Felsöka samhantering: Registrera befintliga Configuration Manager-hanterade enheter automatiskt i Intune

Den här artikeln hjälper dig att förstå och felsöka problem som kan uppstå när du konfigurerar samhantering genom att automatiskt registrera befintliga Configuration Manager-hanterade enheter i Intune.

I det här scenariot kan du fortsätta att hantera Windows 10-enheter med Hjälp av Configuration Manager, eller så kan du selektivt flytta arbetsbelastningar till Microsoft Intune som du vill. Mer information om hur du konfigurerar arbetsbelastningar finns i Supporttips: Konfigurera arbetsbelastningar i en samhanterad miljö.

Innan du börjar

Innan du börjar felsöka är det viktigt att samla in grundläggande information om problemet och se till att du följer alla nödvändiga konfigurationssteg. Det hjälper dig att bättre förstå problemet och minska tiden för att hitta en lösning. Det gör du genom att följa den här checklistan med förfelningsfrågor:

• Hade du de behörigheter och roller som krävs för att konfigurera samhantering?
• Vilket Hybrididentitetsalternativ för Microsoft Entra valde du?
• Vilken är din nuvarande MDM-utfärdare?
• Har du installerat och konfigurerat Microsoft Entra Connect?
• Har du tilldelat en Microsoft Entra ID P1- eller P2-licens till det UPN som du använde för konfiguration?
• Har du tilldelat Intune-licenser till användarna?
• Har du konfigurerat Microsoft Entra-hybridanslutning för hanterade domäner eller federerade domäner?
• Har du konfigurerat konfigurationshanterarens klientagentinställningar för Microsoft Entra-hybridanslutning?
• Konfigurerade du automatisk registrering i Intune-klientorganisationen?
• Aktiverade du samhantering i Configuration Manager?

De flesta problem uppstår eftersom en eller flera av de här stegen inte har slutförts. Om du upptäcker att ett steg hoppades över eller inte slutfördes kan du kontrollera informationen om varje steg eller se följande självstudie: Aktivera samhantering för befintliga Configuration Manager-klienter.

Använd följande loggfil på Windows 10-enheter för att felsöka problem med samhantering på klienten:

%WinDir%\CCM\logs\CoManagementHandler.log

Felsöka Microsoft Entra-hybridkonfiguration

Om du har problem som påverkar antingen Microsoft Entra-hybrididentiteten eller Microsoft Entra Connect kan du läsa följande felsökningsguider:

• Felsöka installationsproblem med Microsoft Entra Connect
• Felsöka fel under Microsoft Entra Connect-synkronisering
• Felsöka synkronisering av lösenordshash med Microsoft Entra ID Connect-synkronisering
• Felsöka sömlös enkel inloggning med Microsoft Entra
• Felsöka Direktautentisering för Microsoft Entra
• Felsöka problem med enkel inloggning med Active Directory Federation Services (AD FS)

Om du har problem som påverkar Microsoft Entra-hybridanslutning för hanterade domäner eller federerade domäner kan du läsa följande felsökningsguider:

• Felsöka Microsoft Entra hybridanslutna enheter
• Felsöka enheter med kommandot dsregcmd

Vanliga problem

Klienterna fick inte principen från Configuration Manager-hanteringsplatsen för att starta registreringsprocessen med Microsoft Entra-ID och Intune

Det här problemet uppstår på grund av ett problem i Configuration Manager och inte i Intune. Du kan använda klientloggfilerna för att felsöka sådana problem.

Configuration Manager-klienten är installerad. Enheten registreras dock inte med Microsoft Entra-ID och inga fel visas

Det här problemet beror vanligtvis på att konfigurationshanterarens klientagentinställningar inte har konfigurerats för att dirigera klienterna att registrera sig.

Kontrollera att du följer stegen i Konfigurera klientinställningar för att dirigera klienter att registrera sig med Microsoft Entra-ID för att åtgärda problemet.

Configuration Manager-klienten är installerad och enheten har registrerats med Microsoft Entra-ID. Enheten registreras dock inte automatiskt i Intune och inga fel visas

Det här problemet uppstår vanligtvis när automatisk registrering är felkonfigurerad i din Intune-klient under Microsoft Entra ID>Mobility (MDM och MAM)>Microsoft Intune.

Åtgärda problemet genom att följa stegen i Konfigurera automatisk registrering av enheter till Intune.

Du kan inte hitta noden för samhantering under Administration > Cloud Services i Configuration Manager-konsolen

Det här problemet uppstår om din version av Configuration Manager är tidigare än version 1906.

Åtgärda problemet genom att uppdatera Configuration Manager till version 1906 eller en senare version.

Microsoft Entra Hybrid-anslutna enheter kan inte registrera och generera fel 0x8018002a

När det här problemet uppstår ser du också följande symtom:

• Följande felmeddelande loggas i program- och tjänstloggarna>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin-log i Loggboken:

  Automatisk MDM-registrering: Misslyckades (okänd Win32-felkod: 0x8018002a)

• Följande felmeddelande loggas i Program- och tjänstloggar>Microsoft>Windows>Microsoft Entra ID>Driftlogg i Loggboken:

  Fel: 0xCAA2000C Begäran kräver användarinteraktion.
  Kod: interaction_required
  Beskrivning/ kontroller: AADSTS50076: På grund av en konfigurationsändring som gjorts av administratören, eller på grund av att du har flyttat till en ny plats, måste du använda multifaktorautentisering för åtkomst.

Det här problemet uppstår när multifaktorautentisering (MFA) tillämpas. Det förhindrar att Configuration Manager-klientagenten registrerar enheten med hjälp av inloggningsuppgifterna för användaren.

Kommentar

Det finns en skillnad mellan att ha MFA aktiverat och framtvingat. Mer information om skillnaden finns i Användartillstånd för Microsoft Entra-multifaktorautentisering. Det här scenariot fungerar genom att MFA är aktiverat men inte har MFA framtvingas.

Åtgärda problemet genom att använda någon av följande metoder:

• Ange MFA till Aktiverad men inte Framtvingad. Mer information finns i Konfigurera multifaktorautentisering.
• Inaktivera MFA tillfälligt under registreringen i betrodda IP-adresser.

Enheter kan inte synkroniseras efter automatisk registrering

Från och med Configuration Manager version 1906 registreras automatiskt en samhanterad enhet som kör Windows 10 version 1803 eller en senare version till Microsoft Intune-tjänsten baserat på dess Microsoft Entra-enhetstoken. Enheten kan dock inte synkroniseras och du får följande felmeddelande i Inställningar>Konton>Åtkomst till arbete eller skola:

Synkroniseringen lyckades inte helt eftersom vi inte kunde verifiera dina autentiseringsuppgifter. Välj Synkronisera för att logga in och försök igen.

När det här problemet uppstår loggas följande felmeddelande i Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin-log i Loggboken:

MDM-session: Det gick inte att hämta Microsoft Entra-token för synkroniseringssessionens användartoken: (Okänd Win32-felkod: 0xcaa2000c) Enhetstoken: (Felaktig funktion).

Följande felmeddelande loggas i Program- och tjänstloggar>Microsoft>Windows>Microsoft Entra ID>Driftlogg i Loggboken:

Fel: 0xCAA2000C Begäran kräver användarinteraktion.
Kod: interaction_required
Beskrivning/ kontroller: AADSTS50076: På grund av en konfigurationsändring som gjorts av administratören, eller på grund av att du har flyttat till en ny plats, måste du använda multifaktorautentisering för åtkomst.

Det här problemet uppstår när MFA är aktiverad eller framtvingad eller Microsoft Entra-principer för villkorsstyrd åtkomst som kräver MFA tillämpas på alla molnappar. Det förhindrar användarassociation med enheten i portalen.

Åtgärda problemet genom att använda någon av följande metoder:

• Om MFA är aktiverat eller framtvingat:
  • Ange MFA till Inaktiverad. Mer information finns i Inaktivera äldre MFA per användare.
  • Kringgå MFA med hjälp av betrodda IP-adresser.
• Om principer för villkorsstyrd åtkomst i Microsoft Entra används undantar du Microsoft Intune-appen från de principer som kräver MFA för att tillåta enhetssynkronisering med hjälp av användarautentiseringsuppgifterna.

En Microsoft Entra-hybrid ansluten Windows 10-enhet kan inte registreras i Intune med fel 0x800706D9 eller 0x80180023

När det här problemet uppstår visas vanligtvis följande felmeddelande i Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin-log i Loggboken:

MDM-registrering: OMA-DM-klientkonfigurationen misslyckades. RAWResult: (0x800706D9) Resultat: (Okänd Win32-felkod: 0x80180023).
MDM-registrering: Etableringen misslyckades. Resultat: (Okänd Win32-felkod: 0x80180023).
MDM-registrering: Misslyckades (okänd Win32-felkod: 0x80180023)
Automatisk MDM-registrering: Enhetsautentiseringsuppgifter (0x80180023), misslyckades (%2)
MDM Avregistrering: Det gick inte att skicka avregistreringsaviseringen till servern. Resultat: (Felaktig funktion.).
MDM Avregistrering: Det gick inte att ändra starttypen för dmwappushservice till begärandestart. Resultat: (Den angivna tjänsten finns inte som en installerad tjänst.)

Det här problemet uppstår om dmwappushservice tjänsten saknas på enheten. Kontrollera genom att köra services.msc för att leta efter den här tjänsten.

Följ nedanstående steg för att lösa problemet:

1. Exportera följande registernyckel på en fungerande enhet som kör samma version av Windows 10 som den berörda enheten:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Logga in på den berörda enheten som lokal administratör, kopiera .reg-filen till den berörda enheten och sammanfoga den sedan med det lokala registret.

3. Starta om den berörda enheten.

4. Ta bort den gamla Microsoft Entra-registreringen och uppdatera sedan grupprincip.

5. Starta om den berörda enheten igen. Enheten ska kunna registrera sig med Microsoft Entra-ID och registrera sig automatiskt i Intune.

Microsoft Entra-hybridanslutning misslyckas i en hanterad domän med fel 0x801c03f2

När du kör dsregcmd /status från en kommandotolk på enheten kan du se att den är domänansluten men inte Microsoft Entra-hybridansluten. Följande felmeddelande loggas i loggen för program- och tjänstloggar>för Microsoft>Windows-användarenhetsregistreringsadministratören>> i Loggboken:

Serversvaret var: {"ErrorType":"DirectoryError","Meddelande":"Det offentliga nyckelanvändarcertifikatet hittades inte på enhetsobjektet med ID <DeviceID>".

Det här problemet uppstår i någon av följande situationer:

• Enhetsobjektet saknas i Microsoft Entra-ID.
• Attributet Usercertificate har inte enhetscertifikatet i lokal Active Directory- eller Microsoft Entra-ID:t.

För att registrering av Windows 10-enheter ska fungera i en hanterad domän måste enhetsobjektet synkroniseras först. Registreringsprocessen fungerar på följande sätt:

• Windows 10-enheten startar för första gången när den är lokal domänansluten.
• Enhetsregistrering utlöses och en certifikatbegäran skapas.
• När begäran skapas publiceras certifikatets offentliga nyckel i den lokala AD:n för enhetsobjektet. Detta uppdaterar attributet Usercertificate för enhetsobjekten. Samtidigt skickas begäran om signerad enhetsregistrering till Microsoft Entra-ID.
• Registreringen misslyckas eftersom Microsoft Entra-ID inte kan autentisera enhetsobjektet eller verifiera den signerade begäran.
• Nästa gång synkroniseringscykeln körs hittar den det enhetsobjekt som har Usercertificate attributet fyllt och synkroniserar enhetsobjektet med Microsoft Entra-ID.
• Nästa gång registreringstjänsten utlöses (detta körs varje timme) skickar enheten en ny begäran som är signerad av den privata nyckeln.
• Azure verifierar signaturen för begäran med hjälp av det offentliga certifikat som togs emot från den lokala domänen under synkroniseringscykeln. Om Microsoft Entra-ID:t kan verifiera signaturen på begäran lyckas enhetsregistreringen.

Du löser problemet genom att följa dessa steg:

1. I lokal AD kontrollerar du att Usercertificate attributet är ifyllt och har rätt certifikat.

2. Kontrollera backend-enhetsobjektet och kontrollera att Usercertificate attributet finns och är ifyllt.

3. Om certifikatet saknas eller om någon har tagit bort certifikatet från den lokala AD(som i sin tur tar bort certifikatet från Microsoft Entra-ID) misslyckas enhetsregistreringen. Åtgärda problemet genom att göra följande på klientenheten:

   1. Öppna ett upphöjt kommandotolkfönster och kör sedan följande kommando:

      dsregcmd /leave
      

   2. Kör certlm.msc för att öppna certifikatarkivet för den lokala datorn.

   3. Kontrollera att datorcertifikatet som utfärdas av MS-Organization-Access har tagits bort.

   4. Starta om klientenheten för att utlösa en ny enhetsregistrering.

   5. När enheten har startats om kontrollerar du att den nya offentliga certifikatnyckeln har uppdaterats på enhetsobjektet i den lokala AD-datorn. Om det finns flera domänkontrollanter kontrollerar du att attributet replikeras till alla domänkontrollanter.

   6. Utlös en deltasynkronisering på Microsoft Entra Connect-servern.

   7. När synkroniseringen är klar kan du utlösa enhetsregistrering genom att starta om klienten, köra dsregcmd /debug kommandot eller köra den schemalagda aktiviteten Automatic-Device-Join under Workplace Join.

Automatisk enhetsregistrering misslyckas med fel 0x80280036

När det här problemet inträffar loggas följande felmeddelande i loggen för program- och tjänstloggar för Microsoft>Windows-användarenhetsregistrering>>>i Loggboken:

DeviceRegistrationApi::BeginJoin misslyckades med felkoden: 0x80280036

Beskrivning:
Initieringen av anslutningsbegäran misslyckades med slutkoden: TPM försöker köra ett kommando som endast är tillgängligt när det är i FIPS-läge.

Det här problemet uppstår om TPM-kretsen på klientenheten har FIPS-läge aktiverat. FIPS-läge stöds inte eller rekommenderas inte för Azure-enhetsregistrering. Mer information finns i Varför vi inte rekommenderar "FIPS-läge" längre.

Microsoft Entra-hybridanslutning misslyckas med fel 0x80090016

Hybrid Microsoft Entra-registrering av en Windows 10-enhet misslyckas och du får följande felmeddelande:

Något gick fel. Bekräfta att du använder rätt inloggningsinformation och att din organisation använder den här funktionen. Du kan försöka göra detta igen eller kontakta systemadministratören med felkoden 0x80090016

Felmeddelandet för 0x80090016 är Att nyckeluppsättningen inte finns. Det innebär att enhetsregistreringen inte kunde spara enhetsnyckeln eftersom TPM-nycklarna inte var tillgängliga.

Det här problemet uppstår om Windows inte är ägare till TPM. Från och med Windows 10 initierar och tar operativsystemet automatiskt över ägarskapet för TPM. Men om den här processen misslyckas kommer Windows inte att vara ägare och kommer att resultera i problemet.

Åtgärda problemet genom att rensa TPM och starta om klientenheten. Gör så här för att rensa TPM:

1. Öppna appen Windows-säkerhet.

2. Välj Enhetssäkerhet.

3. Välj Information om säkerhetsprocessor.

4. Välj Felsökning av säkerhetsprocessor.

5. Klicka på Rensa TPM.

   Viktigt!

   Innan du rensar TPM bör du vara medveten om följande:

   • Om du rensar TPM kan det leda till dataförlust. Du förlorar alla skapade nycklar som är associerade med TPM och data som skyddas av dessa nycklar, till exempel ett virtuellt smartkort, en PIN-kod för inloggning eller BitLocker-nycklar.
   • Om BitLocker är aktiverat på enheten kontrollerar du att du inaktiverar BitLocker innan du rensar TPM.
   • Kontrollera att du har en säkerhetskopierings- och återställningsmetod för alla data som skyddas eller krypteras av TPM.

6. Starta om enheten när du uppmanas att göra det.

   Kommentar

   Under omstarten kan UEFI uppmana dig att trycka på en knapp för att bekräfta att du vill rensa TPM. När omstarten är klar förbereds TPM automatiskt för användning av Windows 10.

När enheten har startats om bör Microsoft Entra-hybridanslutningen lyckas. Kontrollera genom att köra dsregcmd /status kommandot i en kommandotolk. Följande resultat indikerar en lyckad koppling:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Mer information finns i FelsökA TPM.

Mer information

Mer information om hur du felsöker samhanteringsproblem finns i följande artiklar:

• Felsöka samhantering: Bootstrap med modern etablering
• Felsöka samhanteringsarbetsbelastningar

Mer information om samhantering med Intune och Configuration Manager finns i följande artiklar:

• Översikt över samhantering i Windows 10
• Komma igång: Vägar till samhantering
• Snabbstarter för samhantering
• Självstudie: Aktivera samhantering för befintliga Configuration Manager-klienter