Partilhar via


Resolução de problemas de dispositivos associados ao Microsoft Entra híbrido

Este artigo fornece orientações de solução de problemas para ajudá-lo a resolver possíveis problemas com dispositivos que executam o Windows 10 ou mais recente e o Windows Server 2016 ou mais recente.

O Microsoft Entra hybrid join suporta a atualização do Windows 10 de novembro de 2015 e posterior.

Este artigo pressupõe que você tenha dispositivos associados híbridos do Microsoft Entra para oferecer suporte aos seguintes cenários:

Nota

Para solucionar os problemas comuns de registro de dispositivos, use a Ferramenta de Solução de Problemas de Registro de Dispositivo.

Resolver problemas de falhas de ligação

Passo 1: Recuperar o estado de associação

  1. Abra uma janela de Linha de Comandos como administrador.
  2. Escreva dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Passo 2: Avaliar o estado da associação

Revise os campos na tabela a seguir e verifique se eles têm os valores esperados:

Campo Valor esperado Descrição
DomainJoined SIM Este campo indica se o dispositivo está associado a um Ative Directory local.

Se o valor for NO, o dispositivo não poderá fazer a junção híbrida do Microsoft Entra.
WorkplaceJoined Não Este campo indica se o dispositivo está registado com o Microsoft Entra ID como um dispositivo pessoal (marcado como Workplace Joined). Esse valor deve ser NO para um computador associado a um domínio que também esteja associado ao Microsoft Entra híbrido.

Se o valor for SIM, uma conta corporativa ou de estudante foi adicionada antes da conclusão da associação híbrida do Microsoft Entra. Nesse caso, a conta é ignorada quando você estiver usando o Windows 10 versão 1607 ou posterior.
AzureAdJoined SIM Este campo indica se o dispositivo está associado. O valor é SIM se o dispositivo for um dispositivo associado do Microsoft Entra ou um dispositivo associado híbrido do Microsoft Entra.

Se o valor for NO, a associação ao Microsoft Entra ID ainda não terminou.

Continue para as próximas etapas para solução de problemas adicionais.

Etapa 3: Localizar a fase em que a junção falhou e o código de erro

Para Windows 10 versão 1803 ou posterior

Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção é exibida somente se o dispositivo estiver associado ao domínio e for incapaz de fazer uma associação híbrida no Microsoft Entra.

O campo "Fase de erro" indica a fase da falha de junção e "Client ErrorCode" indica o código de erro da operação de junção.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Para versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registro do Dispositivo do Usuário. Eles são armazenados em Registo de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivos de Utilizador.
  2. Procure eventos com as seguintes IDs de evento: 304, 305 e 307.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 304 selecionado, as respetivas informações apresentadas e o respetivo código de erro e fase realçados.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 305 selecionado, as respetivas informações apresentadas e o respetivo código de erro realçado.

Etapa 4: Verifique possíveis causas e resoluções

Fase de pré-verificação

Possíveis razões para o insucesso:

  • O dispositivo não tem linha de visão para o controlador de domínio.
    • O dispositivo deve estar na rede interna da organização ou em uma rede virtual privada com uma linha de visão de rede para um controlador de domínio do Ative Directory local.

Fase de descoberta

Possíveis razões para o insucesso:

  • O objeto do ponto de conexão de serviço está configurado incorretamente ou não pode ser lido do controlador de domínio.
  • Falha ao conectar-se e obter os metadados de descoberta do endpoint de descoberta.
    • O dispositivo deve ser capaz de aceder https://enterpriseregistration.windows.net, no contexto do sistema, para descobrir os pontos finais de registo e autorização.
    • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
  • Falha ao conectar ao ponto de extremidade do domínio do usuário e fazer a descoberta de domínio (somente Windows 10 versão 1809 e posterior).
    • O dispositivo deve ser capaz de acessar https://login.microsoftonline.com, no contexto do sistema, para fazer a descoberta de território para o domínio verificado e determinar o tipo de domínio (gerenciado ou federado).
    • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

Códigos de erro comuns:

Código de erro Razão Resolução
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Não é possível ler o objeto de ponto de conexão de serviço (SCP) e obter as informações de locatário do Microsoft Entra. Consulte a seção Configurar um ponto de conexão de serviço.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Falha de descoberta genérica. Falha ao obter os metadados de descoberta do serviço de replicação de dados (DRS). Para investigar mais, encontre o suberro nas próximas seções.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) A operação atingiu o tempo limite durante a execução da descoberta. Certifique-se de que https://enterpriseregistration.windows.net está acessível no contexto do sistema. Para obter mais informações, consulte a seção Requisitos de conectividade de rede.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Falha na descoberta de realm genérico. Falha ao determinar o tipo de domínio (gerenciado/federado) do STS. Para investigar mais, encontre o suberro nas próximas seções.

Códigos de suberro comuns:

Para encontrar o código de suberro do código de erro de descoberta, use um dos seguintes métodos.

Windows 10 versão 1803 ou posterior

Procure por "DRS Discovery Test" na secção "Dados de diagnóstico" do resultado do estado de junção. Esta seção é exibida somente se o dispositivo estiver ligado a um domínio e não puder aderir ao Microsoft Entra em modo híbrido.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para procurar o código de fase e de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registo de Dispositivo de Utilizador. Eles são armazenados em Registro de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivos de Utilizador.
  2. Procure o ID de evento 201.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 201 selecionado, as respetivas informações apresentadas e o respetivo código de erro realçado.

Erros de rede:

Código de erro Razão Resolução
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Não foi possível estabelecer conexão com o servidor. Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite geral da rede. Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) A pilha de rede não pôde decodificar a resposta do servidor. Verifique se o proxy de rede não está interferindo e modificando a resposta do servidor.

Erros HTTP:

Código de erro Razão Resolução
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) O objeto de ponto de conexão de serviço é configurado com a ID de locatário errada ou nenhuma assinatura ativa foi encontrada no locatário. Verifique se o objeto do ponto de conexão de serviço está configurado com o ID de inquilino do Microsoft Entra correto e as assinaturas ativas, ou se o serviço está presente no inquilino.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 do servidor DRS. O servidor está indisponível no momento. As futuras tentativas de associação serão, provavelmente, bem-sucedidas quando o servidor estiver novamente online.

Outros erros:

Código de erro Razão Resolução
E_INVALIDDATA (0x8007000d/-2147024883) O JSON de resposta do servidor não pôde ser analisado, provavelmente porque o proxy está retornando um HTTP 200 com uma página de autorização HTML. Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

Fase de autenticação

Este conteúdo aplica-se apenas a contas de domínio federado.

Razões para o insucesso:

  • Não é possível obter um token de acesso silenciosamente para o recurso DRS.
    • Os dispositivos Windows 10 e Windows 11 adquirem o token de autenticação do Serviço de Federação ao usar a autenticação integrada do Windows num ponto de extremidade WS-Trust ativo. Para obter mais informações, consulte Configuração do Serviço de Federação.

Códigos de erro comuns:

Use os logs do Visualizador de Eventos para localizar o código de erro, o código de suberro, o código de erro do servidor e a mensagem de erro do servidor.

  1. No Visualizador de Eventos, abra os logs de eventos do Registo do Dispositivo do Utilizador. Eles são armazenados em Aplicações e Serviços Log>Microsoft>Windows>Registo de Dispositivo do Utilizador.
  2. Procure o ID de evento 305.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 305 selecionado, as respetivas informações apresentadas e os códigos de erro e estado da ADAL realçados.

Erros de configuração:

Código de erro Razão Resolução
ERRO_ADAL_PROTOCOLO_NÃO_SUPORTADO (0xcaa90017/-894894057) O protocolo de autenticação da Biblioteca de Autenticação do Azure AD (ADAL) não é WS-Trust. O provedor de identidade local deve oferecer suporte ao WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) O Serviço de Federação local não retornou uma resposta XML. Verifique se o endpoint de Troca de Metadados (MEX) está retornando um XML válido. Certifique-se de que o proxy não está interferindo e retornando respostas não xml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Não foi possível descobrir um ponto de extremidade para autenticação de nome de usuário/senha. Verifique as configurações do provedor de identidade local. Verifique se os pontos de extremidade WS-Trust estão habilitados e se a resposta MEX contém esses pontos de extremidade corretos.

Erros de rede:

Código de erro Razão Resolução
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Tempo limite geral da rede. Certifique-se de que https://login.microsoftonline.com está acessível no contexto do sistema. Certifique-se de que o provedor de identidade local esteja acessível no contexto do sistema. Para obter mais informações, veja Requisitos de conectividade da rede.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) A conexão com o ponto final de autorização foi abortada. Tente juntar-se novamente depois de algum tempo ou tente juntar-se a partir de outro local de rede estável.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) O certificado TLS (Transport Layer Security) (anteriormente conhecido como certificado SSL [Secure Sockets Layer]) enviado pelo servidor não pôde ser validado. Verifique a distorção de tempo do cliente. Tente entrar novamente depois de algum tempo ou tente conectar a partir de outra localização de rede estável.
ERRO_ADAL_INTERNET_NÃO_CONECTA (0xcaa82efd/-894947587) A tentativa de conexão com https://login.microsoftonline.com falhou. Verifique a ligação de rede ao https://login.microsoftonline.com.

Outros erros:

Código de erro Razão Resolução
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) O token SAML do provedor de identidade local não foi aceito pelo Microsoft Entra ID. Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) A resposta do Server WS-Trust relatou uma exceção de falha e não conseguiu obter a asserção. Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Recebeu um erro ao tentar obter o token de acesso do ponto de extremidade do token. Procure o erro subjacente no log da ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Falha geral da ADAL. Procure o código de suberro ou o código de erro do servidor nos logs de autenticação.

Fase de adesão

Razões para o insucesso:

Procure o tipo de registo e o código de erro nas tabelas seguintes, dependendo da versão do Windows 10 que está a utilizar.

Windows 10 versão 1803 ou posterior

Procure a subseção "Registo anterior" na secção "Dados de diagnóstico" da saída de status de adesão. Esta seção será exibida apenas se o dispositivo estiver associado ao domínio e não for capaz de realizar a associação híbrida ao Microsoft Entra.

O campo "Tipo de registo" indica o tipo de adesão.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Versões anteriores do Windows 10

Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.

  1. No Visualizador de Eventos, abra os logs de eventos do Registo de Dispositivo do Utilizador. Eles são armazenados em Registo de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivo de Utilizador.
  2. Procure o ID de evento 204.

Captura de ecrã do Visualizador de Eventos, com o ID de evento 204 selecionado e respetivo código de erro, estado H T T P e mensagem realçada.

Erros HTTP retornados do servidor DRS:

Código de erro Razão Resolução
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". Consulte o código de erro do servidor para possíveis motivos e resoluções.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Recebeu uma resposta de erro do DRS com ErrorCode: "AuthenticationError" e ErrorSubCode não é "DeviceNotFound". Consulte o código de erro do servidor para possíveis motivos e resoluções.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". Consulte o código de erro do servidor para possíveis motivos e resoluções.

Erros TPM:

Código de erro Razão Resolução
NTE_BAD_KEYSET (0x80090016/-2146893802) A operação TPM (Trusted Platform Module) falhou ou foi inválida. Este erro indica que o conjunto de chaves não existe. Este erro acontece quando o TPM é limpo nos sistemas em questão ou quando há uma imagem sysprep defeituosa.

Evite limpar o TPM nas configurações do BIOS ou do Windows. Se o TPM for limpo, os usuários talvez precisem se recuperar removendo e readicionando contas para corrigir o problema, especialmente quando tiverem várias contas WAM. Certifique-se de que a máquina de onde a imagem sysprep foi criada não está aderida ao Microsoft Entra, aderida ao Microsoft Entra híbrido, ou registada no Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Erro TPM genérico. Desative o TPM em dispositivos com este erro. As versões 1809 e posteriores do Windows 10 detetam automaticamente falhas do TPM e concluem a associação híbrida do Microsoft Entra sem usar o TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) O TPM no modo FIPS não é suportado atualmente. Desative o TPM em dispositivos com este erro. A versão 1809 do Windows 10 deteta automaticamente falhas do TPM e conclui a ligação híbrida do Microsoft Entra sem usar o TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) O TPM está bloqueado. Erro transitório. Aguarde o período de arrefecimento. A tentativa de associação deve ter êxito depois de algum tempo. Para obter mais informações, consulte Fundamentos do TPM.

Erros de rede:

Código de erro Razão Resolução
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite geral de rede ao tentar registar o dispositivo no DRS. Verifique a conectividade de rede com https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Não foi possível resolver o nome ou endereço do servidor. Verifique a ligação de rede para https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) A conexão com o servidor foi encerrada anormalmente. Tente entrar novamente depois de algum tempo ou tente conectar a partir de outro local de rede estável.

Outros erros:

Código de erro Razão Resolução
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) A ID de Evento 220 está presente nos logs de eventos do Registro de Dispositivo do Usuário. O Windows não pode acessar o objeto de computador no Ative Directory. Um código de erro do Windows pode ser incluído no evento. Os códigos de erro ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) estão relacionados a problemas de replicação no Ative Directory local. Solucione problemas de replicação no Ative Directory. Esses problemas de replicação podem ser transitórios e desaparecer depois de um tempo.

Erros do servidor de junção federada:

Código de erro do servidor Mensagem de erro do servidor Motivos possíveis Resolução
Erro de Diretório O seu pedido está a ser controlado temporariamente. Por favor, tente após 300 segundos. Este erro é esperado, possivelmente porque vários pedidos de registo foram feitos em rápida sucessão. Tente novamente a junção após o período de reflexão

Erros do servidor de sincronização e junção

Código de erro do servidor Mensagem de erro do servidor Motivos possíveis Resolução
Erro de Diretório AADSTS90002: Inquilino UUID não encontrado. Esse erro pode acontecer se não houver assinaturas ativas para o locatário. Consulte o administrador da sua subscrição. O ID do locatário no objeto do ponto de conexão de serviço está incorreto. Verifique se o objeto do ponto de conexão de serviço está configurado com o identificador de locatário do Microsoft Entra correto e assinaturas ativas ou confirme que o serviço está presente no locatário.
Erro de Diretório O objeto do dispositivo com a ID fornecida não foi encontrado. Este erro é esperado para a associação sincronizada. O objeto de dispositivo não foi sincronizado do AD para o ID do Microsoft Entra Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema.
AuthenticationError A verificação do SID do computador de destino O certificado no dispositivo Microsoft Entra não corresponde ao certificado utilizado para iniciar sessão no blob durante a sincronização e associação. Este erro normalmente significa que a sincronização ainda não terminou. Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema.

Etapa 5: coletar logs e entrar em contato com o Suporte da Microsoft

  1. Transfira o ficheiro Auth.zip.

  2. Extraia os arquivos para uma pasta, como c:\temp e, em seguida, vá para a pasta.

  3. Em uma sessão elevada do Azure PowerShell, execute .\start-auth.ps1 -v -accepteula.

  4. Selecione Mudar de conta para alternar para outra sessão com o utilizador problemático.

  5. Reproduza o problema.

  6. Selecione Mudar de conta para voltar à sessão de administrador que está executando o rastreamento.

  7. Na sessão elevada do PowerShell, execute .\stop-auth.ps1.

  8. Zip (compactar) e enviar a pasta Authlogs da pasta onde os scripts foram executados.

Solucionar problemas de autenticação após a conexão

Etapa 1: Recuperar o status PRT usando dsregcmd /status

  1. Abra uma janela da Linha de Comandos.

    Nota

    Para obter o status PRT (Primary Refresh Token), abra a janela do Prompt de Comando no contexto do usuário conectado.

  2. Executar dsregcmd /status.

    A seção "Estado SSO" fornece o status PRT atual.

    Se o campo AzureAdPrt estiver definido como NO, ocorreu um erro ao adquirir o status PRT da ID do Microsoft Entra.

  3. Se o AzureAdPrtUpdateTime tiver mais de quatro horas, provavelmente haverá um problema com a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar a atualização do PRT e, em seguida, verifique se a hora atualiza.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Etapa 2: Localizar o código de erro

Da dsregcmd saída

Nota

A saída está disponível na atualização do Windows 10 de maio de 2021 (versão 21H1).

O campo "Status da tentativa" no campo "AzureAdPrt" fornece o status da tentativa de PRT anterior, juntamente com outras informações de depuração necessárias. Para versões anteriores do Windows, extraia as informações dos logs operacionais e de análise do Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

A partir dos logs operacionais e de análise do Microsoft Entra

Use o Visualizador de Eventos para procurar as entradas de log registradas pelo plug-in do Microsoft Entra CloudAP durante a aquisição do PRT.

  1. No Visualizador de Eventos, abra os registos de eventos operacionais do Microsoft Entra. Eles são armazenados em Aplicações e Serviços Log>Microsoft>Windows>AAD.

Nota

O plug-in do CloudAP registra eventos de erro nos logs operacionais e registra os eventos de informações nos logs de análise. Os eventos de log operacional e de análise são necessários para solucionar problemas.

  1. O evento 1006 nos logs de análise denota o início do fluxo de aquisição PRT e o evento 1007 nos logs de análise denota o fim do fluxo de aquisição PRT. Todos os eventos nos logs do Microsoft Entra (analíticos e operacionais) que são registrados entre os eventos 1006 e 1007 foram registrados como parte do fluxo de aquisição PRT.

  2. O evento 1007 registra o código de erro final.

Captura de ecrã do Visualizador de Eventos, com os IDs de evento 1006 e 1007 selecionados e o código de erro final realçado.

Etapa 3: Solucione mais problemas, com base no código de erro encontrado

Código de erro Razão Resolução
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • O dispositivo não consegue se conectar ao serviço de autenticação do Microsoft Entra.
  • Foi recebida uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
  • Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor para erros originários do serviço de autenticação Microsoft Entra e a descrição do erro para erros originários do ponto de extremidade WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0) Foi recebida uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do endpoint WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
    Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor e a descrição do erro para erros originários do serviço de autenticação Microsoft Entra e do ponto de extremidade WS-Trust, respectivamente. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) - Estado de rede inalcançável
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Recebeu uma resposta de erro (HTTP > 400) do serviço de autenticação Microsoft Entra ou do endpoint WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Problema de ligação de rede a um ponto final necessário.
  • Para erros de servidor, os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do serviço de autenticação do Microsoft Entra e a descrição do erro do ponto de extremidade WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção.
  • Para problemas de conectividade, o evento 1022 (registos analíticos do Microsoft Entra) contém a URL a ser acedida e o evento 1084 (registos operacionais do Microsoft Entra) contém o código de suberro da pilha de rede.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) A descoberta do território do usuário falhou porque o serviço de autenticação do Microsoft Entra não conseguiu localizar o domínio do usuário.
  • O domínio do UPN do usuário deve ser adicionado como um domínio personalizado no Microsoft Entra ID. O evento 1144 (logs analíticos do Microsoft Entra) conterá o UPN fornecido.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure um ID de Login Alternativo (AltID). Referências: Pré-requisitos; Configurar o ID de Início de Sessão Alternativo.
  • AAD_CLOUDAP_E_OAUTH_NOME_DE_UTILIZADOR_MALFORMADO (-1073445812/ 0xc004844c) O UPN do usuário não está no formato esperado.
    Notas:
  • Para dispositivos associados ao Microsoft Entra, o UPN é o texto inserido pelo usuário na LoginUI.
  • Para dispositivos associados híbridos do Microsoft Entra, o UPN é retornado do controlador de domínio durante o processo de logon.
  • O UPN do utilizador deve estar no nome de login no formato Internet, com base no padrão de Internet RFC 822. O evento 1144 (logs de análise do Microsoft Entra) contém o UPN fornecido.
  • Para dispositivos híbridos, verifique se o controlador de domínio está configurado para retornar o UPN no formato correto. No controlador de domínio, whoami /upn deve exibir o UPN configurado.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure o ID de Login Alternativo (AltID). Referências: Pré-requisitos; Configurar o ID de Início de Sessão Alternativo.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) O SID do usuário está ausente no token de ID retornado pelo serviço de autenticação do Microsoft Entra. Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Recebeu um erro do ponto de extremidade WS-Trust.
    Nota: WS-Trust é necessário para autenticação federada.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta WS-Trust.
  • O evento 1088 (logs operacionais do Microsoft Entra) conteria o código de erro do servidor e a descrição do erro do endpoint WS-Trust. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) (URI da senha HTTP está vazio) O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs para palavras-passe.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
  • Corrija a configuração MEX para devolver URLs válidos na resposta.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs de ponto final de certificado.
  • Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor.
  • Corrija a configuração MEX no provedor de identidade para retornar URLs de certificado válidas em resposta.
  • WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f) A resposta XML do ponto de extremidade WS-Trust incluiu uma definição de tipo de documento (DTD). Um DTD não é esperado em respostas XML, e a análise da resposta falhará se um DTD for incluído.
    Nota: WS-Trust é necessário para autenticação federada.
  • Corrija a configuração no provedor de identidade para evitar o envio de um DTD na resposta XML.
  • O evento 1022 (logs de análise do Microsoft Entra) contém a URL que está sendo acessada e que está retornando uma resposta XML com um DTD.
  • Códigos de erro comuns do servidor

    Código de erro Razão Resolução
    AADSTS50155: Falha na autenticação do dispositivo
  • O Microsoft Entra ID não consegue autenticar o dispositivo para emitir um PRT.
  • Confirme se o dispositivo não foi excluído ou desativado. Para obter mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivos do Microsoft Entra.
  • Siga as instruções para esse problema nas Perguntas frequentes de gerenciamento de dispositivos do Microsoft Entra para registrar novamente o dispositivo com base no tipo de associação de dispositivo.
    AADSTS50034: A conta de utilizador Account não existe no diretório tenant id O Microsoft Entra ID não consegue encontrar a conta de utilizador no inquilino.
  • Verifique se o usuário está digitando o UPN correto.
  • Verifique se a conta de usuário local está sendo sincronizada com a ID do Microsoft Entra.
  • O evento 1144 (registos de análise do Microsoft Entra) contém o UPN fornecido.
  • AADSTS50126: Erro ao validar credenciais devido a nome de usuário ou senha inválidos.
  • O nome de utilizador e a palavra-passe introduzidos pelo utilizador na LoginUI do Windows estão incorretos.
  • Se o locatário tiver a sincronização de hash de senha habilitada, o dispositivo for híbrido e o usuário apenas tiver alterado a senha, é provável que a nova senha não tenha sido sincronizada com o Microsoft Entra ID.
  • Para adquirir um novo PRT com as novas credenciais, aguarde até que a sincronização de senha do Microsoft Entra seja concluída.

    Códigos de erro de rede comuns

    Código de erro Razão Resolução
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Questões gerais comuns relacionadas com a rede.
  • Os eventos 1022 (logs analíticos do Microsoft Entra) e 1084 (logs operacionais do Microsoft Entra) contêm a URL que está sendo acessada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.

    Obtenha mais códigos de erro de rede.
  • Etapa 4: Coletar logs

    Registos regulares

    1. Vá para https://aka.ms/icesdptool para descarregar automaticamente um ficheiro .cab que contém a ferramenta de diagnóstico.
    2. Execute a ferramenta e reproduza seu cenário.
    3. Para rastreamentos do Fiddler, aceite as solicitações de certificado exibidas.
    4. O assistente solicita uma senha para proteger seus arquivos de rastreamento. Forneça uma senha.
    5. Finalmente, abra a pasta onde todos os logs coletados são armazenados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Entre em contacto com o suporte e forneça o conteúdo do ficheiro mais recente .cab.

    Rastreios de rede

    Nota

    Ao coletar rastreamentos de rede, é importante não usar o Fiddler durante a reprodução.

    1. Execute netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Bloqueie e desbloqueie o dispositivo. Para dispositivos com configuração híbrida, aguarde um minuto ou mais para que a tarefa de aquisição de PRT seja concluída.
    3. Execute o netsh trace stop.
    4. Partilhe o ficheiro nettrace.cab com o Serviço de Apoio.

    Problemas conhecidos

    Se estiver ligado a um hotspot móvel ou a uma rede Wi-Fi externa e aceder a Definições>Contas>Trabalho ou Escolar, os dispositivos com associação híbrida ao Microsoft Entra poderão mostrar duas contas diferentes, uma para o Microsoft Entra ID e outra para o AD local. Esse problema da interface do usuário não afeta a funcionalidade.