Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления путем автоматической регистрации существующих устройств, управляемых Configuration Manager, в Intune.

В этом сценарии вы можете продолжать управлять устройствами Windows 10 с помощью Configuration Manager или выборочно перемещать рабочие нагрузки в Microsoft Intune по мере желаний. Дополнительные сведения о настройке рабочих нагрузок см . в совете по поддержке. Настройка рабочих нагрузок в совместно управляемой среде.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и убедиться, что вы выполните все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время, чтобы найти решение. Для этого выполните этот контрольный список предварительных вопросов по устранению неполадок:

• У вас есть необходимые разрешения и роли для настройки совместного управления?
• Какой вариант гибридного удостоверения Microsoft Entra вы выбрали?
• Что такое текущий центр MDM?
• Вы установили и настроили Microsoft Entra Connect?
• Вы назначили лицензию Microsoft Entra ID P1 или P2 имени участника-пользователя, который использовался для настройки?
• Вы назначили пользователям лицензии Intune?
• Вы настроили гибридное соединение Microsoft Entra для управляемых доменов или федеративных доменов?
• Вы настроили параметры агента клиента Configuration Manager для гибридного соединения Microsoft Entra?
• Вы настроили автоматическую регистрацию в клиенте Intune?
• Вы включите совместное управление в Configuration Manager?

Большинство проблем возникают из-за того, что один или несколько этих шагов не были выполнены. Если вы обнаружили, что шаг пропущен или не выполнен успешно, проверьте сведения о каждом шаге или ознакомьтесь со следующим руководством. Включите совместное управление существующими клиентами Configuration Manager.

Используйте следующий файл журнала на устройствах Windows 10 для устранения неполадок совместного управления на клиенте:

%WinDir%\CCM\logs\CoManagementHandler.log

Устранение неполадок гибридной конфигурации Microsoft Entra

Если возникают проблемы, влияющие на гибридное удостоверение Microsoft Entra или Microsoft Entra Connect, ознакомьтесь со следующими руководствами по устранению неполадок:

• Устранение неполадок с установкой Microsoft Entra Connect
• Устранение ошибок во время синхронизации Microsoft Entra Connect
• Устранение неполадок с синхронизацией хэшированных паролей в службе синхронизации Microsoft Entra Connect
• Устранение неполадок с простым единым входом через Microsoft Entra
• Устранение неполадок в работе сквозной аутентификации Microsoft Entra
• Устранение неполадок единого входа с помощью службы федерации Active Directory (AD FS)

Если возникают проблемы, влияющие на гибридное присоединение Microsoft Entra для управляемых доменов или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок:

• Устранение неполадок на устройствах, присоединенных к Microsoft Entra гибридным способом
• Устранение неполадок с устройствами с помощью команды dsregcmd

Распространенные проблемы

Клиенты не получили политику из точки управления Configuration Manager, чтобы запустить процесс регистрации с идентификатором Microsoft Entra и Intune

Эта проблема возникает из-за проблемы в Configuration Manager, а не Intune. Файлы журнала клиента можно использовать для устранения таких проблем.

Устанавливается клиент Configuration Manager. Однако устройство не регистрируется в идентификаторе Microsoft Entra, и ошибки не отображаются.

Эта проблема обычно возникает, так как параметры агента клиента Configuration Manager не настроены для направления клиентов для регистрации.

Чтобы устранить проблему, убедитесь, что выполните действия, описанные в разделе "Настройка параметров клиента" для прямого регистрации клиентов с помощью идентификатора Microsoft Entra.

Клиент Configuration Manager установлен, и устройство успешно зарегистрировано с идентификатором Microsoft Entra. Однако устройство не регистрируется автоматически в Intune и не отображается ошибок.

Эта проблема обычно возникает при неправильной настройке автоматической регистрации в клиенте Intune в microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

Чтобы устранить проблему, выполните действия, описанные в разделе "Настройка автоматической регистрации устройств в Intune".

Не удается найти узел совместного управления в разделе "Администрирование > Облачные службы" в консоли Configuration Manager

Эта проблема возникает, если версия Configuration Manager выше версии 1906.

Чтобы устранить проблему, обновите Configuration Manager до версии 1906 или более поздней версии.

Гибридные устройства, присоединенные к Microsoft Entra, не могут регистрировать и создавать ошибки 0x8018002a

При возникновении этой проблемы также обратите внимание на следующие симптомы:

• Следующее сообщение об ошибке регистрируется в журнале> приложений и служб Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin в Просмотр событий:

  Автоматическая регистрация MDM: сбой (неизвестный код ошибки Win32: 0x8018002a)

• Следующее сообщение об ошибке регистрируется в журнале>приложений и служб Microsoft>Windows>Microsoft Entra ID>Operations log in the Просмотр событий:

  Ошибка: 0xCAA2000C запрос требует взаимодействия с пользователем.
  Код: interaction_required
  Описание: AADSTS50076. Из-за изменения конфигурации, внесенных администратором, или из-за перемещения в новое расположение необходимо использовать многофакторную проверку подлинности для доступа.

Эта проблема возникает при применении многофакторной проверки подлинности (MFA). Он запрещает агенту клиента Configuration Manager регистрировать устройство с помощью учетных данных пользователя, вошедшего в систему.

Примечание.

Существует разница между включением MFA и применением. Дополнительные сведения о разнице см. в разделе о состоянии пользователей многофакторной проверки подлинности Microsoft Entra. Этот сценарий работает путем включения MFA, но не принудительного применения MFA.

Чтобы устранить проблему, используйте один из следующих методов:

• Установите для MFA значение "Включено ", но не применяется. Дополнительные сведения см. в разделе "Настройка многофакторной проверки подлинности".
• Временно отключите MFA во время регистрации в доверенных IP-адресах.

Устройства не могут синхронизироваться после автоматической регистрации

Начиная с Configuration Manager версии 1906, совместно управляемое устройство под управлением Windows 10 версии 1803 или более поздней версии автоматически регистрируется в службе Microsoft Intune на основе маркеров устройств Microsoft Entra. Однако устройство не удается синхронизировать, и вы получите следующее сообщение об ошибке в разделе "Параметры учетных>>записей доступа к рабочим или учебным заведениям".

Синхронизация не была полностью успешной, так как не удалось проверить учетные данные. Нажмите кнопку "Синхронизация", чтобы войти и повторить попытку.

При возникновении этой проблемы в журнале администраторов>>Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>в журнале администратора Просмотр событий регистрируется следующее сообщение об ошибке:

Сеанс MDM: не удалось получить маркер Microsoft Entra для маркера пользователя сеанса синхронизации: (неизвестный код ошибки Win32: 0xcaa2000c) токен устройства: (неправильная функция).

Следующее сообщение об ошибке регистрируется в журнале>приложений и служб Microsoft>Windows>Microsoft Entra ID>Operations log in the Просмотр событий:

Ошибка: 0xCAA2000C запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076. Из-за изменения конфигурации, внесенных администратором, или из-за перемещения в новое расположение необходимо использовать многофакторную проверку подлинности для доступа.

Эта проблема возникает при включенном или принудительном использовании MFA или политиках условного доступа Microsoft Entra, которые требуют многофакторной проверки подлинности, применяются ко всем облачным приложениям. Он предотвращает связь пользователя с устройством на портале.

Чтобы устранить проблему, используйте один из следующих методов:

• Если многофакторная проверка подлинности включена или применена:
  • Установите для MFA значение "Отключено". Дополнительные сведения см. в разделе "Отключение устаревшей MFA для каждого пользователя".
  • Обход MFA с помощью доверенных IP-адресов.
• Если используются политики условного доступа Microsoft Entra, исключите приложение Microsoft Intune из политик, требующих MFA, чтобы разрешить синхронизацию устройств с помощью учетных данных пользователя.

Гибридное устройство Microsoft Entra, присоединенное к Windows 10, не может зарегистрировать в Intune с ошибкой 0x800706D9 или 0x80180023

При возникновении этой проблемы обычно отображается следующее сообщение об ошибке в журналах>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin в Просмотр событий:

Регистрация MDM: сбой конфигурации клиента OMA-DM. RAWResult: (0x800706D9) Результат: (неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой подготовки. Результат: (неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой (неизвестный код ошибки Win32: 0x80180023)
Автоматическая регистрация MDM: учетные данные устройства (0x80180023), сбой (%2)
Отмена регистрации MDM: ошибка отправки оповещения об отмене регистрации на сервер. Результат: (неправильная функция.).
MdM Unenroll: изменение типа запуска dmwappushservice на сбой запуска по запросу. Результат: (указанная служба не существует в качестве установленной службы.)

Эта проблема возникает, если dmwappushservice служба отсутствует на устройстве. Чтобы проверить, выполните поиск services.msc этой службы.

Чтобы устранить проблему, выполните указанные ниже действия.

1. На рабочем устройстве, работающем под управлением той же версии Windows 10, что и затронутое устройство, экспортируйте следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Войдите на затронутое устройство в качестве локального администратора, скопируйте файл .reg на затронутое устройство, а затем объедините его с локальным реестром.

3. Перезапустите затронуте устройство.

4. Удалите старую регистрацию Microsoft Entra, а затем обновите групповую политику.

5. Перезапустите затронуте устройство снова. Устройство должно быть в состоянии зарегистрировать с помощью идентификатора Microsoft Entra и автоматически зарегистрировать в Intune.

Сбой гибридного соединения Microsoft Entra в управляемом домене с ошибкой 0x801c03f2

При запуске dsregcmd /status из командной строки на устройстве вы увидите, что он присоединен к домену, но не к гибридному присоединению к Microsoft Entra. Следующее сообщение об ошибке регистрируется в журнале администратора регистрации>устройств пользователей Microsoft>Windows>в журнале>приложения и службы в Просмотр событий:

Ответ сервера: {"ErrorType":"DirectoryError","Message":"Сертификат пользователя открытого ключа не найден на объекте устройства с идентификатором <DeviceID>".

Эта проблема возникает в одной из следующих ситуаций:

• Объект устройства отсутствует в идентификаторе Microsoft Entra.
• Атрибут Usercertificate не имеет сертификата устройства в локальная служба Active Directory или идентификаторе Microsoft Entra.

Чтобы регистрация устройств Windows 10 работала в управляемом домене, сначала необходимо синхронизировать объект устройства. Процесс регистрации работает следующим образом:

• Устройство Windows 10 начинается в первый раз после присоединения к локальному домену.
• Регистрация устройства активируется и создается запрос на сертификат.
• При создании запроса открытый ключ сертификата публикуется в локальной службе AD для объекта устройства. Это обновляет Usercertificate атрибут на объектах устройства. В то же время подписанный запрос на регистрацию устройства отправляется в идентификатор Microsoft Entra.
• Регистрация завершается ошибкой, так как идентификатор Microsoft Entra не может пройти проверку подлинности объекта устройства или проверить подписанный запрос.
• При следующем запуске цикла синхронизации он находит объект устройства с Usercertificate заполненным атрибутом и синхронизирует объект устройства с идентификатором Microsoft Entra.
• При следующем запуске службы регистрации (это выполняется каждый час), устройство отправляет новый запрос, подписанный закрытым ключом.
• Azure проверяет подпись запроса с помощью общедоступного сертификата, полученного из локального домена во время цикла синхронизации. Если идентификатор Microsoft Entra может проверить подпись в запросе, регистрация устройства завершается успешно.

Для устранения данной проблемы выполните следующие действия:

1. В локальной службе AD убедитесь, что Usercertificate атрибут заполнен и имеет правильный сертификат.

2. Проверьте внутренний объект устройства и убедитесь, что Usercertificate атрибут существует и заполнен.

3. Если сертификат отсутствует или кто-то удалил сертификат из локальной службы AD (который, в свою очередь, удаляет сертификат из идентификатора Microsoft Entra), регистрация устройства завершается ошибкой. Чтобы устранить эту проблему, выполните следующие действия на клиентском устройстве:

   1. Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

      dsregcmd /leave
      

   2. Запустите certlm.msc , чтобы открыть хранилище сертификатов локального компьютера.

   3. Убедитесь, что сертификат компьютера, выданный MS-Organization-Access , удаляется.

   4. Перезапустите клиентское устройство, чтобы активировать новую регистрацию устройства.

   5. После перезапуска устройства убедитесь, что новый открытый ключ сертификата обновляется в объекте устройства в локальной ad. Если существует несколько контроллеров домена, убедитесь, что атрибут реплицируется ко всем контроллерам домена.

   6. Активируйте разностную синхронизацию на сервере Microsoft Entra Connect.

   7. После завершения синхронизации можно активировать регистрацию устройства, перезагрузив клиент, выполнив dsregcmd /debug команду или выполнив запланированную задачу автоматическое присоединение к устройству в разделе "Присоединение к рабочему месту".

Автоматическая регистрация устройств завершается ошибкой 0x80280036

При возникновении этой проблемы в журнал "Журналы приложений и служб" в журналы администратора регистрации>пользовательских>устройств Microsoft>Windows>в Просмотр событий записывается следующее сообщение об ошибке:

Ошибка DeviceRegistrationApi::BeginJoin с кодом ошибки: 0x80280036

Описание.
Сбой инициализации запроса соединения с кодом выхода: TPM пытается выполнить команду, доступную только в режиме FIPS.

Эта проблема возникает, если микросхема TPM на клиентском устройстве включена в режиме FIPS. Режим FIPS не поддерживается или рекомендуется для регистрации устройств Azure. Дополнительные сведения см. в статье о том, почему мы больше не рекомендуем использовать режим FIPS.

Гибридное соединение Microsoft Entra завершается ошибкой 0x80090016

Сбой гибридной регистрации записей Майкрософт устройства с Windows 10, и вы получите следующее сообщение об ошибке:

Произошла ошибка. Подтвердите, что вы используете правильные сведения для входа и что организация использует эту функцию. Это можно сделать еще раз или обратиться к системному администратору с кодом ошибки 0x80090016

Сообщение об ошибке 0x80090016 — набор ключей не существует. Это означает, что регистрация устройства не могла сохранить ключ устройства, так как ключи доверенного платформенного модуля недоступны.

Эта проблема возникает, если Windows не является владельцем доверенного платформенного модуля. Начиная с Windows 10 операционная система автоматически инициализирует и берет на себя ответственность за TPM. Однако если этот процесс завершится ошибкой, Windows не будет владельцем и приведет к проблеме.

Чтобы устранить эту проблему, снимите TPM и перезапустите клиентское устройство. Чтобы очистить TPM, выполните следующие действия.

1. Откройте приложение Безопасность Windows.

2. Выберите "Безопасность устройства".

3. Выберите сведения о обработчике безопасности.

4. Выберите устранение неполадок обработчика безопасности.

5. Нажмите кнопку "Очистить TPM".

   Внимание

   Прежде чем очистить TPM, помните следующее:

   • Очистка доверенного платформенного модуля может привести к потере данных. Вы потеряете все созданные ключи, связанные с TPM и данными, защищенными этими ключами, такими как виртуальная смарт-карта, ПИН-код входа или ключи BitLocker.
   • Если BitLocker включен на устройстве, убедитесь, что вы отключите BitLocker перед очисткой доверенного платформенного модуля.
   • Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных TPM.

6. Перезапустите устройство при появлении запроса.

   Примечание.

   Во время перезапуска может быть предложено UEFI нажать кнопку, чтобы убедиться, что вы хотите очистить TPM. После завершения перезагрузки TPM будет автоматически подготовлен для использования Windows 10.

После перезапуска устройства гибридное соединение Microsoft Entra должно быть успешным. Чтобы проверить, выполните dsregcmd /status команду в командной строке. Следующий результат указывает на успешное присоединение:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Дополнительные сведения см. в разделе "Устранение неполадок доверенного платформенного модуля".

Дополнительная информация

Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

• Устранение неполадок совместного управления: начальная загрузка с помощью современной подготовки
• Устранение неполадок с рабочими нагрузками совместного управления

Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях:

• Обзор совместного управления Windows 10
• Начало работы: пути к совместному управлению
• Краткие руководства по совместному управлению
• Руководство. Включение совместного управления для существующих клиентов Configuration Manager