在 Microsoft Entra ID 中排查企业状态漫游设置问题

项目
08/08/2024

本文介绍了如何排查和诊断企业状态漫游问题，并提供已知问题的列表。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。请参阅安装 Azure PowerShell 以开始使用。若要了解如何迁移到 Az PowerShell 模块，请参阅将 Azure PowerShell 从 AzureRM 迁移到 Az。

注意

本文适用于 2015 年 7 月与 Windows 10 一起推出的 Microsoft Edge 旧版 HTML 浏览器。本文不适用于 2020 年 1 月 15 日发布的基于 Chromium 的新 Microsoft Edge 浏览器。有关新 Microsoft Edge 的同步行为的详细信息，请参阅 Microsoft Edge 同步文章。

故障排除预备步骤

在开始故障排除之前，请确认已正确配置用户和设备，并且满足企业状态漫游的所有要求。

已在设备上安装包含最新更新的 Windows 10 或更新版本，最低版本 1511（OS 内部版本 10586 或更高）。
设备已加入 Microsoft Entra 或已进行 Microsoft Entra 混合加入。有关详细信息，请参阅如何使设备受 Microsoft Entra ID 控制。
确保如启用企业状态漫游中所述在 Microsoft Entra ID 中为租户启用了企业状态漫游。可以为所有用户启用漫游，也可以仅为选定的一组用户启用漫游。
将向用户分配 Microsoft Entra ID P1 或 P2 许可证。
必须重启设备，并且用户必须重新登录才能访问企业状态漫游功能。

排查和诊断问题

本部分提供有关如何排查和诊断企业状态漫游相关问题的建议。

验证同步和“同步设置”设置页

将 Windows 10 或更新版本电脑加入到配置为允许企业状态漫游的域之后，请使用工作帐户登录。转到“设置”>“帐户”>“同步设置”，确认同步和各项设置已打开，并且设置页的顶部指示将与工作帐户同步。在“设置”>“帐户”>“信息”中确认同一个帐户也用作登录帐户。
在原始计算机上进行一些更改（例如，将任务栏移到屏幕各处），验证同步是否能够跨多台计算机正常工作。观察更改能否在 5 分钟内传播到第二台计算机。
- 可以借助锁定和解锁屏幕 (Win + L) 来触发同步。
- 必须在这两台 PC 上使用同一帐户登录，同步才能工作 - 因为企业状态漫游绑定到用户帐户，而不是计算机帐户。

潜在问题：“设置”页中的控件不可用，并且看到消息“某些 Windows 功能仅在使用 Microsoft 帐户或工作帐户时才可用”。如果设备设置为已加入域并注册到 Microsoft Entra ID，但设备尚未向 Microsoft Entra ID 进行身份验证，则可能会出现此问题。一个可能的原因是必须应用设备策略，但这种策略应用是异步发生的，可能会花费几个小时。

验证设备注册状态

企业状态漫游要求将设备注册到 Microsoft Entra ID。尽管不专门针对企业状态漫游，但使用以下说明可帮助确认 Windows 10 或更新版本客户端是否已注册，并确认指纹、Microsoft Entra 设置 URL、NGC 状态和其他信息。

打开未提升权限的命令提示符。若要在 Windows 中执行此操作，请打开“运行”启动器 (Win + R) 并键入“cmd”。
命令提示符打开后，键入 *dsregcmd.exe /status*。
在预期的输出中，AzureAdJoined 字段值应为 YES，WamDefaultSet 字段值应为 YES，WamDefaultGUID 字段值应是末尾为 (AzureAD) 的 GUID。

潜在问题：“WamDefaultSet”和“AzureAdJoined”的字段值中都包含“NO”，设备已加入域并已注册到 Microsoft Entra ID，且设备未同步。如果显示此信息，则设备可能需要等待应用策略，或者在连接到 Microsoft Entra ID 时设备的身份验证失败。用户可能需要等待几个小时来应用策略。其他故障排除步骤可能包括通过注销再重新登录，或者在任务计划程序中启动任务，来重试自动注册。某些情况下，在权限提升的命令提示符窗口中运行“dsregcmd.exe /leave”，重新启动，并重试注册，可能有助于解决此问题。

潜在问题：“SettingsUrl”字段为空，且设备未同步。用户最后一次登录设备时，可能还没有启用企业状态漫游。重启设备并让用户登录。（可选）在门户中，尝试让 IT 管理员导航到“标识”>“设备”>“概述”>“企业状态漫游”禁用并重新启用“用户可以跨设备同步设置和应用数据”。重新启用后，重新启动设备并让用户登录。如果这未解决该问题，则在设备证书错误的情况下，“SettingsUrl”可能为空。在此情况下，在权限提升的命令提示符窗口中运行“dsregcmd.exe /leave”，重启然后重试注册，可能有助于解决此问题。

企业状态漫游和多重身份验证

在某些情况下，如果配置 Microsoft Entra 多重身份验证，企业状态漫游可能无法同步数据。有关这些症状的详细信息，请参阅支持文档 KB3193683。

潜在问题：如果在 Microsoft Entra 管理中心中将设备配置为要求进行多重身份验证，则在使用密码登录到 Windows 10 或更新版本设备时可能无法对设置进行同步。这种多重身份验证配置旨在保护 Azure 管理员帐户。通过 Windows Hello for Business PIN 或通过访问其他 Azure 服务（如 Microsoft 365）时完成多重身份验证，管理员用户仍能登录到 Windows 10 或更高版本的设备，从而进行同步。

潜在问题：如果管理员配置 Active Directory 联合身份验证服务多重身份验证条件访问策略，且设备上的访问令牌过期，那么同步可能会失败。请确保使用 Windows Hello for Business PIN 进行登录和注销，或在访问其他 Azure 服务（如 Microsoft 365）时完成多重身份验证。

事件查看器

要进行高级故障排除，可以使用事件查看器查找特定的错误。依次转到“事件查看器”>“应用程序和服务日志”>“Microsoft”>“Windows”>“SettingSync-Azure”下面可以查看事件；对于与标识相关的问题，依次同步转到“应用程序和服务日志”>“Microsoft”>“Windows”>“Microsoft Entra ID”。

后续步骤

有关概述，请参阅企业状态漫游概述。

通过