Partilhar via


Resolução de problemas de dispositivos associados ao Microsoft Entra híbrido

Este artigo fornece orientações de solução de problemas para ajudá-lo a resolver possíveis problemas com dispositivos que executam o Windows 10 ou mais recente e o Windows Server 2016 ou mais recente.

O Microsoft Entra hybrid join suporta a atualização do Windows 10 de novembro de 2015 e posterior.

Para solucionar problemas de outros clientes Windows, consulte Solucionar problemas de dispositivos de nível inferior híbridos do Microsoft Entra.

Este artigo pressupõe que você tenha dispositivos associados híbridos do Microsoft Entra para oferecer suporte aos seguintes cenários:

Nota

Para solucionar os problemas comuns de registro de dispositivos, use a Ferramenta de Solução de Problemas de Registro de Dispositivo.

Solucionar problemas de falhas de associação

Passo 1: Recuperar o estado de associação

  1. Abra uma janela de Linha de Comandos como administrador.
  2. Escreva dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Passo 2: Avaliar o estado da associação

Revise os campos na tabela a seguir e verifique se eles têm os valores esperados:

Campo Valor esperado Description
DomainJoined SIM Este campo indica se o dispositivo está associado a um Ative Directory local.

Se o valor for NO, o dispositivo não poderá fazer a junção híbrida do Microsoft Entra.
WorkplaceJoined Não Este campo indica se o dispositivo está registado com o Microsoft Entra ID como um dispositivo pessoal (marcado como Ingressado no Local de Trabalho). Esse valor deve ser NO para um computador associado a um domínio que também seja associado híbrido do Microsoft Entra.

Se o valor for SIM, uma conta corporativa ou de estudante foi adicionada antes da conclusão da associação híbrida do Microsoft Entra. Nesse caso, a conta é ignorada quando você estiver usando o Windows 10 versão 1607 ou posterior.
AzureAdJoined SIM Este campo indica se o dispositivo está associado. O valor é SIM se o dispositivo for um dispositivo associado do Microsoft Entra ou um dispositivo associado híbrido do Microsoft Entra.

Se o valor for NO, a associação ao Microsoft Entra ID ainda não terminou.

Continue para as próximas etapas para solução de problemas adicionais.

Etapa 3: Localizar a fase em que a junção falhou e o código de erro

Para Windows 10 versão 1803 ou posterior

Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.

O campo "Fase de erro" indica a fase da falha de junção e "Client ErrorCode" indica o código de erro da operação de junção.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Para versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>de Dispositivo de Usuário do Microsoft>Windows.>
  2. Procure eventos com as seguintes IDs de evento: 304, 305 e 307.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 304 selecionado, as respetivas informações apresentadas e o respetivo código de erro e fase realçados.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 305 selecionado, as respetivas informações apresentadas e o respetivo código de erro realçado.

Etapa 4: Verifique possíveis causas e resoluções

Fase de pré-verificação

Possíveis razões para o insucesso:

  • O dispositivo não tem linha de visão para o controlador de domínio.
    • O dispositivo deve estar na rede interna da organização ou em uma rede virtual privada com uma linha de visão de rede para um controlador de domínio do Ative Directory local.

Fase de descoberta

Possíveis razões para o insucesso:

  • O objeto do ponto de conexão de serviço está configurado incorretamente ou não pode ser lido do controlador de domínio.
    • É necessário um objeto de ponto de conexão de serviço válido na floresta do AD, à qual o dispositivo pertence, que aponte para um nome de domínio verificado na ID do Microsoft Entra.
    • Para obter mais informações, consulte a seção "Configurar um ponto de conexão de serviço" do Tutorial: Configurar a associação híbrida do Microsoft Entra para domínios federados.
  • Falha ao se conectar e buscar os metadados de descoberta do ponto de extremidade de descoberta.
    • O dispositivo deve ser capaz de aceder https://enterpriseregistration.windows.net, no contexto do sistema, para descobrir os pontos finais de registo e autorização.
    • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
  • Falha ao se conectar ao ponto de extremidade de realm do usuário e fazer a descoberta de realm (somente Windows 10 versão 1809 e posterior).
    • O dispositivo deve ser capaz de acessar https://login.microsoftonline.com, no contexto do sistema, para fazer a descoberta de território para o domínio verificado e determinar o tipo de domínio (gerenciado ou federado).
    • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

Códigos de erro comuns:

Código de erro Razão Resolução
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Não é possível ler o objeto de ponto de conexão de serviço (SCP) e obter as informações de locatário do Microsoft Entra. Consulte a seção Configurar um ponto de conexão de serviço.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Falha de descoberta genérica. Falha ao obter os metadados de descoberta do serviço de replicação de dados (DRS). Para investigar mais, encontre o suberro nas próximas seções.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) A operação atingiu o tempo limite durante a execução da descoberta. Certifique-se de que https://enterpriseregistration.windows.net está acessível no contexto do sistema. Para obter mais informações, consulte a seção Requisitos de conectividade de rede.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Falha de descoberta de realm genérico. Falha ao determinar o tipo de domínio (gerenciado/federado) do STS. Para investigar mais, encontre o suberro nas próximas seções.

Códigos de suberro comuns:

Para localizar o código de suberro para o código de erro de descoberta, use um dos seguintes métodos.

Windows 10 versão 1803 ou posterior

Procure por "DRS Discovery Test" na seção "Dados de diagnóstico" da saída de status de junção. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para procurar o código de fase e de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>de Dispositivo de Usuário do Microsoft>Windows.>
  2. Procure o ID de evento 201.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 201 selecionado, as respetivas informações apresentadas e o respetivo código de erro realçado.

Erros de rede:

Código de erro Razão Resolução
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Não foi possível estabelecer conexão com o servidor. Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite geral da rede. Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) A pilha de rede não pôde decodificar a resposta do servidor. Verifique se o proxy de rede não está interferindo e modificando a resposta do servidor.

Erros HTTP:

Código de erro Razão Resolução
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) O objeto de ponto de conexão de serviço é configurado com a ID de locatário errada ou nenhuma assinatura ativa foi encontrada no locatário. Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Microsoft Entra correta e assinaturas ativas ou se o serviço está presente no locatário.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 do servidor DRS. O servidor está indisponível no momento. As futuras tentativas de associação serão, provavelmente, bem-sucedidas quando o servidor estiver novamente online.

Outros erros:

Código de erro Razão Resolução
E_INVALIDDATA (0x8007000d/-2147024883) O JSON de resposta do servidor não pôde ser analisado, provavelmente porque o proxy está retornando um HTTP 200 com uma página de autorização HTML. Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

Fase de autenticação

Este conteúdo aplica-se apenas a contas de domínio federado.

Razões para o insucesso:

  • Não é possível obter um token de acesso silenciosamente para o recurso DRS.
    • Os dispositivos Windows 10 e Windows 11 adquirem o token de autenticação do Serviço de Federação usando a autenticação integrada do Windows para um ponto de extremidade WS-Trust ativo. Para obter mais informações, consulte Configuração do Serviço de Federação.

Códigos de erro comuns:

Use os logs do Visualizador de Eventos para localizar o código de erro, o código de suberro, o código de erro do servidor e a mensagem de erro do servidor.

  1. No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>de Dispositivo de Usuário do Microsoft>Windows.>
  2. Procure o ID de evento 305.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 305 selecionado, as respetivas informações apresentadas e os códigos de erro e estado da ADAL realçados.

Erros de configuração:

Código de erro Razão Resolução
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) O protocolo de autenticação da Biblioteca de Autenticação do Azure AD (ADAL) não é WS-Trust. O provedor de identidade local deve oferecer suporte ao WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) O Serviço de Federação local não retornou uma resposta XML. Verifique se o ponto de extremidade do Metadata Exchange (MEX) está retornando um XML válido. Certifique-se de que o proxy não está interferindo e retornando respostas não xml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Não foi possível descobrir um ponto de extremidade para autenticação de nome de usuário/senha. Verifique as configurações do provedor de identidade local. Verifique se os pontos de extremidade WS-Trust estão habilitados e se a resposta MEX contém esses pontos de extremidade corretos.

Erros de rede:

Código de erro Razão Resolução
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Tempo limite geral da rede. Certifique-se de que https://login.microsoftonline.com está acessível no contexto do sistema. Certifique-se de que o provedor de identidade local esteja acessível no contexto do sistema. Para obter mais informações, veja Requisitos de conectividade da rede.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) A conexão com o ponto de extremidade de autorização foi abortada. Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) O certificado TLS (Transport Layer Security) (anteriormente conhecido como certificado SSL [Secure Sockets Layer]) enviado pelo servidor não pôde ser validado. Verifique a distorção de tempo do cliente. Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) A tentativa de conexão com https://login.microsoftonline.com falhou. Verifique a ligação de rede ao https://login.microsoftonline.com.

Outros erros:

Código de erro Razão Resolução
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) O token SAML do provedor de identidade local não foi aceito pelo Microsoft Entra ID. Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) A resposta do Server WS-Trust relatou uma exceção de falha e não conseguiu obter a asserção. Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Recebeu um erro ao tentar obter o token de acesso do ponto de extremidade do token. Procure o erro subjacente no log da ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Falha geral da ADAL. Procure o código de suberro ou o código de erro do servidor nos logs de autenticação.

Fase de adesão

Razões para o insucesso:

Procure o tipo de registo e o código de erro nas tabelas seguintes, dependendo da versão do Windows 10 que está a utilizar.

Windows 10 versão 1803 ou posterior

Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.

O campo "Tipo de registo" indica o tipo de adesão.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>de Dispositivo de Usuário do Microsoft>Windows.>
  2. Procure o ID de evento 204.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 204 selecionado e respetivo código de erro, estado H T T P e mensagem realçada.

Erros HTTP retornados do servidor DRS:

Código de erro Razão Resolução
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". Consulte o código de erro do servidor para possíveis motivos e resoluções.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Recebeu uma resposta de erro do DRS com ErrorCode: "AuthenticationError" e ErrorSubCode não é "DeviceNotFound". Consulte o código de erro do servidor para possíveis motivos e resoluções.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". Consulte o código de erro do servidor para possíveis motivos e resoluções.

Erros TPM:

Código de erro Razão Resolução
NTE_BAD_KEYSET (0x80090016/-2146893802) A operação TPM (Trusted Platform Module) falhou ou foi inválida. Este erro indica que o conjunto de chaves não existe. Este erro acontece quando o TPM é limpo nos sistemas ou quando há uma imagem sysprep incorreta.

Evite limpar o TPM nas configurações do BIOS ou do Windows. Se o TPM for limpo, os usuários talvez precisem se recuperar removendo e readicionando contas para corrigir o problema, especialmente quando tiverem várias contas WAM. Certifique-se de que a máquina a partir da qual a imagem sysprep foi criada não é o Microsoft Entra associado, o Microsoft Entra híbrido ou o Microsoft Entra registrado.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Erro TPM genérico. Desative o TPM em dispositivos com este erro. As versões 1809 e posteriores do Windows 10 detetam automaticamente falhas do TPM e concluem a associação híbrida do Microsoft Entra sem usar o TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) O TPM no modo FIPS não é suportado atualmente. Desative o TPM em dispositivos com este erro. O Windows 10 versão 1809 deteta automaticamente falhas do TPM e conclui a associação híbrida do Microsoft Entra sem usar o TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) O TPM está bloqueado. Erro transitório. Aguarde o período de arrefecimento. A tentativa de associação deve ter êxito depois de algum tempo. Para obter mais informações, consulte Fundamentos do TPM.

Erros de rede:

Código de erro Razão Resolução
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite geral da rede tentando registrar o dispositivo no DRS. Verifique a conectividade de rede para https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Não foi possível resolver o nome ou endereço do servidor. Verifique a conectividade de rede para https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) A conexão com o servidor foi encerrada anormalmente. Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável.

Outros erros:

Código de erro Razão Resolução
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) A ID de Evento 220 está presente nos logs de eventos do Registro de Dispositivo do Usuário. O Windows não pode acessar o objeto de computador no Ative Directory. Um código de erro do Windows pode ser incluído no evento. Os códigos de erro ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) estão relacionados a problemas de replicação no Ative Directory local. Solucione problemas de replicação no Ative Directory. Esses problemas de replicação podem ser transitórios e desaparecer depois de um tempo.

Erros do servidor de junção federada:

Código de erro do servidor Mensagem de erro do servidor Motivos possíveis Resolução
DirectoryError O seu pedido é limitado temporariamente. Por favor, tente após 300 segundos. Este erro é esperado, possivelmente porque vários pedidos de registo foram feitos em rápida sucessão. Tente novamente a junção após o período de reflexão

Erros do servidor de junção de sincronização:

Código de erro do servidor Mensagem de erro do servidor Motivos possíveis Resolução
DirectoryError AADSTS90002: Inquilino UUID não encontrado. Esse erro pode acontecer se não houver assinaturas ativas para o locatário. Consulte o administrador da sua subscrição. O ID do locatário no objeto do ponto de conexão de serviço está incorreto. Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Microsoft Entra correta e assinaturas ativas ou se o serviço está presente no locatário.
DirectoryError O objeto de dispositivo pela ID fornecida não foi encontrado. Este erro é esperado para a associação sincronizada. O objeto de dispositivo não foi sincronizado do AD para o ID do Microsoft Entra Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema.
AuthenticationError A verificação do SID do computador de destino O certificado no dispositivo Microsoft Entra não corresponde ao certificado usado para entrar no blob durante a associação de sincronização. Este erro normalmente significa que a sincronização ainda não terminou. Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema.

Etapa 5: coletar logs e entrar em contato com o Suporte da Microsoft

  1. Transfira o ficheiro Auth.zip.

  2. Extraia os arquivos para uma pasta, como c:\temp e, em seguida, vá para a pasta.

  3. Em uma sessão elevada do Azure PowerShell, execute .\start-auth.ps1 -v -accepteula.

  4. Selecione Mudar de conta para alternar para outra sessão com o utilizador problemático.

  5. Reproduza o problema.

  6. Selecione Mudar de conta para voltar à sessão de administrador que está executando o rastreamento.

  7. Na sessão elevada do PowerShell, execute .\stop-auth.ps1.

  8. Zip (compactar) e enviar a pasta Authlogs da pasta onde os scripts foram executados.

Solucionar problemas de autenticação pós-ingresso

Etapa 1: Recuperar o status PRT usando dsregcmd /status

  1. Abra uma janela da Linha de Comandos.

    Nota

    Para obter o status PRT (Primary Refresh Token), abra a janela do Prompt de Comando no contexto do usuário conectado.

  2. Execute o dsregcmd /status.

    A seção "Estado SSO" fornece o status PRT atual.

    Se o campo AzureAdPrt estiver definido como NO, ocorreu um erro ao adquirir o status PRT da ID do Microsoft Entra.

  3. Se o AzureAdPrtUpdateTime tiver mais de quatro horas, provavelmente haverá um problema com a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar a atualização do PRT e, em seguida, verifique se a hora atualiza.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Etapa 2: Localizar o código de erro

Da dsregcmd saída

Nota

A saída está disponível na atualização do Windows 10 de maio de 2021 (versão 21H1).

O campo "Status da tentativa" no campo "AzureAdPrt" fornece o status da tentativa de PRT anterior, juntamente com outras informações de depuração necessárias. Para versões anteriores do Windows, extraia as informações dos logs operacionais e de análise do Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

A partir dos logs operacionais e de análise do Microsoft Entra

Use o Visualizador de Eventos para procurar as entradas de log registradas pelo plug-in do Microsoft Entra CloudAP durante a aquisição do PRT.

  1. No Visualizador de Eventos, abra os logs de eventos do Microsoft Entra Operacional. Eles são armazenados em Log de Aplicativos>e Serviços do Microsoft>Windows>AAD.

Nota

O plug-in do CloudAP registra eventos de erro nos logs operacionais e registra os eventos de informações nos logs de análise. Os eventos de log operacional e de análise são necessários para solucionar problemas.

  1. O evento 1006 nos logs de análise denota o início do fluxo de aquisição PRT e o evento 1007 nos logs de análise denota o fim do fluxo de aquisição PRT. Todos os eventos nos logs do Microsoft Entra (analíticos e operacionais) que são registrados entre os eventos 1006 e 1007 foram registrados como parte do fluxo de aquisição PRT.

  2. O evento 1007 registra o código de erro final.

Captura de ecrã do Visualizador de Eventos, com os IDs de evento 1006 e 1007 selecionados e o código de erro final realçado.

Etapa 3: Solucione mais problemas, com base no código de erro encontrado

Código de erro Razão Resolução
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • O dispositivo não consegue se conectar ao serviço de autenticação do Microsoft Entra.
  • Recebeu uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
  • Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor para erros originários do serviço de autenticação Microsoft Entra e a descrição do erro para erros originários do ponto de extremidade WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0) Recebeu uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
    Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor e a descrição do erro para erros originários do serviço de autenticação Microsoft Entra e do ponto de extremidade WS-Trust, respectivamente. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Recebeu uma resposta de erro (HTTP > 400) do serviço de autenticação Microsoft Entra ou do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Problema de conectividade de rede para um ponto de extremidade necessário.
  • Para erros de servidor, os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do serviço de autenticação do Microsoft Entra e a descrição do erro do ponto de extremidade WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção.
  • Para problemas de conectividade, o evento 1022 (logs analíticos do Microsoft Entra) contém a URL que está sendo acessada e o evento 1084 (logs operacionais do Microsoft Entra) contém o código de suberro da pilha de rede.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) A descoberta do território do usuário falhou porque o serviço de autenticação do Microsoft Entra não conseguiu localizar o domínio do usuário.
  • O domínio do UPN do usuário deve ser adicionado como um domínio personalizado no Microsoft Entra ID. O evento 1144 (logs analíticos do Microsoft Entra) conterá o UPN fornecido.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure um ID de Login Alternativo (AltID). Referências: Pré-requisitos; Configurar o ID de Início de Sessão Alternativo.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) O UPN do usuário não está no formato esperado.
    Notas:
  • Para dispositivos associados ao Microsoft Entra, o UPN é o texto inserido pelo usuário na LoginUI.
  • Para dispositivos associados híbridos do Microsoft Entra, o UPN é retornado do controlador de domínio durante o processo de logon.
  • O UPN do utilizador deve estar no nome de início de sessão ao estilo da Internet, com base no padrão da Internet RFC 822. O evento 1144 (logs de análise do Microsoft Entra) contém o UPN fornecido.
  • Para dispositivos híbridos, verifique se o controlador de domínio está configurado para retornar o UPN no formato correto. No controlador de domínio, whoami /upn deve exibir o UPN configurado.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure o ID de Login Alternativo (AltID). Referências: Pré-requisitos; Configurar o ID de Início de Sessão Alternativo.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) O SID do usuário está ausente no token de ID retornado pelo serviço de autenticação do Microsoft Entra. Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Recebeu um erro do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta WS-Trust.
  • O evento 1088 (logs operacionais do Microsoft Entra) conteria o código de erro do servidor e a descrição do erro do ponto de extremidade WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs para palavras-passe.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
  • Corrija a configuração MEX para devolver URLs válidos na resposta.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs de ponto final de certificado.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
  • Corrija a configuração MEX no provedor de identidade para retornar URLs de certificado válidas em resposta.
  • WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f) A resposta XML, do ponto de extremidade WS-Trust, incluiu uma definição de tipo de documento (DTD). Um DTD não é esperado em respostas XML, e a análise da resposta falhará se um DTD for incluído.
    Nota: WS-Trust é necessário para autenticação federada.
  • Corrija a configuração no provedor de identidade para evitar o envio de um DTD na resposta XML.
  • O evento 1022 (logs de análise do Microsoft Entra) contém a URL que está sendo acessada e que está retornando uma resposta XML com um DTD.
  • Códigos de erro comuns do servidor

    Código de erro Razão Resolução
    AADSTS50155: Falha na autenticação do dispositivo
  • O Microsoft Entra ID não consegue autenticar o dispositivo para emitir um PRT.
  • Confirme se o dispositivo não foi excluído ou desativado. Para obter mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivos do Microsoft Entra.
  • Siga as instruções para esse problema nas Perguntas frequentes de gerenciamento de dispositivos do Microsoft Entra para registrar novamente o dispositivo com base no tipo de associação de dispositivo.
    AADSTS50034: A conta Account de tenant id usuário não existe no diretório O Microsoft Entra ID não consegue encontrar a conta de utilizador no inquilino.
  • Verifique se o usuário está digitando o UPN correto.
  • Verifique se a conta de usuário local está sendo sincronizada com a ID do Microsoft Entra.
  • O evento 1144 (logs de análise do Microsoft Entra) contém o UPN fornecido.
  • AADSTS50126: Erro ao validar credenciais devido a nome de usuário ou senha inválidos.
  • O nome de utilizador e a palavra-passe introduzidos pelo utilizador na LoginUI do Windows estão incorretos.
  • Se o locatário tiver a sincronização de hash de senha habilitada, o dispositivo for híbrido e o usuário apenas tiver alterado a senha, é provável que a nova senha não tenha sido sincronizada com o Microsoft Entra ID.
  • Para adquirir um novo PRT com as novas credenciais, aguarde até que a sincronização de senha do Microsoft Entra seja concluída.

    Códigos de erro de rede comuns

    Código de erro Razão Resolução
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Questões gerais comuns relacionadas com a rede.
  • Os eventos 1022 (logs analíticos do Microsoft Entra) e 1084 (logs operacionais do Microsoft Entra) contêm a URL que está sendo acessada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

    Obtenha mais códigos de erro de rede.
  • Etapa 4: Coletar logs

    Registos regulares

    1. Vá para https://aka.ms/icesdptool baixar automaticamente um arquivo .cab que contém a ferramenta de diagnóstico.
    2. Execute a ferramenta e reproduza seu cenário.
    3. Para rastreamentos do Fiddler, aceite as solicitações de certificado exibidas.
    4. O assistente solicita uma senha para proteger seus arquivos de rastreamento. Forneça uma senha.
    5. Finalmente, abra a pasta onde todos os logs coletados são armazenados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Entre em contato com o suporte com o conteúdo do arquivo .cab mais recente.

    Rastreios de rede

    Nota

    Ao coletar rastreamentos de rede, é importante não usar o Fiddler durante a reprodução.

    1. Execute o netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Bloqueie e desbloqueie o dispositivo. Para dispositivos híbridos, aguarde um minuto ou mais para permitir que a tarefa de aquisição de PRT seja concluída.
    3. Execute o netsh trace stop.
    4. Partilhe o ficheiro nettrace.cab com o Serviço de Apoio.

    Problemas conhecidos

    Se estiver ligado a um hotspot móvel ou a uma rede Wi-Fi externa e aceder a Definições>Contas>de Acesso Trabalho ou Escola, os dispositivos associados híbridos do Microsoft Entra poderão mostrar duas contas diferentes, uma para o Microsoft Entra ID e outra para o AD local. Esse problema da interface do usuário não afeta a funcionalidade.