Solução de problemas de dispositivos híbridos ingressados no nível inferior do Microsoft Entra
Este aplicativo é aplicável apenas aos seguintes dispositivos:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Para o Windows 10 ou versões mais recentes e o Windows Server 2016, confira Solução de problemas do Microsoft Entra híbrido ingressado em dispositivos do Windows 10 e do Windows Server 2016.
Este artigo pressupõe que você configurou os dispositivos ingressados híbridos do Microsoft Entra para dar suporte aos seguintes cenários:
- Acesso Condicional baseado no dispositivo
Este artigo fornece orientação para solução de possíveis problemas.
O que você deve saber:
- O ingresso híbrido do Microsoft Entra para os dispositivos Windows de nível inferior funciona de forma diferente do que no Windows 10 ou mais recente. Muitos clientes não percebem que precisam do AD FS (para domínios federados) ou do SSO contínuo configurado (para domínios gerenciados).
- O SSO Contínuo não funciona no modo de navegação particular em navegadores Firefox e Microsoft Edge. Também não funcionará no Internet Explorer se o navegador estiver em execução no modo de Proteção Aprimorada ou se a Configuração de Segurança Aprimorada estiver habilitada.
- Para clientes com domínios federados, se o SCP (Ponto de Conexão do Serviço) tiver sido configurado de modo a apontar para o nome de domínio gerenciado (por exemplo, contoso.onmicrosoft.com, em vez de contoso.com), o ingresso no Microsoft Entra híbrido de dispositivos Windows de nível inferior não funcionará.
- O mesmo dispositivo físico é exibido várias vezes no Microsoft Entra ID quando vários usuários de domínio entram nos dispositivos de nível inferior ingressados no Microsoft Entra híbrido. Por exemplo, se jdoe e jharnett entrarem no dispositivo, um registro separado (DeviceID) será criado para cada um desses usuários na guia de informações do USUÁRIO.
- Você também pode obter várias entradas para um dispositivo na guia Informações do usuário devido a uma reinstalação do sistema operacional ou a um novo registro manual.
- O registro inicial / junção de dispositivos é configurado para realizar uma tentativa de login ou bloqueio / desbloqueio. Pode haver um atraso de cinco minutos disparado por uma tarefa do agendador de tarefas.
- Certifique-se de que o KB4284842 está instalado no Windows 7 SP1 ou no Windows Server 2008 R2 SP1. Essa atualização evita futuras falhas de autenticação devido à perda de acesso do cliente a chaves protegidas após a alteração da senha.
- O ingresso híbrido no Microsoft Entra pode falhar depois que o UPN de um usuário for alterado, interrompendo o processo de autenticação do Seamless SSO. Durante o processo de ingresso, você poderá ver que ele ainda está enviando o UPN anterior para o Microsoft Entra ID, a menos que os cookies da sessão do navegador sejam limpos ou que o usuário se desconecte explicitamente e remova o UPN antigo.
Etapa 1: Recuperar o status do registro
ara verificar o status do registro:
- Faça logon com a conta de usuário que executou a união híbrida do Microsoft Entra.
- Abra o prompt de comando
- Digite
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Esse comando exibe uma caixa de diálogo que fornece detalhes sobre o status do ingresso.
Etapa 2: Avaliar o status de ingresso no Microsoft Entra híbrido
Se o dispositivo não estiver ingressado no Microsoft Entra híbrido, você pode tentar ingressá-lo no Microsoft Entra híbrido clicando no botão "Ingressar". Se a tentativa de fazer o ingresso no Microsoft Entra híbrido falhar, os detalhes sobre a falha serão mostrados.
As tarefas mais comuns são:
Um AD FS ou Microsoft Entra configurado incorretamente ou problemas de rede
- O Autoworkplace.exe não pode autenticar silenciosamente com o Microsoft Entra ID ou o AD FS. Esse problema pode ser causado pela ausência do AD FS ou por sua configuração incorreta (para domínios federados), ou pela ausência de logon único contínuo do Microsoft Entra ou sua configuração incorreta (para domínios gerenciados) ou problemas de rede.
- É possível que a MFA (autenticação multifator) esteja habilitada/configurada para o usuário e WIAORMULTIAUTHN não esteja configurado no servidor AD FS.
- Outra possibilidade é que a página de descoberta de domínio doméstico (HRD) esteja aguardando a interação do usuário, o que evita que o autoworkplace.exe solicite silenciosamente um token.
- É possível que o AD FS e as URLs do Microsoft Entra estejam ausentes na zona de intranet do IE no cliente.
- É possível que haja problemas de conectividade de rede que estejam impedindo que o autoworkplace.exe alcance o AD FS ou as URLs do Microsoft Entra.
- O autoworkplace.exe exige que o cliente tenha uma linha de visão direta que vá do cliente até o controlador de domínio do AD local da organização, o que significa que o ingresso no Microsoft Entra híbrido só terá sucesso quando o cliente estiver conectado à intranet da organização.
- Se a organização usa o logon único contínuo do Microsoft Entra,
https://autologon.microsoftazuread-sso.com
não estará presente nas configurações de intranet do IE do dispositivo. - A configuração da Internet
Do not save encrypted pages to disk
foi verificada.
Você não está conectado como um usuário de domínio
Há algumas razões diferentes pelas quais esse problema pode ocorrer:
- O usuário conectado não é um usuário de domínio (por exemplo, um usuário local). O ingresso no Microsoft Entra híbrido em dispositivos de nível inferior tem suporte apenas para usuários do domínio.
- O cliente não é capaz de se conectar a um controlador de domínio.
Uma cota foi atingida
O serviço não está respondendo
Também é possível encontrar informações de status no log de eventos em: Log de Aplicativos e Serviços\Microsoft-Workplace Join
As causas mais comuns para a falha do ingresso no Microsoft Entra híbrido são:
- O computador não está conectado à rede interna da organização nem a uma VPN com conexão ao controlador de domínio do AD local.
- Você está conectado ao computador com uma conta de computador local.
- Problemas de configuração do serviço:
- O servidor AD FS não está configurado para suportar o WIAORMULTIAUTHN.
- A floresta do seu computador não tem objeto de Ponto de Conexão de Serviço que aponte o seu nome de domínio verificado no Microsoft Entra ID
- Ou, caso seu domínio seja gerenciado, o SSO contínuo não foi configurado ou não está funcionando.
- Um usuário atingiu o limite de dispositivos.