Solucionar problemas de cogerenciamento: registrar automaticamente dispositivos gerenciados por Configuration Manager existentes em Intune

Este artigo ajuda você a entender e solucionar problemas que você pode encontrar ao configurar o cogerenciamento registrando automaticamente dispositivos Configuration Manager gerenciados em Intune.

Nesse cenário, você pode continuar a gerenciar Windows 10 dispositivos usando Configuration Manager ou mover seletivamente cargas de trabalho para Microsoft Intune conforme desejar. Para obter mais informações sobre como configurar cargas de trabalho, consulte Dica de suporte: Configurando cargas de trabalho em um ambiente cogerenciado.

Antes de começar

Antes de iniciar a solução de problemas, é importante coletar algumas informações básicas sobre o problema e verificar se você segue todas as etapas de configuração necessárias. Ele ajuda você a entender melhor o problema e reduzir o tempo para encontrar uma resolução. Para fazer isso, siga esta lista de verificação de perguntas pré-solução de problemas:

• Você tinha as permissões e funções necessárias para configurar o cogerenciamento?
• Qual Microsoft Entra opção de identidade híbrida você selecionou?
• Qual é a autoridade de MDM atual?
• Você instalou e configurou Microsoft Entra Connect?
• Você atribuiu uma licença P1 ou P2 Microsoft Entra ID ao UPN usado para configuração?
• Você atribuiu licenças Intune aos usuários?
• Você configurou Microsoft Entra junção híbrida para domínios gerenciados ou domínios federados?
• Você configurou as configurações do agente cliente Configuration Manager para Microsoft Entra junção híbrida?
• Você configurou o registro automático em seu locatário Intune?
• Você habilitou o cogerenciamento em Configuration Manager?

A maioria dos problemas ocorre porque uma ou mais dessas etapas não foram concluídas. Se você descobrir que uma etapa foi ignorada ou não foi concluída com êxito, marcar os detalhes de cada etapa ou confira o tutorial a seguir: Habilitar o cogerenciamento para clientes Configuration Manager existentes.

Use o seguinte arquivo de log em dispositivos Windows 10 para solucionar problemas de cogerenciamento no cliente:

%WinDir%\CCM\logs\CoManagementHandler.log

Solução de problemas de configuração de Microsoft Entra híbrida

Se você estiver enfrentando problemas que afetam Microsoft Entra identidade híbrida ou Microsoft Entra Connect, consulte os seguintes guias de solução de problemas:

• Solucionar problemas de instalação do Microsoft Entra Connect
• Solucionar problemas de erros durante a sincronização do Connect Microsoft Entra
• Solucionar problemas de sincronização de hash de senha com Microsoft Entra Connect Sync
• Solucionar problemas Microsoft Entra logon único contínuo
• Solucionar problemas Microsoft Entra autenticação de passagem
• Solucionar problemas de logon único com Serviços de Federação do Active Directory (AD FS)

Se você estiver enfrentando problemas que afetam Microsoft Entra junção híbrida para domínios gerenciados ou domínios federados, consulte os seguintes guias de solução de problemas:

• Solução de problemas Microsoft Entra dispositivos híbridos ingressados
• Solução de problemas de dispositivos usando o comando dsregcmd

Problemas comuns

Os clientes não receberam a política do ponto de gerenciamento Configuration Manager para iniciar o processo de registro com Microsoft Entra ID e Intune

Esse problema ocorre devido a um problema em Configuration Manager e não Intune. Você pode usar os arquivos de log do cliente para solucionar esses problemas.

O Configuration Manager cliente está instalado. No entanto, o dispositivo não está se registrando com Microsoft Entra ID e nenhum erro é visto

Esse problema geralmente ocorre porque as configurações Configuration Manager agente cliente não estão configuradas para direcionar os clientes a se registrarem.

Para corrigir o problema, verifique se você segue as etapas em Configurar Configurações do Cliente para direcionar o registro de clientes com Microsoft Entra ID.

O Configuration Manager cliente é instalado e o dispositivo é registrado com êxito com Microsoft Entra ID. No entanto, o dispositivo não está registrado automaticamente no Intune e nenhum erro é visto

Esse problema geralmente ocorre quando o registro automático é configurado incorretamente em seu locatário Intune em Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

Para corrigir o problema, siga as etapas em Configurar o registro automático de dispositivos para Intune.

Você não pode localizar o nó de cogerenciamento em Administração > Serviços de Nuvem no console Configuration Manager

Esse problema ocorrerá se sua versão do Configuration Manager for anterior à versão 1906.

Para corrigir o problema, atualize Configuration Manager para a versão 1906 ou uma versão posterior.

Microsoft Entra dispositivos híbridos ingressados não registram e geram 0x8018002a de erro

Quando esse problema ocorre, você também observa os seguintes sintomas:

• A seguinte mensagem de erro é registrada nos Logs de Aplicativos e Serviços>Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administração log no Visualizador de Eventos:>

  Registro automático do MDM: falha (código de erro win32 desconhecido: 0x8018002a)

• A seguinte mensagem de erro está registrada nos Logs de Aplicativos e Serviços>Do Microsoft>Windows>Microsoft Entra ID>Operational no Visualizador de Eventos:

  Erro: 0xCAA2000C A solicitação requer interação do usuário.
  Código: interaction_required
  Descrição: AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você mudou para um novo local, você deve usar a autenticação multifator para acessar.

Esse problema ocorre quando a MFA (autenticação multifator) é imposta. Ele impede que o agente cliente Configuration Manager registre o dispositivo usando as credenciais de usuário registradas.

Observação

Há uma diferença entre ter mfa habilitada e imposta. Para obter mais informações sobre a diferença, consulte Microsoft Entra estados de usuário de autenticação multifator. Esse cenário funciona tendo o MFA Habilitado, mas não tendo o MFA Imposto.

Para corrigir o problema, use um dos seguintes métodos:

• Defina o MFA como Habilitado , mas não Imposto. Para obter mais informações, consulte Configurar autenticação multifator.
• Desabilitar temporariamente a MFA durante o registro em IPs confiáveis.

Dispositivos falham na sincronização após o registro automático

A partir Configuration Manager versão 1906, um dispositivo cogerenciado que executa Windows 10 versão 1803 ou uma versão posterior se inscreve automaticamente no serviço Microsoft Intune com base em seus tokens de dispositivo Microsoft Entra. No entanto, o dispositivo não é sincronizado e você recebe a seguinte mensagem de erro notrabalho ou na escola Acesso deContas> de Configurações>:

A sincronização não foi totalmente bem-sucedida porque não conseguimos verificar suas credenciais. Selecione Sincronizar para entrar e tente novamente.

Quando esse problema ocorre, a seguinte mensagem de erro é registrada em Logs de Aplicativos e Serviços>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administração fazer logon no Visualizador de Eventos:

Sessão MDM: falha ao obter Microsoft Entra Token para a sessão de sincronização Token de usuário: (código de erro win32 desconhecido: 0xcaa2000c) Token de dispositivo: (função incorreta).

A seguinte mensagem de erro está registrada nos Logs de Aplicativos e Serviços>Do Microsoft>Windows>Microsoft Entra ID>Operational no Visualizador de Eventos:

Erro: 0xCAA2000C A solicitação requer interação do usuário.
Código: interaction_required
Descrição: AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você mudou para um novo local, você deve usar a autenticação multifator para acessar.

Esse problema ocorre quando o MFA está habilitado ou imposto ou Microsoft Entra políticas de acesso condicional que exigem MFA são aplicadas a todos os aplicativos de nuvem. Ele impede a associação do usuário com o dispositivo no portal.

Para corrigir o problema, use um dos seguintes métodos:

• Se o MFA estiver habilitado ou imposto:
  • Defina mfa como desabilitado. Para obter mais informações, confira Desativar MFA herdado por usuário.
  • Ignorar a MFA usando IPs confiáveis.
• Se Microsoft Entra políticas de Acesso Condicional forem usadas, exclua o aplicativo Microsoft Intune das políticas que exigem que o MFA permita a sincronização do dispositivo usando as credenciais do usuário.

Um Microsoft Entra dispositivo de Windows 10 híbrido ingressado não consegue se registrar em Intune com 0x800706D9 de erro ou 0x80180023

Quando esse problema ocorre, normalmente você vê a seguinte mensagem de erro nos Logs de Aplicativos e Serviços>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administração fazer logon no Visualizador de Eventos:

Registro de MDM: falha na configuração do cliente OMA-DM. RAWResult: (0x800706D9) Resultado: (código de erro win32 desconhecido: 0x80180023).
Registro MDM: falha no provisionamento. Resultado: (código de erro win32 desconhecido: 0x80180023).
Registro de MDM: falha (código de erro win32 desconhecido: 0x80180023)
Registro automático do MDM: credencial do dispositivo (0x80180023), falha (%2)
MDM Unenroll: erro ao enviar alerta unenroll para o servidor. Resultado: (Função incorreta.).
MDM Unenroll: falha ao alterar o tipo de inicialização de dmwappushservice para início da demanda. Resultado: (O serviço especificado não existe como um serviço instalado.)

Esse problema ocorrerá se o dmwappushservice serviço estiver ausente do dispositivo. Para verificar, execute services.msc para procurar esse serviço.

Para corrigir esse problema, execute as seguintes etapas:

1. Em um dispositivo de trabalho que executa a mesma versão do Windows 10 que o dispositivo afetado, exporte a seguinte chave do registro:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Faça logon no dispositivo afetado como um administrador local, copie o arquivo .reg para o dispositivo afetado e mesclá-lo com o registro local.

3. Reinicie o dispositivo afetado.

4. Exclua o registro de Microsoft Entra antigo e atualize Política de Grupo.

5. Reinicie o dispositivo afetado novamente. O dispositivo deve ser capaz de se registrar com Microsoft Entra ID e registrar-se no Intune automaticamente.

Microsoft Entra junção híbrida falha em um domínio gerenciado com 0x801c03f2 de erro

Ao executar dsregcmd /status a partir de um prompt de comando no dispositivo, você pode ver que ele é ingressado no domínio, mas não Microsoft Entra híbrido ingressado. A seguinte mensagem de erro está registrada em Logs de Aplicativos e Serviços>Microsoft>Windows>Registro>do Dispositivo de Usuário Administração fazer logon no Visualizador de Eventos:

A resposta do servidor foi: {"ErrorType":"DirectoryError", "Message":"O certificado de usuário de chave pública não é encontrado no objeto do dispositivo com id <DeviceID>".

Esse problema ocorre em uma das seguintes situações:

• O objeto do dispositivo está ausente no Microsoft Entra ID.
• O Usercertificate atributo não tem o certificado do dispositivo no Active Directory local ou Microsoft Entra ID.

Para que Windows 10 registro de dispositivo funcione em um domínio gerenciado, o objeto do dispositivo deve ser sincronizado primeiro. O processo de registro funciona da seguinte maneira:

• O dispositivo Windows 10 começa pela primeira vez depois que ele é ingressado no domínio local.
• O registro do dispositivo é disparado e uma solicitação de certificado é criada.
• Quando a solicitação é criada, a chave pública do certificado é publicada no AD local do objeto do dispositivo. Isso atualiza o Usercertificate atributo nos objetos do dispositivo. Ao mesmo tempo, a solicitação de registro de dispositivo assinada é enviada para Microsoft Entra ID.
• O registro falha porque Microsoft Entra ID não pode autenticar o objeto do dispositivo nem verificar a solicitação assinada.
• Na próxima vez que o ciclo de sincronização for executado, ele encontra o objeto do dispositivo que tem o Usercertificate atributo preenchido e sincroniza o objeto do dispositivo com Microsoft Entra ID.
• Na próxima vez que o serviço de registro for acionado (isso é executado a cada hora), o dispositivo enviará uma nova solicitação assinada pela chave privada.
• O Azure verifica a assinatura na solicitação usando o certificado público recebido do domínio local durante o ciclo de sincronização. Se Microsoft Entra ID puder verificar a assinatura na solicitação, o registro do dispositivo será bem-sucedido.

Para corrigir o problema, execute estas etapas:

1. No AD local, verifique se o Usercertificate atributo está preenchido e tem o certificado correto.

2. Verifique o objeto de dispositivo de back-end e verifique se o Usercertificate atributo existe e é preenchido.

3. Se o certificado estiver ausente ou alguém excluir o certificado do AD local (que, por sua vez, exclui o certificado de Microsoft Entra ID), o registro do dispositivo falhará. Para corrigir esse problema, faça o seguinte no dispositivo cliente:

   1. Abra uma janela de Prompt de Comando elevada e execute o seguinte comando:

      dsregcmd /leave
      

   2. Execute certlm.msc para abrir o repositório de certificados de computador local.

   3. Verifique se o certificado de computador emitido pela MS-Organization-Access está excluído.

   4. Reinicie o dispositivo cliente para disparar um novo registro de dispositivo.

   5. Depois que o dispositivo for reiniciado, verifique se a nova chave pública do certificado será atualizada no objeto do dispositivo no AD local. Se houver vários controladores de domínio, verifique se o atributo será replicado para todos os controladores de domínio.

   6. Dispare uma sincronização delta no servidor Microsoft Entra Connect.

   7. Depois que a sincronização for concluída, você poderá disparar o registro do dispositivo reiniciando o cliente, executando o dsregcmd /debug comando ou executando a tarefa agendada Automatic-Device-Join em Workplace Join.

O registro automático do dispositivo falha com 0x80280036 de erro

Quando esse problema ocorre, a seguinte mensagem de erro é registrada em Logs de Aplicativos e Serviços>Registro> do Dispositivo de Usuáriodo Microsoft>Windows>Administração fazer logon no Visualizador de Eventos:

DeviceRegistrationApi::BeginJoin falhou com o código de erro: 0x80280036

Descrição:
A inicialização da solicitação de junção falhou com o código de saída: o TPM está tentando executar um comando disponível somente quando estiver no modo FIPS.

Esse problema ocorrerá se o chip TPM no dispositivo cliente tiver o modo FIPS habilitado. O modo FIPS não tem suporte nem é recomendado para o registro de dispositivo do Azure. Para obter mais informações, consulte Por que não estamos mais recomendando o "modo FIPS".

Microsoft Entra junção híbrida falha com 0x80090016 de erro

O registro de Microsoft Entra híbrida de um dispositivo Windows 10 falha e você recebe a seguinte mensagem de erro:

Algo deu errado. Confirme se está usando as informações de entrada corretas e se sua organização usa esse recurso. Você pode tentar fazer isso novamente ou entrar em contato com o administrador do sistema com o código de erro 0x80090016

A mensagem de erro do 0x80090016 é que o conjunto de chaves não existe. Isso significa que o registro do dispositivo não pôde salvar a chave do dispositivo porque as chaves TPM não estavam acessíveis.

Esse problema ocorrerá se o Windows não for o proprietário do TPM. Começando com Windows 10, o sistema operacional inicializa e assume automaticamente a propriedade do TPM. No entanto, se esse processo falhar, o Windows não será o proprietário e resultará no problema.

Para corrigir esse problema, desmarque o TPM e reinicie o dispositivo cliente. Para limpar o TPM, siga estas etapas:

1. Abra o aplicativo Segurança do Windows.

2. Selecione Segurança do dispositivo.

3. Selecione Detalhes do processador de segurança.

4. Selecione Solução de problemas do processador de segurança.

5. Clique em Limpar TPM.

   Importante

   Antes de limpar o TPM, esteja ciente do seguinte:

   • Limpar o TPM pode resultar em perda de dados. Você perderá todas as chaves criadas associadas ao TPM e aos dados protegidos por essas chaves, como uma cartão inteligente virtual, um PIN de logon ou chaves BitLocker.
   • Se o BitLocker estiver habilitado no dispositivo, certifique-se de desabilitar o BitLocker antes de limpar o TPM.
   • Verifique se você tem um método de backup e recuperação para todos os dados protegidos ou criptografados pelo TPM.

6. Reinicie o dispositivo quando você for solicitado.

   Observação

   Durante a reinicialização, você pode ser solicitado pela UEFI a pressionar um botão para confirmar se deseja limpar o TPM. Depois que a reinicialização for concluída, o TPM será preparado automaticamente para uso por Windows 10.

Após a reinicialização do dispositivo, Microsoft Entra junção híbrida deve ser bem-sucedida. Para verificar, execute dsregcmd /status o comando em um prompt de comando. O resultado a seguir indica uma junção bem-sucedida:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Para obter mais informações, consulte Solucionar problemas do TPM.

Mais informações

Para obter mais informações sobre como solucionar problemas de cogerenciamento, confira os seguintes artigos:

• Solução de problemas de cogerenciamento: Bootstrap com provisionamento moderno
• Solucionar problemas de cargas de trabalho de cogerenciamento

Para obter mais informações sobre Intune e Configuration Manager cogerenciamento, confira os seguintes artigos:

• Visão geral do cogerenciamento de Windows 10
• Introdução: caminhos para o cogerenciamento
• Inícios rápidos para o cogerenciamento
• Tutorial: habilite o cogerenciamento para clientes existentes do Configuration Manager