Microsoft Entra ID 中的挂起设备
注意
本文有帮助吗? 你的输入对我们很重要。 请使用此页上的 “反馈 ”按钮告诉我们本文为你工作得有多好,或者我们如何改进它。
挂起的设备是从本地 Active Directory同步到 Microsoft Entra ID 的设备,但尚未使用 Microsoft Entra 设备注册服务完成注册。 当设备注册状态挂起时,设备无法完成任何授权或身份验证请求,例如请求主刷新令牌进行单一登录,或应用基于设备的条件访问策略。
注意
挂起状态仅适用于 Microsoft Entra 混合联接设备。
为什么设备可能处于挂起状态
在本地设备的 Microsoft Entra Connect Sync 中配置 Microsoft Entra 混合加入 任务时,该任务会将设备对象同步到 Microsoft Entra ID,并在设备完成设备注册之前将设备注册状态暂时设置为“挂起”。 这是因为设备必须添加到 Microsoft Entra 目录,然后才能注册它。 有关设备注册过程的详细信息,请参阅工作流程:设备注册。
有关如何对挂起的设备进行故障排除的详细信息,请参阅以下视频:
设备如何停滞在挂起状态
有两种情况:设备可能停滞在挂起状态。
将已加入新本地域的设备同步到 Microsoft Entra ID
如果无法完成设备注册过程,新的本地设备可能会停滞在挂起状态。 此问题可能是由多种因素引起的,例如设备无法连接到注册服务。
若要排查设备注册问题,请参阅:
已注册设备的状态更改为挂起
此问题可能发生在以下方案中:
- 设备对象将移动到Microsoft Entra Connect Sync 中不在同步范围内的另一个组织单位(OU)。
- Microsoft Entra Connect Sync 会将此更改识别为在本地 Active Directory中删除的设备对象。 因此,它会删除Microsoft Entra ID 中的设备。
- 设备对象已移回同步范围的 OU。
- Microsoft Entra Connect Sync 在 Microsoft Entra ID 中为此设备创建挂起的设备对象。
- 设备无法完成设备注册过程,因为它以前已注册。
若要解决此问题,请通过在提升的命令提示符处运行 dsregcmd /leave 并重启设备来注销设备。 设备将通过计划任务重新启动设备注册过程。 对于基于 Windows 10 的设备,计划任务位于“Microsoft 任务计划程序库”>“Microsoft”>“Windows”>“工作区加入”>“自动设备加入任务”下。
获取挂起的设备列表
必须安装 Microsoft Graph PowerShell SDK 才能执行 Microsoft Graph PowerShell 命令。
Connect-MgGraph使用命令登录到 Microsoft Entra 租户。 有关详细信息,请参阅 Microsoft Graph PowerShell SDK 入门。对所有挂起的设备进行计数:
(Get-MgDevice -All -Filter "TrustType eq 'ServerAd'" | Where-Object{($_.ProfileType -ne "RegisteredDevice") -and (-not $_.AlternativeSecurityIds)}).count还可以将返回的数据保存在 CSV 文件中:
Get-MgDevice -All -Filter "TrustType eq 'ServerAd'" | Where-Object{($_.ProfileType -ne "RegisteredDevice") -and (-not $_.AlternativeSecurityIds)} | select-object -Property AccountEnabled, Id, DeviceId, DisplayName, OperatingSystem, OperatingSystemVersion, TrustType | export-csv pendingdevicelist-summary.csv -NoTypeInformation
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。