Udostępnij za pośrednictwem

Rozwiązywanie problemów z współzarządzaniem: automatyczne rejestrowanie istniejących urządzeń zarządzanych przez program Configuration Manager w usłudze Intune

  • Artykuł

Ten artykuł ułatwia zrozumienie i rozwiązywanie problemów, które mogą wystąpić podczas konfigurowania współzarządzania przez automatyczne rejestrowanie istniejących urządzeń zarządzanych przez program Configuration Manager w usłudze Intune.

W tym scenariuszu można nadal zarządzać urządzeniami z systemem Windows 10 przy użyciu programu Configuration Manager lub selektywnie przenosić obciążenia do usługi Microsoft Intune zgodnie z potrzebami. Aby uzyskać więcej informacji na temat konfigurowania obciążeń, zobacz Support Tip: Configuring workloads in a co-managed environment (Porada pomocy technicznej: konfigurowanie obciążeń w środowisku współzarządzanym).

Przed rozpoczęciem

Przed rozpoczęciem rozwiązywania problemów ważne jest zebranie podstawowych informacji o problemie i upewnienie się, że zostały zastosowane wszystkie wymagane kroki konfiguracji. Pomaga lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania. Aby to zrobić, postępuj zgodnie z tą listą kontrolną pytań wstępnych dotyczących rozwiązywania problemów:

Większość problemów występuje, ponieważ co najmniej jeden z tych kroków nie został ukończony. Jeśli okaże się, że krok został pominięty lub nie został ukończony pomyślnie, sprawdź szczegóły każdego kroku lub zapoznaj się z następującym samouczkiem: Włączanie współzarządzania dla istniejących klientów programu Configuration Manager.

Aby rozwiązać problemy ze współzarządzaniem na kliencie, użyj następującego pliku dziennika na urządzeniach z systemem Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Rozwiązywanie problemów z hybrydową konfiguracją firmy Microsoft Entra

Jeśli występują problemy, które mają wpływ na tożsamość hybrydową firmy Microsoft Entra lub Microsoft Entra Connect, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

Jeśli występują problemy, które mają wpływ na dołączanie hybrydowe firmy Microsoft Entra dla domen zarządzanych lub domen federacyjnych, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

Typowe problemy

Klienci nie otrzymali zasad z punktu zarządzania programu Configuration Manager, aby rozpocząć proces rejestracji przy użyciu identyfikatora Entra firmy Microsoft i usługi Intune

Ten problem występuje z powodu problemu w programie Configuration Manager, a nie w usłudze Intune. Aby rozwiązać takie problemy, możesz użyć plików dziennika klienta.

Zainstalowano klienta programu Configuration Manager. Jednak urządzenie nie rejestruje się w usłudze Microsoft Entra ID i nie są widoczne żadne błędy

Ten problem zwykle występuje, ponieważ ustawienia agenta klienta programu Configuration Manager nie są skonfigurowane do kierowania klientów do rejestracji.

Aby rozwiązać ten problem, sprawdź, czy wykonaj kroki opisane w temacie Konfigurowanie ustawień klienta w celu kierowania klientów do rejestrowania się w usłudze Microsoft Entra ID.

Klient programu Configuration Manager jest zainstalowany, a urządzenie zostało pomyślnie zarejestrowane przy użyciu identyfikatora Entra firmy Microsoft. Jednak urządzenie nie jest automatycznie rejestrowane w usłudze Intune i nie są widoczne żadne błędy

Ten problem zwykle występuje, gdy automatyczna rejestracja jest nieprawidłowo skonfigurowana w dzierżawie usługi Intune w obszarze Microsoft Entra ID>Mobility (MDM i MAM)>Microsoft Intune.

Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Konfigurowanie automatycznej rejestracji urządzeń w usłudze Intune.

Nie można zlokalizować węzła współzarządzania w obszarze Administracja > usługami w chmurze w konsoli programu Configuration Manager

Ten problem występuje, jeśli wersja programu Configuration Manager jest starsza niż wersja 1906.

Aby rozwiązać ten problem, zaktualizuj program Configuration Manager do wersji 1906 lub nowszej.

Nie można zarejestrować urządzeń dołączonych hybrydo do firmy Microsoft i wygenerować błąd 0x8018002a

W przypadku wystąpienia tego problemu zauważysz również następujące objawy:

  • Następujący komunikat o błędzie jest rejestrowany w dziennikach aplikacji i usług>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin w Podgląd zdarzeń:

    Automatyczne rejestrowanie MDM: niepowodzenie (nieznany kod błędu Win32: 0x8018002a)

  • Następujący komunikat o błędzie jest rejestrowany w dziennikach aplikacji i usług>>Microsoft Windows>Entra ID>Operational log w Podgląd zdarzeń:

    Błąd: 0xCAA2000C Żądanie wymaga interakcji z użytkownikiem.
    Kod: interaction_required
    Opis: AADSTS50076: ze względu na zmianę konfiguracji wprowadzoną przez administratora lub z powodu przeniesienia do nowej lokalizacji należy użyć uwierzytelniania wieloskładnikowego w celu uzyskania dostępu.

Ten problem występuje, gdy uwierzytelnianie wieloskładnikowe (MFA) jest wymuszane. Uniemożliwia to agentowi klienta programu Configuration Manager zarejestrowanie urządzenia przy użyciu poświadczeń zalogowanego użytkownika.

Uwaga 16.

Istnieje różnica między włączeniem uwierzytelniania wieloskładnikowego i wymuszonym. Aby uzyskać więcej informacji na temat różnicy, zobacz Microsoft Entra multifactor authentication user states (Stany użytkowników uwierzytelniania wieloskładnikowego firmy Microsoft). Ten scenariusz działa przez włączenie uwierzytelniania wieloskładnikowego, ale nie jest wymuszane uwierzytelnianie wieloskładnikowe.

Aby rozwiązać ten problem, użyj jednej z następujących metod:

Nie można zsynchronizować urządzeń po automatycznej rejestracji

Począwszy od programu Configuration Manager w wersji 1906, współzarządzane urządzenie z systemem Windows 10 w wersji 1803 lub nowszej automatycznie rejestruje się w usłudze Microsoft Intune na podstawie tokenów urządzeń firmy Microsoft Entra. Jednak nie można zsynchronizować urządzenia i zostanie wyświetlony następujący komunikat o błędzie w obszarze Ustawienia>Konta>uzyskaj dostęp do miejsca pracy lub szkoły:

Synchronizacja nie powiodła się w pełni, ponieważ nie można zweryfikować poświadczeń. Wybierz pozycję Synchronizuj, aby się zalogować, i spróbuj ponownie.

Zrzut ekranu przedstawiający komunikat Synchronizacja nie został w pełni pomyślny.

W przypadku wystąpienia tego problemu w dzienniku aplikacji i usług jest rejestrowany następujący komunikat o błędzie: Urządzenia>z systemem Microsoft>WindowsManagement-Enterprise-Diagnostic-Provider>>Admin log w Podgląd zdarzeń:

Sesja MDM: nie można pobrać tokenu entra firmy Microsoft dla tokenu użytkownika sesji synchronizacji: (Nieznany kod błędu Win32: 0xcaa2000c) Token urządzenia: (Nieprawidłowa funkcja).

Następujący komunikat o błędzie jest rejestrowany w dziennikach aplikacji i usług>>Microsoft Windows>Entra ID>Operational log w Podgląd zdarzeń:

Błąd: 0xCAA2000C Żądanie wymaga interakcji z użytkownikiem.
Kod: interaction_required
Opis: AADSTS50076: ze względu na zmianę konfiguracji wprowadzoną przez administratora lub z powodu przeniesienia do nowej lokalizacji należy użyć uwierzytelniania wieloskładnikowego w celu uzyskania dostępu.

Ten problem występuje, gdy uwierzytelnianie wieloskładnikowe jest włączone lub wymuszone albo zasady dostępu warunkowego firmy Microsoft Entra, które wymagają uwierzytelniania wieloskładnikowego, są stosowane do wszystkich aplikacji w chmurze. Uniemożliwia skojarzenie użytkownika z urządzeniem w portalu.

Zrzut ekranu przedstawiający uniemożliwienie skojarzenia użytkownika.

Aby rozwiązać ten problem, użyj jednej z następujących metod:

  • Jeśli uwierzytelnianie wieloskładnikowe jest włączone lub wymuszone:
  • Jeśli są używane zasady dostępu warunkowego firmy Microsoft Entra, wyklucz aplikację Microsoft Intune z zasad, które wymagają uwierzytelniania wieloskładnikowego, aby zezwolić na synchronizację urządzeń przy użyciu poświadczeń użytkownika.

Nie można zarejestrować urządzenia hybrydowego z systemem Windows 10 dołączonego do usługi Microsoft Entra w usłudze Intune z błędem 0x800706D9 lub 0x80180023

W przypadku wystąpienia tego problemu zazwyczaj w dzienniku aplikacji i usług w dzienniku>urządzenia z systemem Microsoft>WindowsManagement-Enterprise-Diagnostic-Provider>>Admin log w Podgląd zdarzeń jest wyświetlany następujący komunikat o błędzie:

Rejestracja w rozwiązaniu MDM: konfiguracja klienta OMA-DM nie powiodła się. RAWResult: (0x800706D9) Wynik: (Nieznany kod błędu Win32: 0x80180023).
Rejestracja w rozwiązaniu MDM: aprowizowanie nie powiodło się. Wynik: (Nieznany kod błędu Win32: 0x80180023).
Rejestracja w rozwiązaniu MDM: niepowodzenie (nieznany kod błędu Win32: 0x80180023)
Automatyczne rejestrowanie mdm: poświadczenie urządzenia (0x80180023), niepowodzenie (%2)
Wyrejestrowywanie w rozwiązaniu MDM: błąd podczas wysyłania alertu wyrejestrowywania do serwera. Wynik: (Niepoprawna funkcja.).
Wyrejestrowywanie w rozwiązaniu MDM: zmiana typu uruchamiania dmwappushservice na uruchomienie żądania nie powiodła się. Wynik: (Określona usługa nie istnieje jako zainstalowana usługa).

Ten problem występuje, jeśli dmwappushservice w urządzeniu brakuje usługi. Aby sprawdzić, uruchom polecenie services.msc , aby wyszukać tę usługę.

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Na urządzeniu roboczym z uruchomioną tą samą wersją systemu Windows 10 co urządzenie, którego dotyczy problem, wyeksportuj następujący klucz rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

  2. Zaloguj się do urządzenia, którego dotyczy problem, jako administrator lokalny, skopiuj plik .reg do urządzenia, którego dotyczy problem, a następnie scal go z rejestrem lokalnym.

  3. Uruchom ponownie urządzenie, którego dotyczy problem.

  4. Usuń starą rejestrację firmy Microsoft Entra, a następnie zaktualizuj zasady grupy.

  5. Ponownie uruchom urządzenie, którego dotyczy problem. Urządzenie powinno być w stanie automatycznie zarejestrować się w usłudze Microsoft Entra ID i zarejestrować je w usłudze Intune.

Dołączanie hybrydowe firmy Microsoft Entra kończy się niepowodzeniem w domenie zarządzanej z powodu błędu 0x801c03f2

Po uruchomieniu dsregcmd /status z poziomu wiersza polecenia na urządzeniu można zobaczyć, że jest przyłączona do domeny, ale nie przyłączona hybrydowa firma Microsoft Entra. Następujący komunikat o błędzie jest rejestrowany w >dzienniku administratora rejestracji>urządzeń użytkownika systemu Microsoft>Windows>w Podgląd zdarzeń:

Odpowiedź serwera: {"ErrorType":"DirectoryError","Message":"Nie można odnaleźć certyfikatu użytkownika klucza publicznego w obiekcie urządzenia o identyfikatorze <DeviceID>".

Ten problem występuje w jednej z następujących sytuacji:

  • Brak obiektu urządzenia w identyfikatorze Entra firmy Microsoft.
  • Atrybut Usercertificate nie ma certyfikatu urządzenia w lokalna usługa Active Directory lub Identyfikator Entra firmy Microsoft.

Aby rejestracja urządzenia z systemem Windows 10 działała w domenie zarządzanej, najpierw należy zsynchronizować obiekt urządzenia. Proces rejestracji działa w następujący sposób:

  • Urządzenie z systemem Windows 10 jest uruchamiane po raz pierwszy po dołączeniu do domeny lokalnej.
  • Rejestracja urządzenia jest wyzwalana i tworzone jest żądanie certyfikatu.
  • Po utworzeniu żądania klucz publiczny certyfikatu jest publikowany w lokalnej usłudze AD dla obiektu urządzenia. Spowoduje to zaktualizowanie atrybutu Usercertificate w obiektach urządzenia. Jednocześnie podpisane żądanie rejestracji urządzenia jest wysyłane do identyfikatora Entra firmy Microsoft.
  • Rejestracja kończy się niepowodzeniem, ponieważ identyfikator Entra firmy Microsoft nie może uwierzytelnić obiektu urządzenia ani zweryfikować podpisanego żądania.
  • Przy następnym uruchomieniu cyklu synchronizacji znajduje obiekt urządzenia, który ma Usercertificate wypełniony atrybut i synchronizuje obiekt urządzenia z identyfikatorem Entra firmy Microsoft.
  • Następnym razem, gdy usługa rejestracji zostanie wyzwolona (co godzinę), urządzenie wyśle nowe żądanie podpisane przez klucz prywatny.
  • Platforma Azure weryfikuje podpis żądania przy użyciu certyfikatu publicznego otrzymanego z domeny lokalnej podczas cyklu synchronizacji. Jeśli identyfikator Entra firmy Microsoft może zweryfikować podpis w żądaniu, rejestracja urządzenia zakończy się pomyślnie.

Aby rozwiązać ten problem, wykonaj poniższe kroki:

  1. W lokalnej usłudze AD upewnij się, że Usercertificate atrybut jest wypełniony i ma prawidłowy certyfikat.

  2. Sprawdź obiekt urządzenia zaplecza i upewnij się, że Usercertificate atrybut istnieje i został wypełniony.

  3. Jeśli brakuje certyfikatu lub ktoś usunął certyfikat z lokalnej usługi AD (co z kolei spowoduje usunięcie certyfikatu z identyfikatora Entra firmy Microsoft), rejestracja urządzenia zakończy się niepowodzeniem. Aby rozwiązać ten problem, wykonaj następujące czynności na urządzeniu klienckim:

    1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie:

      dsregcmd /leave

    2. Uruchom polecenie certlm.msc , aby otworzyć magazyn certyfikatów komputera lokalnego.

    3. Upewnij się, że certyfikat komputera wystawiony przez program MS-Organization-Access został usunięty.

    4. Uruchom ponownie urządzenie klienckie, aby wyzwolić nową rejestrację urządzenia.

    5. Po ponownym uruchomieniu urządzenia upewnij się, że nowy klucz publiczny certyfikatu został zaktualizowany w obiekcie urządzenia w lokalnej usłudze AD. Jeśli istnieje wiele kontrolerów domeny, upewnij się, że atrybut jest replikowany do wszystkich kontrolerów domeny.

    6. Wyzwalanie synchronizacji różnicowej na serwerze Microsoft Entra Connect.

    7. Po zakończeniu synchronizacji można wyzwolić rejestrację urządzenia, uruchamiając ponownie klienta, uruchamiając dsregcmd /debug polecenie lub uruchamiając zaplanowane zadanie Automatic-Device-Join w obszarze Dołączanie w miejscu pracy.

Automatyczna rejestracja urządzenia kończy się niepowodzeniem z powodu błędu 0x80280036

W przypadku wystąpienia tego problemu w dzienniku administratora rejestracji>urządzeń użytkowników systemu Microsoft>Windows>w Podgląd zdarzeń jest rejestrowany następujący komunikat o błędzie:>

DeviceRegistrationApi::BeginJoin nie powiodło się z kodem błędu: 0x80280036

Opis rozwiązania:
Inicjowanie żądania sprzężenia nie powiodło się z kodem zakończenia: Moduł TPM próbuje wykonać polecenie dostępne tylko w trybie FIPS.

Ten problem występuje, jeśli mikroukład modułu TPM na urządzeniu klienckim ma włączony tryb FIPS. Tryb FIPS nie jest obsługiwany ani zalecany w przypadku rejestracji urządzeń platformy Azure. Aby uzyskać więcej informacji, zobacz Dlaczego nie zalecamy już korzystania z trybu FIPS.

Dołączanie hybrydowe firmy Microsoft Entra kończy się niepowodzeniem z powodu błędu 0x80090016

Rejestracja hybrydowego urządzenia z systemem Windows 10 firmy Microsoft kończy się niepowodzeniem i zostanie wyświetlony następujący komunikat o błędzie:

Wystąpił błąd. Upewnij się, że używasz prawidłowych informacji logowania i że twoja organizacja korzysta z tej funkcji. Możesz spróbować to zrobić ponownie lub skontaktować się z administratorem systemu przy użyciu kodu błędu 0x80090016

Komunikat o błędzie 0x80090016 to Keyset nie istnieje. Oznacza to, że rejestracja urządzenia nie może zapisać klucza urządzenia, ponieważ klucze modułu TPM nie były dostępne.

Ten problem występuje, jeśli system Windows nie jest właścicielem modułu TPM. Począwszy od systemu Windows 10, system operacyjny automatycznie inicjuje i przejmuje własność modułu TPM. Jeśli jednak ten proces zakończy się niepowodzeniem, system Windows nie będzie właścicielem i spowoduje to problem.

Aby rozwiązać ten problem, wyczyść moduł TPM i uruchom ponownie urządzenie klienckie. Aby wyczyścić moduł TPM, wykonaj następujące kroki:

  1. Otwórz aplikację Zabezpieczenia Windows.

  2. Wybierz pozycję Zabezpieczenia urządzenia.

  3. Wybierz pozycję Szczegóły procesora zabezpieczeń.

  4. Wybierz pozycję Rozwiązywanie problemów z procesorem zabezpieczeń.

  5. Kliknij pozycję Wyczyść moduł TPM.

    Ważne

    Przed wyczyszczeniem modułu TPM należy pamiętać o następujących kwestiach:

    • Wyczyszczenie modułu TPM może spowodować utratę danych. Utracisz wszystkie utworzone klucze skojarzone z modułem TPM i danymi chronionymi przez te klucze, takie jak wirtualna karta inteligentna, numer PIN logowania lub klucze funkcji BitLocker.
    • Jeśli funkcja BitLocker jest włączona na urządzeniu, przed wyczyszczeniem modułu TPM upewnij się, że funkcja BitLocker została wyłączona.
    • Upewnij się, że masz metodę tworzenia kopii zapasowej i odzyskiwania dla wszystkich danych chronionych lub zaszyfrowanych przez moduł TPM.

  6. Uruchom ponownie urządzenie po wyświetleniu monitu.

    Uwaga 16.

    Podczas ponownego uruchamiania interfejs UEFI może zostać wyświetlony monit o naciśnięcie przycisku w celu potwierdzenia, że chcesz wyczyścić moduł TPM. Po zakończeniu ponownego uruchamiania moduł TPM zostanie automatycznie przygotowany do użycia przez system Windows 10.

Po ponownym uruchomieniu urządzenia dołączanie hybrydowe firmy Microsoft Entra powinno zakończyć się pomyślnie. Aby to sprawdzić, uruchom dsregcmd /status polecenie w wierszu polecenia. Następujący wynik wskazuje pomyślne sprzężenia:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z modułem TPM.

Więcej informacji

Aby uzyskać więcej informacji na temat rozwiązywania problemów ze współzarządzaniem, zobacz następujące artykuły:

Aby uzyskać więcej informacji na temat współzarządzania w usłudze Intune i programie Configuration Manager, zobacz następujące artykuły: