Udostępnij za pośrednictwem


Rozwiązywanie problemów z urządzeniami niższego poziomu przyłączonymi do hybrydowej usługi Microsoft Entra

Ten artykuł ma zastosowanie tylko do następujących urządzeń:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

W przypadku urządzeń z systemami Windows 10 lub nowszymi i Windows Server 2016 zobacz Rozwiązywanie problemów z urządzeniami z systemem Windows 10 i Windows Server 2016 dołączonymi hybrydami firmy Microsoft Entra.

W tym artykule założono, że skonfigurowano urządzenia dołączone hybrydo do firmy Microsoft w celu obsługi następujących scenariuszy:

  • Dostęp warunkowy oparty na urządzeniach

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów dotyczących rozwiązywania potencjalnych problemów.

Co należy wiedzieć:

  • Dołączanie hybrydowe firmy Microsoft dla urządzeń z systemem Windows na niższych poziomach działa inaczej niż w systemie Windows 10 lub nowszym. Wielu klientów nie zdaje sobie sprawy, że potrzebują usług AD FS (dla domen federacyjnych) ani bezproblemowego logowania jednokrotnego skonfigurowanego (dla domen zarządzanych).
  • Bezproblemowe logowanie jednokrotne nie działa w trybie przeglądania prywatnego w przeglądarkach Firefox i Microsoft Edge. Nie działa również w programie Internet Explorer, jeśli przeglądarka jest uruchomiona w trybie rozszerzonym chronionym lub jeśli konfiguracja zwiększonych zabezpieczeń jest włączona.
  • W przypadku klientów z domenami federacyjnymi, jeśli punkt połączenia z usługą (SCP) został skonfigurowany tak, aby wskazywał nazwę domeny zarządzanej (na przykład contoso.onmicrosoft.com, zamiast contoso.com), przyłączanie hybrydowe firmy Microsoft Entra do urządzeń z systemem Windows nie działa.
  • To samo urządzenie fizyczne jest wyświetlane wiele razy w elemencie Microsoft Entra ID, gdy wielu użytkowników domeny loguje się na urządzeniach dołączonych hybrydowo do firmy Microsoft Entra. Jeśli na przykład jdoe i jharnett logują się do urządzenia, zostanie utworzona oddzielna rejestracja (DeviceID) dla każdego z nich na karcie informacje o użytkowniku.
  • Możesz również uzyskać wiele wpisów dla urządzenia na karcie informacji o użytkowniku z powodu ponownej instalacji systemu operacyjnego lub ręcznej ponownej rejestracji.
  • Początkowa rejestracja/sprzężenie urządzeń jest skonfigurowana do wykonania próby zalogowania się lub blokady/odblokowania. Może wystąpić 5-minutowe opóźnienie wyzwalane przez zadanie harmonogramu zadań.
  • Upewnij się, że KB4284842 jest zainstalowana w systemie Windows 7 z dodatkiem SP1 lub Windows Server 2008 R2 z dodatkiem SP1. Ta aktualizacja zapobiega przyszłym niepowodzeniu uwierzytelniania z powodu utraty dostępu klienta do kluczy chronionych po zmianie hasła.
  • Przyłączanie hybrydowe firmy Microsoft Entra może zakończyć się niepowodzeniem po zmianie nazwy UPN użytkownika, co przerywa proces bezproblemowego uwierzytelniania za pomocą logowania jednokrotnego. Podczas procesu dołączania może się okazać, że nadal wysyła poprzednią nazwę UPN do identyfikatora Entra firmy Microsoft, chyba że pliki cookie sesji przeglądarki zostaną wyczyszczone lub użytkownik jawnie wyzwolony i usunie starą nazwę UPN.

Krok 1. Pobieranie stanu rejestracji

Aby sprawdzić stan rejestracji:

  1. Zaloguj się przy użyciu konta użytkownika, które wykonało dołączenie hybrydowe firmy Microsoft Entra.
  2. Otwórz wiersz polecenia
  3. Wpisz "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

To polecenie wyświetla okno dialogowe zawierające szczegółowe informacje o stanie sprzężenia.

Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zawierający adres e-mail wskazuje, że określone urządzenie jest przyłączone do miejsca pracy.

Krok 2. Ocena stanu przyłączania hybrydowego firmy Microsoft Entra

Jeśli urządzenie nie zostało dołączone hybrydą firmy Microsoft Entra, możesz podjąć próbę dołączenia hybrydowego firmy Microsoft Entra, klikając przycisk "Dołącz". Jeśli próba dołączenia hybrydowego firmy Microsoft Entra zakończy się niepowodzeniem, zostaną wyświetlone szczegółowe informacje o niepowodzeniu.

Najczęstsze problemy to:

  • Błędnie skonfigurowane usługi AD FS lub Microsoft Entra ID lub problemy z siecią

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza, że wystąpił błąd podczas uwierzytelniania konta.

    • Autoworkplace.exe nie może uwierzytelniać się dyskretnie za pomocą identyfikatora Entra firmy Microsoft lub usług AD FS. Ten problem może być spowodowany brakiem lub błędną konfiguracją usług AD FS (w przypadku domen federacyjnych) lub brakiem lub błędnie skonfigurowanym logowaniem jednokrotnym firmy Microsoft Entra (w przypadku domen zarządzanych) lub problemami z siecią.
    • Może się okazać, że uwierzytelnianie wieloskładnikowe (MFA) jest włączone/skonfigurowane dla użytkownika, a WIAORMULTIAUTHN nie jest skonfigurowany na serwerze usług AD FS.
    • Inną możliwością jest to, że strona odnajdywania obszaru głównego (HRD) oczekuje na interakcję użytkownika, co uniemożliwia autoworkplace.exe dyskretne żądanie tokenu.
    • Może się okazać, że w strefie intranetowej programu IE na kliencie brakuje adresów URL usług AD FS i Microsoft Entra.
    • Problemy z łącznością sieciową mogą uniemożliwiać autoworkplace.exe dotarcie do usług AD FS lub adresów URL usługi Microsoft Entra.
    • Autoworkplace.exe wymaga, aby klient miał bezpośredni widok od klienta do lokalnego kontrolera domeny usługi AD organizacji, co oznacza, że przyłączanie hybrydowe firmy Microsoft Entra powiedzie się tylko wtedy, gdy klient jest połączony z intranetem organizacji.
    • Jeśli Twoja organizacja korzysta z bezproblemowego logowania jednokrotnego firmy Microsoft, https://autologon.microsoftazuread-sso.com nie jest obecny w ustawieniach intranetu IE urządzenia.
    • Ustawienie internetowe Do not save encrypted pages to disk jest zaznaczone.
  • Użytkownik domeny nie jest zalogowany

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza, że wystąpił błąd podczas weryfikacji konta.

    Istnieje kilka różnych powodów, dla których ten problem może wystąpić:

    • Zalogowany użytkownik nie jest użytkownikiem domeny (na przykład użytkownikiem lokalnym). Dołączanie hybrydowe firmy Microsoft Entra na urządzeniach na poziomie podrzędnym jest obsługiwane tylko dla użytkowników domeny.
    • Klient nie może nawiązać połączenia z kontrolerem domeny.
  • Osiągnięto limit przydziału

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza błąd, ponieważ użytkownik osiągnął maksymalną liczbę urządzeń przyłączonych.

  • Usługa nie odpowiada

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza, że wystąpił błąd, ponieważ serwer nie odpowiedział.

Informacje o stanie można również znaleźć w dzienniku zdarzeń w obszarze: Dziennik aplikacji i usług\Microsoft-Workplace Join

Najczęstsze przyczyny niepowodzenia dołączania hybrydowego firmy Microsoft Entra to:

  • Komputer nie jest połączony z siecią wewnętrzną organizacji ani z siecią VPN z połączeniem z lokalnym kontrolerem domeny usługi AD.
  • Zalogowano się na komputerze przy użyciu konta komputera lokalnego.
  • Problemy z konfiguracją usługi:
    • Serwer usług AD FS nie jest skonfigurowany do obsługi WIAORMULTIAUTHN.
    • Las komputera nie ma obiektu punktu połączenia usługi, który wskazuje zweryfikowaną nazwę domeny w identyfikatorze Entra firmy Microsoft
    • Jeśli domena jest zarządzana, bezproblemowe logowanie jednokrotne nie zostało skonfigurowane ani nie działa.
    • Użytkownik osiągnął limit urządzeń.

Następne kroki