Felsöka Microsoft Entra-hybridanslutna äldre enheter
Den här artikeln gäller endast för följande enheter:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Information om Windows 10 eller senare och Windows Server 2016 finns i Felsöka Microsoft Entra Hybrid-anslutna Windows 10- och Windows Server 2016-enheter.
Den här artikeln förutsätter att du har konfigurerat Microsoft Entra Hybrid-anslutna enheter för att stödja följande scenarier:
- Enhetsbaserad villkorlig åtkomst
Den här artikeln innehåller felsökningsvägledning för hur du löser potentiella problem.
Vad du bör veta:
- Microsoft Entra-hybridanslutning för Windows-enheter med lägre nivå fungerar annorlunda än i Windows 10 eller senare. Många kunder inser inte att de behöver AD FS (för federerade domäner) eller sömlös enkel inloggning konfigurerad (för hanterade domäner).
- Sömlös enkel inloggning fungerar inte i privat webbläsarläge i Firefox och Microsoft Edge-webbläsare. Det fungerar inte heller i Internet Explorer om webbläsaren körs i utökat skyddat läge eller om förbättrad säkerhetskonfiguration är aktiverad.
- För kunder med federerade domäner, om tjänstanslutningspunkten (SCP) har konfigurerats så att den pekar på det hanterade domännamnet (till exempel contoso.onmicrosoft.com, i stället för contoso.com), fungerar inte Microsoft Entra-hybridanslutningen för Windows-enheter med låg nivå.
- Samma fysiska enhet visas flera gånger i Microsoft Entra-ID när flera domänanvändare loggar in microsoft Entra-hybridanslutna enheter på låg nivå. Om till exempel jdoe och jharnett loggar in på en enhet skapas en separat registrering (DeviceID) för var och en av dem på fliken ANVÄNDARinformation.
- Du kan också få flera poster för en enhet på fliken användarinformation på grund av en ominstallation av operativsystemet eller en manuell omregistrering.
- Den första registreringen/anslutningen av enheter är konfigurerad för att utföra ett försök att antingen logga in eller låsa/låsa upp. Det kan uppstå en fördröjning på 5 minuter som utlöses av en schemaläggaraktivitet.
- Kontrollera att KB4284842 är installerat på Windows 7 SP1 eller Windows Server 2008 R2 SP1. Den här uppdateringen förhindrar framtida autentiseringsfel på grund av kundens åtkomstförlust till skyddade nycklar efter att lösenordet har ändrats.
- Microsoft Entra-hybridanslutningen kan misslyckas när en användare har ändrat sitt UPN, vilket bryter den sömlösa SSO-autentiseringsprocessen. Under anslutningsprocessen kan du se att det fortfarande skickar det tidigare UPN till Microsoft Entra-ID: t, såvida inte webbläsarsessionscookies rensas eller användaren uttryckligen loggar ut och tar bort gamla UPN.
Steg 1: Hämta registreringsstatusen
Så här verifierar du registreringsstatusen:
- Logga in med användarkontot som utförde Microsoft Entra-hybridanslutningen.
- Öppna kommandotolken
- Skriv
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Det här kommandot visar en dialogruta som innehåller information om kopplingsstatusen.
Steg 2: Utvärdera Microsoft Entra-hybridanslutningsstatusen
Om enheten inte var Microsoft Entra-hybridansluten kan du försöka ansluta till Microsoft Entra-hybrid genom att klicka på knappen "Anslut". Om försöket att göra Microsoft Entra-hybridanslutningen misslyckas visas information om felet.
De vanligaste problemen är:
Ett felkonfigurerat AD FS- eller Microsoft Entra-ID eller nätverksproblem
- Autoworkplace.exe kan inte autentiseras tyst med Microsoft Entra ID eller AD FS. Det här problemet kan orsakas av saknade eller felkonfigurerade AD FS (för federerade domäner) eller saknade eller felkonfigurerade microsoft entra sömlös enkel inloggning (för hanterade domäner) eller nätverksproblem.
- Det kan vara så att multifaktorautentisering (MFA) är aktiverat/konfigurerat för användaren och ATT WIAORMULTIAUTHN inte har konfigurerats på AD FS-servern.
- En annan möjlighet är att sidan för identifiering av hemsfär (HRD) väntar på användarinteraktion, vilket förhindrar att autoworkplace.exe tyst begär en token.
- Det kan vara så att AD FS- och Microsoft Entra-URL:er saknas i IE:s intranätzon på klienten.
- Problem med nätverksanslutningen kan hindra autoworkplace.exe från att nå AD FS eller Microsoft Entra-URL:er.
- Autoworkplace.exe kräver att klienten har direkt sikt från klienten till organisationens lokala AD-domänkontrollant, vilket innebär att Microsoft Entra-hybridanslutningen endast lyckas när klienten är ansluten till organisationens intranät.
- Om din organisation använder sömlös enkel inloggning med Microsoft Entra finns
https://autologon.microsoftazuread-sso.com
det inte i enhetens IE-intranätinställningar. - Internetinställningen
Do not save encrypted pages to disk
är markerad.
Du är inte inloggad som domänanvändare
Det finns några olika orsaker till varför det här problemet kan uppstå:
- Den inloggade användaren är inte en domänanvändare (till exempel en lokal användare). Microsoft Entra-hybridanslutning på enheter på nednivå stöds endast för domänanvändare.
- Klienten kan inte ansluta till en domänkontrollant.
En kvot har uppnåtts
Tjänsten svarar inte
Du hittar även statusinformationen i händelseloggen under: Program- och tjänstlogg\Microsoft-Workplace Join
De vanligaste orsakerna till en misslyckad Microsoft Entra-hybridanslutning är:
- Datorn är inte ansluten till organisationens interna nätverk eller till ett VPN med en anslutning till din lokala AD-domänkontrollant.
- Du är inloggad på datorn med ett lokalt datorkonto.
- Problem med tjänstkonfiguration:
- AD FS-servern är inte konfigurerad för att stödja WIAORMULTIAUTHN.
- Datorns skog har inget tjänstanslutningspunktobjekt som pekar på ditt verifierade domännamn i Microsoft Entra-ID
- Eller om domänen hanteras har sömlös enkel inloggning inte konfigurerats eller fungerat.
- En användare har nått gränsen för enheter.