Solucionar problemas de cogerenciamento: registrar automaticamente dispositivos gerenciados pelo Configuration Manager existentes no Intune

Este artigo ajuda você a entender e solucionar problemas que você pode encontrar ao configurar o cogerenciamento registrando automaticamente dispositivos gerenciados pelo Configuration Manager existentes no Intune.

Nesse cenário, você pode continuar a gerenciar dispositivos Windows 10 usando o Configuration Manager ou pode mover seletivamente cargas de trabalho para Microsoft Intune conforme desejado. Para obter mais informações sobre como configurar cargas de trabalho, consulte Dica de suporte: configurando cargas de trabalho em um ambiente cogerenciado.

Antes de começar

Antes de iniciar a solução de problemas, é importante coletar algumas informações básicas sobre o problema e seguir todas as etapas de configuração necessárias. Isso ajuda você a entender melhor o problema e reduzir o tempo para encontrar uma solução. Para fazer isso, siga esta lista de verificação de perguntas pré-solução de problemas:

• Você tinha as permissões e funções necessárias para configurar o cogerenciamento?
• Qual opção de identidade híbrida do Microsoft Entra você selecionou?
• Qual é a sua autoridade atual de MDM?
• Você instalou e configurou o Microsoft Entra Connect?
• Você atribuiu uma licença P1 ou P2 da ID do Microsoft Entra ao UPN usado para configuração?
• Você atribuiu licenças do Intune aos usuários?
• Você configurou o ingresso híbrido no Microsoft Entra para domínios gerenciados ou domínios federados?
• Você definiu as configurações do agente cliente do Configuration Manager para o ingresso híbrido do Microsoft Entra?
• Você configurou o registro automático em seu locatário do Intune?
• Você habilitou o cogerenciamento no Configuration Manager?

A maioria dos problemas ocorre porque uma ou mais dessas etapas não foram concluídas. Se você achar que uma etapa foi ignorada ou não foi concluída com êxito, verifique os detalhes de cada etapa ou consulte o seguinte tutorial: Habilitar o cogerenciamento para clientes existentes do Configuration Manager.

Use o seguinte arquivo de log em dispositivos Windows 10 para solucionar problemas de cogerenciamento no cliente:

%WinDir%\CCM\logs\CoManagementHandler.log

Solução de problemas de configuração híbrida do Microsoft Entra

Se você estiver enfrentando problemas que afetam a identidade híbrida do Microsoft Entra ou o Microsoft Entra Connect, consulte os seguintes guias de solução de problemas:

• Solucionar problemas de instalação do Microsoft Entra Connect
• Solucionar erros durante a sincronização do Microsoft Entra Connect
• Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync
• Solucionar problemas de logon único contínuo do Microsoft Entra
• Solucionar problemas da autenticação de passagem do Microsoft Entra
• Solucionar problemas de logon único com os Serviços de Federação do Active Directory

Se você estiver enfrentando problemas que afetam o ingresso híbrido do Microsoft Entra para domínios gerenciados ou domínios federados, consulte os seguintes guias de solução de problemas:

• Solução de problemas de dispositivos ingressados no Microsoft Entra híbrido
• Solução de problemas de dispositivos usando o comando dsregcmd

Problemas comuns

Os clientes não receberam a política do ponto de gerenciamento do Configuration Manager para iniciar o processo de registro com a ID do Microsoft Entra e o Intune

Esse problema ocorre devido a um problema no Configuration Manager e não no Intune. Você pode usar os arquivos de log do cliente para solucionar esses problemas.

O cliente do Configuration Manager está instalado. No entanto, o dispositivo não está se registrando com a ID do Microsoft Entra e nenhum erro é visto

Esse problema geralmente ocorre porque as configurações do agente cliente do Configuration Manager não estão definidas para direcionar os clientes para o registro.

Para corrigir o problema, verifique se você segue as etapas em Definir configurações do cliente para direcionar os clientes a se registrarem na ID do Microsoft Entra.

O cliente do Configuration Manager é instalado e o dispositivo é registrado com êxito com a ID do Microsoft Entra. No entanto, o dispositivo não é registrado automaticamente no Intune e nenhum erro é visto

Esse problema geralmente ocorre quando o registro automático é configurado incorretamente em seu locatário do Intune em Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

Para corrigir o problema, siga as etapas em Configurar o registro automático de dispositivos no Intune.

Não é possível localizar o nó de cogerenciamento em Administration > Cloud Services no console do Configuration Manager

Esse problema ocorrerá se sua versão do Configuration Manager for anterior à versão 1906.

Para corrigir o problema, atualize o Configuration Manager para a versão 1906 ou posterior.

Os dispositivos ingressados no Microsoft Entra híbridos não são registrados e geram 0x8018002a de erro

Quando esse problema ocorre, você também observa os seguintes sintomas:

• A seguinte mensagem de erro é registrada nos logs>de aplicativos e serviços do Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin no Visualizador de eventos:

  Registro automático de MDM: Falha (código de erro Win32 desconhecido: 0x8018002a)

• A seguinte mensagem de erro é registrada em Logs>de Aplicativos e Serviços Microsoft>Windows>ID>do Microsoft Entra Log operacional no Visualizador de Eventos:

  Erro: 0xCAA2000C A solicitação requer interação do usuário.
  Código: interaction_required
  Descrição: AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você se mudou para um novo local, você deve usar a autenticação multifator para acessar.

Esse problema ocorre quando a MFA (autenticação multifator) é imposta. Ele impede que o agente cliente do Configuration Manager registre o dispositivo usando as credenciais de usuário conectadas.

Observação

Há uma diferença entre ter a MFA habilitada e imposta. Para obter mais informações sobre a diferença, consulte Estados de usuário de autenticação multifator do Microsoft Entra. Esse cenário funciona com MFA habilitado , mas não com MFA imposta.

Para corrigir o problema, use um dos seguintes métodos:

• Defina MFA como Habilitado, mas não Imposto. Para obter mais informações, consulte Configurar a autenticação multifator.
• Desabilite temporariamente a MFA durante o registro em IPs confiáveis.

Os dispositivos não são sincronizados após o registro automático

A partir do Configuration Manager versão 1906, um dispositivo cogerenciado que executa Windows 10 versão 1803 ou posterior se registra automaticamente no serviço Microsoft Intune com base em seus tokens de dispositivo Microsoft Entra. No entanto, o dispositivo não consegue sincronizar e você recebe a seguinte mensagem de erro em Configurações>Contas>Acessar trabalho ou escola:

A sincronização não foi totalmente bem-sucedida porque não conseguimos verificar suas credenciais. Selecione Sincronizar para entrar e tentar novamente.

Quando esse problema ocorre, a seguinte mensagem de erro é registrada nos Logs>de Aplicativos e Serviços do Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin log no Visualizador de Eventos:

Sessão MDM: Falha ao obter o token do Microsoft Entra para a sessão de sincronização Token do usuário: (Código de erro Win32 desconhecido: 0xcaa2000c) Token do dispositivo: (função incorreta).

A seguinte mensagem de erro é registrada em Logs>de Aplicativos e Serviços Microsoft>Windows>ID>do Microsoft Entra Log operacional no Visualizador de Eventos:

Erro: 0xCAA2000C A solicitação requer interação do usuário.
Código: interaction_required
Descrição: AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você se mudou para um novo local, você deve usar a autenticação multifator para acessar.

Esse problema ocorre quando a MFA está habilitada ou imposta, ou as políticas de acesso condicional do Microsoft Entra que exigem MFA são aplicadas a todos os aplicativos de nuvem. Ele impede a associação do usuário com o dispositivo no portal.

Para corrigir o problema, use um dos seguintes métodos:

• Se a MFA estiver habilitada ou imposta:
  • Defina MFA como Desabilitado. Para obter mais informações, consulte Desativar a MFA herdada por usuário.
  • Ignore a MFA usando IPs confiáveis.
• Se as políticas de Acesso Condicional do Microsoft Entra forem usadas, exclua o aplicativo Microsoft Intune das políticas que exigem MFA para permitir a sincronização de dispositivos usando as credenciais do usuário.

Um dispositivo Windows 10 ingressado no Microsoft Entra híbrido não consegue se registrar no Intune com 0x800706D9 de erro ou 0x80180023

Quando esse problema ocorre, você normalmente vê a seguinte mensagem de erro nos logs>de aplicativos e serviços do Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin log no Visualizador de eventos:

Registro de MDM: falha na configuração do cliente OMA-DM. RAWResult: (0x800706D9) Resultado: (Código de erro Win32 desconhecido: 0x80180023).
Registro de MDM: Falha no provisionamento. Resultado: (Código de erro Win32 desconhecido: 0x80180023).
Registro de MDM: Falha (código de erro Win32 desconhecido: 0x80180023)
Registro automático de MDM: credencial do dispositivo (0x80180023), falha (%2)
Cancelamento de registro do MDM: Erro ao enviar alerta de cancelamento de registro ao servidor. Resultado: (Função incorreta.).
Cancelamento de registro do MDM: falha na alteração do tipo de inicialização dmwappushservice para início por demanda. Resultado: (O serviço especificado não existe como um serviço instalado.)

Esse problema ocorre se o dmwappushservice serviço estiver ausente do dispositivo. Para verificar, execute services.msc para procurar esse serviço.

Para corrigir o problema, siga estas etapas:

1. Em um dispositivo em funcionamento que executa a mesma versão do Windows 10 que o dispositivo afetado, exporte a seguinte chave do Registro:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Faça logon no dispositivo afetado como administrador local, copie o arquivo .reg para o dispositivo afetado e mescle-o com o registro local.

3. Reinicie o dispositivo afetado.

4. Exclua o registro antigo do Microsoft Entra e atualize a Política de Grupo.

5. Reinicie o dispositivo afetado novamente. O dispositivo deve ser capaz de se registrar com a ID do Microsoft Entra e se registrar no Intune automaticamente.

O ingresso híbrido do Microsoft Entra falha em um domínio gerenciado com 0x801c03f2 de erro

Ao executar dsregcmd /status em um prompt de comando no dispositivo, você pode ver que ele ingressou no domínio, mas não ingressou no Microsoft Entra híbrido. A seguinte mensagem de erro é registrada nos Logs de Aplicativos e Serviços>Registro>de Dispositivo de Usuário do Microsoft>Windows>Log de administrador no Visualizador de Eventos:

A resposta do servidor foi: {"ErrorType":"DirectoryError","Message":"O certificado de usuário de chave pública não foi encontrado no objeto do dispositivo com id <DeviceID".>

Esse problema ocorre em uma das seguintes situações:

• O objeto de dispositivo está ausente na ID do Microsoft Entra.
• O Usercertificate atributo não tem o certificado do dispositivo no Active Directory local ou na ID do Microsoft Entra.

Para que o registro de dispositivo Windows 10 funcione em um domínio gerenciado, o objeto de dispositivo deve ser sincronizado primeiro. O processo de registro funciona da seguinte forma:

• O dispositivo Windows 10 é iniciado pela primeira vez depois de ingressar no domínio local.
• O registro do dispositivo é disparado e uma solicitação de certificado é criada.
• Quando a solicitação é criada, a chave pública do certificado é publicada no AD local para o objeto do dispositivo. Isso atualiza o Usercertificate atributo nos objetos do dispositivo. Ao mesmo tempo, a solicitação de registro do dispositivo assinado é enviada para a ID do Microsoft Entra.
• O registro falha porque a ID do Microsoft Entra não pode autenticar o objeto do dispositivo ou verificar a solicitação assinada.
• Na próxima vez que o ciclo de sincronização for executado, ele localizará o objeto de dispositivo que tem o atributo preenchido Usercertificate e sincronizará o objeto de dispositivo com a ID do Microsoft Entra.
• Na próxima vez que o serviço de registro for disparado (isso é executado a cada hora), o dispositivo enviará uma nova solicitação assinada pela chave privada.
• O Azure verifica a assinatura na solicitação usando o certificado público que foi recebido do domínio local durante o ciclo de sincronização. Se a ID do Microsoft Entra puder verificar a assinatura na solicitação, o registro do dispositivo será bem-sucedido.

Para corrigir o problema, siga estas etapas:

1. No AD local, verifique se o atributo está preenchido Usercertificate e tem o certificado correto.

2. Verifique o objeto de dispositivo de back-end e certifique-se de que o Usercertificate atributo existe e está preenchido.

3. Se o certificado estiver ausente ou alguém tiver excluído o certificado do AD local (que, por sua vez, exclui o certificado da ID do Microsoft Entra), o registro do dispositivo falhará. Para corrigir esse problema, faça o seguinte no dispositivo cliente:

   1. Abra uma janela do Prompt de Comando com privilégios elevados e execute o seguinte comando:

      dsregcmd /leave
      

   2. Executar certlm.msc para abrir o repositório de certificados do computador local.

   3. Verifique se o certificado de computador emitido pelo MS-Organization-Access foi excluído.

   4. Reinicie o dispositivo cliente para disparar um novo registro de dispositivo.

   5. Depois que o dispositivo for reiniciado, verifique se a nova chave pública do certificado está atualizada no objeto do dispositivo no AD local. Se houver vários controladores de domínio, verifique se o atributo é replicado para todos os controladores de domínio.

   6. Dispare uma sincronização delta no servidor Microsoft Entra Connect.

   7. Após a conclusão da sincronização, você pode disparar o registro do dispositivo reiniciando o cliente, executando o dsregcmd /debug comando ou executando a tarefa agendada Automatic-Device-Join em Ingresso no local de trabalho.

O registro automático do dispositivo falha com o erro 0x80280036

Quando esse problema ocorre, a seguinte mensagem de erro é registrada nos Logs de Aplicativos e Serviços>Registro de Dispositivo>de Usuário do Microsoft>Windows>Log de administrador no Visualizador de Eventos:

DeviceRegistrationApi::BeginJoin falhou com o código de erro: 0x80280036

Descrição:
A inicialização da solicitação de junção falhou com o código de saída: o TPM está tentando executar um comando disponível apenas no modo FIPS.

Esse problema ocorre se o chip TPM no dispositivo cliente tiver o modo FIPS habilitado. O modo FIPS não tem suporte ou é recomendado para o registro de dispositivo do Azure. Para obter mais informações, consulte Por que não estamos mais recomendando o "modo FIPS".

O ingresso híbrido do Microsoft Entra falha com o erro 0x80090016

O registro híbrido do Microsoft Entra de um dispositivo Windows 10 falha e você recebe a seguinte mensagem de erro:

Algo deu errado. Confirme se está usando as informações de entrada corretas e se sua organização usa esse recurso. Você pode tentar fazer isso novamente ou entrar em contato com o administrador do sistema com o código de erro 0x80090016

A mensagem de erro de 0x80090016 é que o conjunto de chaves não existe. Isso significa que o registro do dispositivo não pôde salvar a chave do dispositivo porque as chaves do TPM não estavam acessíveis.

Esse problema ocorrerá se o Windows não for o proprietário do TPM. Desde o Windows 10, o sistema operacional é inicializado automaticamente e assume propriedade do TPM. No entanto, se esse processo falhar, o Windows não será o proprietário e resultará no problema.

Para corrigir esse problema, limpe o TPM e reinicie o dispositivo cliente. Para limpar o TPM, siga estas etapas:

1. Abra o aplicativo Segurança do Windows.

2. Selecione Segurança do dispositivo.

3. Selecione Detalhes do processador de segurança.

4. Selecione Solução de problemas do processador de segurança.

5. Clique em Limpar TPM.

   Importante

   Antes de limpar o TPM, lembre-se do seguinte:

   • Limpar o TPM pode resultar em perda de dados. Você perderá todas as chaves criadas associadas ao TPM e os dados protegidos por essas chaves, como um cartão inteligente virtual, um PIN de logon ou chaves do BitLocker.
   • Se o BitLocker estiver habilitado no dispositivo, certifique-se de desabilitar o BitLocker antes de limpar o TPM.
   • Verifique se você tem um método de backup e recuperação para todos os dados protegidos ou criptografados pelo TPM.

6. Reinicie o dispositivo quando solicitado.

   Observação

   Durante a reinicialização, você pode ser solicitado pela UEFI a pressionar um botão para confirmar que deseja limpar o TPM. Após a conclusão da reinicialização, o TPM será preparado automaticamente para uso pelo Windows 10.

Depois que o dispositivo for reiniciado, o ingresso híbrido do Microsoft Entra deverá ser bem-sucedido. Para verificar, execute dsregcmd /status o comando em um prompt de comando. O resultado a seguir indica uma junção bem-sucedida:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Para obter mais informações, consulte Solucionar problemas do TPM.

Mais informações

Para obter mais informações sobre como solucionar problemas de cogerenciamento, consulte os seguintes artigos:

• Solucionar problemas de cogerenciamento: Bootstrap com provisionamento moderno
• Solucionar problemas de cargas de trabalho de cogerenciamento

Para obter mais informações sobre o cogerenciamento do Intune e do Configuration Manager, consulte os seguintes artigos:

• Visão geral do cogerenciamento do Windows 10
• Introdução: Caminhos para o cogerenciamento
• Guias de início rápido para cogerenciamento
• Tutorial: Habilitar o cogerenciamento para clientes existentes do Configuration Manager