Udostępnij za pośrednictwem


Rozwiązywanie problemów z urządzeniami niższego poziomu przyłączonymi do hybrydowej usługi Microsoft Entra

Ten artykuł ma zastosowanie tylko do następujących urządzeń:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Aby uzyskać ważne informacje o obsłudze starszych wersji systemu operacyjnego, zobacz Obsługiwane wersje klienta systemu Windows i Znane problemy i powiadomienia dotyczące systemów Windows 8.1 i Windows Server 2012 R2.

W przypadku systemów Windows 10 lub nowszych oraz Windows Server 2016 zobacz Rozwiązywanie problemów z urządzeniami Windows 10 oraz Windows Server 2016 dołączonymi do hybryd przez Microsoft Entra.

W tym artykule założono, że skonfigurowano urządzenia hybrydowo dołączone do Microsoft Entra w celu obsługi następujących scenariuszy:

  • Dostęp warunkowy oparty na urządzeniach

Ten artykuł zawiera porady dotyczące rozwiązywania potencjalnych problemów.

Co należy wiedzieć:

  • Hybrydowe dołączanie Microsoft Entra dla starszych urządzeń z systemem Windows działa inaczej niż w systemie Windows 10 lub nowszym. Wielu klientów nie zdaje sobie sprawy, że potrzebują usług AD FS (dla domen federacyjnych) lub skonfigurowanego bezproblemowego logowania jednokrotnego (dla domen zarządzanych).
  • Bezproblemowe logowanie jednokrotne nie działa w trybie przeglądania prywatnego w przeglądarkach Firefox i Microsoft Edge. Nie działa również w programie Internet Explorer, jeśli przeglądarka jest uruchomiona w trybie rozszerzonym chronionym lub jeśli konfiguracja zwiększonych zabezpieczeń jest włączona.
  • W przypadku klientów z domenami federacyjnymi, jeśli punkt połączenia z usługą (SCP) został skonfigurowany tak, aby wskazywał nazwę domeny zarządzanej (na przykład contoso.onmicrosoft.com, zamiast contoso.com), łączenie hybrydowe Microsoft Entra dla starszych urządzeń z systemem Windows nie działa.
  • To samo urządzenie fizyczne pojawia się wielokrotnie w Microsoft Entra ID, gdy wielu użytkowników domenowych loguje się na starszych urządzeniach dołączonych hybrydowo do Microsoft Entra. Na przykład, jeśli Person1 i Person2 zalogują się do urządzenia, zostanie utworzona oddzielna rejestracja (DeviceID) dla każdego z nich na karcie informacji UŻYTKOWNIKA.
  • Możesz również uzyskać wiele wpisów dla urządzenia na karcie informacji o użytkowniku z powodu ponownej instalacji systemu operacyjnego lub ręcznej ponownej rejestracji.
  • Początkowa rejestracja/sprzężenie urządzeń jest skonfigurowana do wykonania próby zalogowania się lub blokady/odblokowania. Może wystąpić 5-minutowe opóźnienie wyzwalane przez zadanie harmonogramu zadań.
  • Upewnij się, że KB4284842 jest zainstalowana w systemie Windows 7 z dodatkiem SP1 lub Windows Server 2008 R2 z dodatkiem SP1. Ta aktualizacja zapobiega przyszłym niepowodzeniu uwierzytelniania z powodu utraty dostępu klienta do kluczy chronionych po zmianie hasła.
  • Przyłączenie hybrydowe Microsoft Entra może zakończyć się niepowodzeniem po zmianie nazwy użytkownika (UPN), co przerywa proces uwierzytelniania za pomocą Seamless SSO. Podczas procesu dołączania może się okazać, że nadal wysyła poprzedni UPN do Microsoft Entra ID, chyba że pliki cookie sesji przeglądarki zostaną wyczyszczone lub użytkownik wyraźnie się wyloguje i usunie stary UPN.

Krok 1. Pobieranie stanu rejestracji

Aby sprawdzić stan rejestracji:

  1. Zaloguj się przy użyciu konta użytkownika, które wykonało dołączenie hybrydowe Microsoft Entra.
  2. Otwórz wiersz polecenia
  3. Wpisz "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

To polecenie wyświetla okno dialogowe, które dostarcza szczegółowych informacji o statusie połączenia.

Zrzut ekranu przedstawiający okno dialogowe Dołączanie urządzenia do miejsca pracy w systemie Windows. Tekst zawierający adres e-mail wskazuje, że urządzenie jest przyłączone do miejsca pracy.

Krok 2. Ocena stanu przyłączania hybrydowego firmy Microsoft Entra

Jeśli urządzenie nie zostało przyłączone do hybrydy Microsoft Entra, możesz spróbować dołączyć urządzenie do hybrydy Microsoft Entra, klikając przycisk „Dołącz”. Jeśli próba dołączenia hybrydowego firmy Microsoft Entra zakończy się niepowodzeniem, zostaną wyświetlone szczegółowe informacje o niepowodzeniu.

Najczęstsze problemy to:

  • Błędnie skonfigurowane usługi AD FS lub Microsoft Entra ID lub problemy z siecią

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza, że wystąpił błąd podczas uwierzytelniania konta.

    • Autoworkplace.exe nie może uwierzytelniać się dyskretnie za pomocą identyfikatora Entra firmy Microsoft lub usług AD FS. Ten problem może być spowodowany brakiem lub błędną konfiguracją usług AD FS (w przypadku domen federacyjnych) lub brakiem lub błędnie skonfigurowanym logowaniem jednokrotnym firmy Microsoft Entra (w przypadku domen zarządzanych) lub problemami z siecią.
    • Może się okazać, że uwierzytelnianie wieloskładnikowe (MFA) jest włączone/skonfigurowane dla użytkownika, a WIAORMULTIAUTHN nie jest skonfigurowany na serwerze usług AD FS.
    • Inną możliwością jest to, że strona odnajdywania obszaru głównego (HRD) oczekuje na interakcję użytkownika, co uniemożliwia autoworkplace.exe dyskretne żądanie tokenu.
    • Może się okazać, że w strefie intranetowej programu IE na kliencie brakuje adresów URL usług AD FS i Microsoft Entra.
    • Problemy z łącznością sieciową mogą uniemożliwiać autoworkplace.exe dotarcie do usług AD FS lub adresów URL usługi Microsoft Entra.
    • Autoworkplace.exe wymaga od klienta bezpośredniego widoku na lokalny kontroler domeny AD organizacji, co oznacza, że hybrydowe łączenie Microsoft Entra uda się tylko wtedy, gdy klient połączy się z intranetem organizacji.
    • Jeśli Twoja organizacja korzysta z bezproblemowego logowania jednokrotnego firmy Microsoft, https://autologon.microsoftazuread-sso.com nie jest obecny w ustawieniach intranetu IE urządzenia.
    • Ustawienie internetowe Do not save encrypted pages to disk jest zaznaczone.
  • Użytkownik domeny nie jest zalogowany

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie do miejsca pracy dla systemu Windows. Tekst zgłasza, że wystąpił błąd podczas weryfikacji konta.

    Istnieje kilka różnych powodów, dla których ten problem może wystąpić:

    • Zalogowany użytkownik nie jest użytkownikiem domeny (na przykład użytkownikiem lokalnym). Dołączanie hybrydowe firmy Microsoft Entra na urządzeniach na poziomie podrzędnym jest obsługiwane tylko dla użytkowników domeny.
    • Klient nie może nawiązać połączenia z kontrolerem domeny.
  • Osiągnięto limit przydziału

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie w miejscu pracy dla systemu Windows. Tekst zgłasza błąd, ponieważ użytkownik osiągnął maksymalną liczbę urządzeń przyłączonych.

  • Usługa nie odpowiada

    Zrzut ekranu przedstawiający okno dialogowe funkcji Przyłączenie do miejsca pracy w systemie Windows. Tekst zgłasza, że wystąpił błąd, ponieważ serwer nie odpowiedział.

Informacje o stanie można również znaleźć w dzienniku zdarzeń w obszarze: Dziennik aplikacji i usług\Microsoft-Workplace Join

Najczęstsze przyczyny niepowodzenia przy dołączaniu do hybrydy Microsoft Entra to:

  • Twój komputer nie jest połączony z wewnętrzną siecią organizacji ani z VPN, która ma połączenie z lokalnym kontrolerem domeny w ramach usługi Active Directory (AD).
  • Jesteś zalogowany na komputerze przy użyciu lokalnego konta komputerowego.
  • Problemy z konfiguracją usługi:
    • Serwer usług AD FS nie jest skonfigurowany do obsługi WIAORMULTIAUTHN.
    • Las katalogowy twojego komputera nie ma obiektu Punktu Połączenia Usługi, który wskazuje na twoją zweryfikowaną nazwę domeny w Microsoft Entra ID.
    • Jeśli domena jest zarządzana, bezproblemowe logowanie jednokrotne nie zostało skonfigurowane ani nie działa.
    • Użytkownik osiągnął limit urządzeń.

Następne kroki