排查预配错误
云电脑预配期间可能出现以下错误。
Microsoft Entra ID服务连接点 (SCP) 配置错误
云电脑使用 SCP) (服务连接点来发现Microsoft Entra租户信息。 必须为计划加入云电脑的每个林使用 Microsoft Entra Connect 来配置 SCP。
如果 SCP 配置不存在,或无法使用声明的 vNet 来发现,则预配将失败。
若要详细了解 SCP 并了解如何对其进行配置,请参阅Microsoft Entra文档。
建议的测试:向标识团队确认所有目标林都有 SCP。
Azure 网络连接不正常
如果关联的 ANC 不正常,则会阻止云电脑预配。
ANC 每 6 小时刷新一次。 如果在预配时 ANC 刷新失败,预配也将失败。
建议的测试:确保 ANC 运行正常,然后重试预配。
磁盘分配错误
Windows 365 预配了云电脑,但未根据用户基于所获取的 Windows 365 许可证接收到的内容来分配完整的操作系统存储空间。 因此,用户无法查看或使用他们分配的完整存储。
建议的测试:重试预配。
域加入失败
Windows 365 未能将云电脑加入你的本地 Active Directory (AD) 域。 许多因素都可能导致此故障。
- 确保关联的 Azure 网络连接 (ANC) 中的 AD 域、组织单位 (OU) 和凭据均正确。
- 请确保域加入用户具有足够的权限来执行域加入。
- 确保 vNet 和子网能够正确访问域控制器。
JsonADDomainExtension 是用于执行此域加入的 Azure 函数。 请确保满足了成功完成此域加入所需的一切条件。
建议的测试:向配置的 vNet 附加一个 Azure VM,并使用提供的凭据执行域加入。
Microsoft Entra混合联接失败
Windows 365不为客户执行任何Microsoft Entra混合联接功能。 Microsoft Entra混合联接必须配置且正常运行,这是云电脑的先决条件。
如果预配由于Microsoft Entra混合联接而失败,则可能是因为AD Sync服务中配置的同步周期不足。 确保 Microsoft Entra Connect 配置为每 30 分钟同步一次 AD 计算机对象,且不超过 60 分钟。 如果 Microsoft Entra 对象在 90 分钟内未显示,则此步骤将超时。
要考虑的另一个因素是本地 AD 复制时间。 确保用于Windows 365的域控制器复制速度足够快,使其在此 5 小时的超时时段内Microsoft Entra ID。
如果你的组织使用 Active Directory 联合身份验证服务 (ADFS) ,则此注册过程已经过优化,并且可能会导致云电脑预配完成的速度比 Microsoft Entra Connect 同步更快。
建议的测试:检查以确认该 AD 对象:
- 出现在正确的 OU 中。
- 在预配超时之前已成功同步到 Microsoft Entra ID。
Intune 注册失败
Windows 365 在注册 Intune 时执行了基于设备的 MDM 注册。
如果 Intune 注册失败,请确保:
- 所有必需的 Intune 终结点在云电脑的 vNet 上都可用。
- 租户上不存在 MDM 注册限制。 自定义和默认策略中允许 Windows 公司设备注册。
- Intune 租户处于活动状态且工作正常。
- 如果使用 Intune 和 Configuration Manager 共同管理云电脑,请确保云电脑 OU 不是客户端推送安装的目标。 改为从 Intune 部署 Configuration Manager 代理。 有关详细信息,请参阅 Configuration Manager 客户端安装方法。
建议的测试:尝试使用测试设备或 VM 进行 Intune 注册。
找不到许可证
在预配过程中,有人删除了用户的Windows 365许可证
建议的测试:确保用户具有关联的有效许可证。
本地管理员权限错误
Windows 365 预配了云电脑,但未向用户授予“用户设置”策略定义的本地管理员权限。 因此,用户不会是其云电脑上的管理员。 他们因此无法在系统级上下文中进行系统级更改或安装应用。
建议的测试:重新尝试预配或创建新的“用户设置”策略。
Microsoft Teams 优化错误
Windows 365 预配了云电脑。 但未将云电脑配置为在针对远程 VM 上的运行进行了优化的模式下使用 Microsoft Teams。 此优化不会导致安装 Microsoft Teams 和所有组件。 而仅设置在云电脑上安装了 Microsoft Teams 的情况下会生效的配置。 如果未设置此优化并且在此设备上安装了Microsoft Teams,Microsoft Teams 不会在远程连接的优化模式下运行。
建议的测试:重试预配。
可用的 IP 地址不足
向 ANC 提供子网时,确保有充足的 IP 地址可用。
每个云电脑预配过程使用范围中提供的一个 IP 地址。
如果预配失败,则总共重试三次。 每次都会分配新的 vNic 和 IP 地址。 这些 IP 地址将在几小时内发布,但如果地址空间太窄,此分配可能会导致问题。
建议的测试:检查 vNet 中是否有可用 IP 地址,并确保有充足的可用 IP 来成功进行重试。
找不到预配策略
预配正在进行时,有人删除了预配策略。
建议的测试:确保预配策略可用,并分配给了正确的用户组。
请求被策略禁止
Windows 365 使用客户提供的 vNet 将 vNic 从云电脑引入客户的 vNet。 有时,企业实施Azure Policy来限制要创建的某些 Azure 对象。 确保没有 Azure 策略可以限制 Windows 365 代表你创建 Azure 对象。
建议的测试:在 Azure 门户中查看“策略”,查找任何会阻止 Windows 365 服务预配云电脑的策略事件。
“开始”菜单电源图标错误
Windows 365 预配了云电脑,但未隐藏“开始”菜单中的“关机”和“重启”图标。 因此,用户会看到“开始”菜单中的关机和重启图标。 如果用户通过选择“关闭”图标来终止其云电脑连接,则在重新连接之前,他们可能需要从云电脑门户重新启动云电脑。
建议的测试:重新尝试预配或创建设备配置策略来隐藏“关闭”按钮和隐藏“重启”按钮。
未在预配用户界面中列出的云电脑支持的 Azure 区域
如果云电脑预配用户界面 (UI) 中未列出特定区域,但在Windows 365要求文档中列出,Windows 365可能会在新区域中扩展。 如果你的网络基础结构位于此类区域中,请选择“新建支持请求”以打开评估支持票证。
时区重定向错误
Windows 365 预配了云电脑,但未配置时区重定向。 因此,在连接到云电脑时,用户看不到反映其本地时间。 相反,他们会看到标准 UTC 时间。
建议的测试:重新尝试预配或创建一个配置了“允许时区重定向”组策略的组策略对象。 若要了解有关该策略的详细信息,请下载组策略设置参考电子表格。
找不到用户
预配正在进行时,有人删除了关联的用户。
建议的测试:确保分配的用户帐户有效。
Windows 重置错误
Windows 365 预配了云电脑,但未禁用内置 Windows 重置选项。 这导致用户可以手动触发“设置”下的内置 Windows 重置选项。 这样云电脑就永远无法成功完成重置,从而导致云电脑不可用。
建议的测试:重试预配。
阻止高风险端口:无法禁用一个或多个高风险端口
Windows 365预配了云电脑,但无法根据Microsoft安全标准阻止所有高风险端口。 Windows 365禁用用于管理资源或不安全/未加密数据传输的高风险端口,默认情况下不应向 Internet 公开。
如果看到此错误,需要考虑的一些因素包括:
- 有时,企业会实施Intune组策略,该策略默认启用其中一个端口。
- 请确保没有Intune策略可以替代Windows 365禁用这些高风险端口的默认值。
建议的测试:尝试以下任何解决方案:
- 重试预配。
- 如果设备Intune注册,则可以应用Intune策略来禁用端口。
- 用户还可以通过在设备上添加本地防火墙规则来手动禁用端口。 有关建议用于阻止的高风险端口的列表,请参阅 Azure 虚拟网络 Manager 中的安全管理规则。
其他预配失败
如果遇到上述未涵盖的其他预配错误,请确保在用于 ANC 和任何网关设备的 VNet 上允许所有 必需的终结点 。
后续步骤
故障排除。