.

Hybride deelname van Microsoft Entra mislukt met fout 0x80090016

Hybride Microsoft Entra-registratie van een Windows 10-apparaat mislukt en u ontvangt het volgende foutbericht:

Er is iets verkeerd gegaan. Controleer of u de juiste aanmeldingsgegevens gebruikt en of uw organisatie deze functie gebruikt. U kunt dit opnieuw proberen of contact opnemen met uw systeembeheerder met de foutcode 0x80090016

Het foutbericht van 0x80090016 is Keyset bestaat niet. Dit betekent dat de apparaatregistratie de apparaatsleutel niet kan opslaan omdat de TPM-sleutels niet toegankelijk waren.

Dit probleem treedt op als Windows niet de eigenaar van de TPM is. Vanaf Windows 10 wordt het besturingssysteem automatisch geïnitialiseerd en wordt het eigendom van de TPM. Als dit proces echter mislukt, is Windows niet de eigenaar en leidt dit tot het probleem.

U lost dit probleem op door de TPM te wissen en het clientapparaat opnieuw op te starten. Voer de volgende stappen uit om de TPM te wissen:

1. Open de Windows-beveiliging-app.

2. Selecteer Apparaatbeveiliging.

3. Selecteer Details van de beveiligingsprocessor.

4. Selecteer Problemen met de beveiligingsprocessor oplossen.

5. Klik op TPM wissen.

   Belangrijk

   Voordat u de TPM wist, moet u rekening houden met het volgende:

   • Het wissen van TPM kan leiden tot gegevensverlies. U verliest alle gemaakte sleutels die zijn gekoppeld aan de TPM en gegevens die door deze sleutels worden beveiligd, zoals een virtuele smartcard, een aanmeldingspincode of BitLocker-sleutels.
   • Als BitLocker is ingeschakeld op het apparaat, moet u BitLocker uitschakelen voordat u de TPM wist.
   • Zorg ervoor dat u een back-up- en herstelmethode hebt voor alle gegevens die worden beveiligd of versleuteld door de TPM.

6. Start het apparaat opnieuw op wanneer u hierom wordt gevraagd.

   Notitie

   Tijdens het opnieuw opstarten wordt u mogelijk door de UEFI gevraagd om op een knop te drukken om te bevestigen dat u de TPM wilt wissen. Nadat het opnieuw opstarten is voltooid, wordt de TPM automatisch voorbereid voor gebruik door Windows 10.

Nadat het apparaat opnieuw is opgestart, moet hybride deelname van Microsoft Entra zijn geslaagd. Voer de opdracht uit dsregcmd /status bij een opdrachtprompt om dit te controleren. Het volgende resultaat geeft een geslaagde join aan:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Zie Problemen met de TPM oplossen voor meer informatie.

Meer informatie

Zie de volgende artikelen voor meer informatie over het oplossen van problemen met co-beheer:

• Problemen met co-beheer oplossen: Bootstrap met moderne inrichting
• Problemen met workloads voor co-beheer oplossen

Zie de volgende artikelen voor meer informatie over co-beheer van Intune en Configuration Manager:

• Overzicht van co-beheer van Windows 10
• Aan de slag: paden voor co-beheer
• Quickstarts voor co-beheer
• Zelfstudie: Co-beheer inschakelen voor bestaande Configuration Manager-clients