Microsoft Entra 混合式加入下層裝置的疑難排解
本文章僅適用於下列裝置:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
對於 Windows 10 或更新版本和 Windows Server 2016,請參閱針對已加入混合式 Microsoft Entra 的 Windows 10 和 Windows Server 2016 裝置進行疑難排解。
本文章假設您設定已加入混合式 Microsoft Entra 的裝置來支援下列案例:
- 裝置型條件式存取
本文章提供有關如何解決潛在問題的疑難排解指引。
您應該知道的事情:
- 舊版 Windows 裝置的混合式 Microsoft Entra 加入運作方式與在 Windows 10 或更新版本中的運作方式不同。 許多客戶並不了解他們需要設定的是 AD FS (適用於同盟網域) 還是「無縫 SSO」(適用於受控網域)。
- 無縫 SSO 無法在 Firefox 和 Microsoft Edge 瀏覽器的隱私瀏覽模式中運作。 如果瀏覽器在增強保護模式下執行,或如果啟用增強安全性設定,則也無法在 Internet Explorer 上運作。
- 針對具有同盟網域的客戶,如果「服務連接點」(SCP) 已設定為指向受控網域名稱 (例如 contoso.onmicrosoft.com,而不是 contoso.com),則舊版 Windows 裝置的混合式 Microsoft Entra 加入將無法運作。
- 當多位網域使用者登入已加入舊版混合式 Microsoft Entra 的裝置時,相同的實體裝置會在 Microsoft Entra ID 中出現多次。 舉例來說:如果 jdoe 和 jharnett 登入裝置,在 [使用者] 資訊索引標籤中就會為每位使用者建立個別的註冊 (DeviceID)。
- 在使用者資訊索引標籤上,也可能因重新安裝作業系統或手動重新註冊,而導致一個裝置有多個項目。
- 您可以將裝置的初始註冊/加入設定為在登入或鎖定/解除鎖定時嘗試執行。 工作排程器工作可能會觸發 5 分鐘的延遲。
- 在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 上,請確定已安裝 KB4284842。 此更新可避免未來的驗證因客戶在變更密碼之後遺失存取受保護金鑰的權限而失敗。
- 混合式 Microsoft Entra Join 可能會在使用者的 UPN 變更之後失敗,並中斷無縫 SSO 驗證程序。 在加入程序期間,您可能會看到其仍將先前的 UPN 傳送給 Microsoft Entra ID,除非已清除瀏覽器工作階段 cookie,或使用者明確登出並移除舊的 UPN。
步驟 1:擷取註冊狀態
確認註冊狀態:
- 使用執行混合式 Microsoft Entra 加入的使用者帳戶登入。
- 開啟命令提示字元
- 輸入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
此命令會顯示一個對話方塊,當中會提供有關加入狀態的詳細資料。
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。包含電子郵件地址的文字會指出已加入工作場所的特定裝置。](media/troubleshoot-hybrid-join-windows-legacy/01.png)
步驟 2:評估混合式 Microsoft Entra 加入狀態
如果裝置未加入混合式 Microsoft Entra,您可以按一下 [加入] 按鈕來嘗試執行混合式 Microsoft Entra 加入。 如果執行混合式 Microsoft Entra 加入的嘗試失敗,將會顯示有關該失敗的詳細資料。
最常見的問題包括:
AD FS 或 Microsoft Entra ID 設定不正確或網路問題
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告帳戶驗證期間發生錯誤。](media/troubleshoot-hybrid-join-windows-legacy/02.png)
- Autoworkplace.exe 無法以無訊息方式使用 Microsoft Entra ID 或 AD FS 進行驗證。 造成此問題的原因可能是 AD FS (適用於同盟網域) 遺漏或設定不正確、「Microsoft Entra 無縫單一登入」(適用於受控網域) 遺漏或設定不正確,或網路問題。
- 也可能是已針對使用者啟用/設定多重要素驗證 (MFA),但未在 AD FS 伺服器設定 WIAORMULTIAUTHN。
- 另一個可能原因是主領域探索 (HRD) 頁面正在等候使用者互動,而導致 autoworkplace.exe 無法以無訊息方式要求權杖。
- 可能是用戶端上 IE 的內部網路區域中遺漏 AD FS 和 Microsoft Entra URL。
- 網路連線能力問題可能會導致 autoworkplace.exe 無法連線至 AD FS 或 Microsoft Entra URL。
- Autoworkplace.exe 會要求用戶端必須具有用戶端到組織內部部署 AD 網域控制站的直接視線,這意謂著混合式 Microsoft Entra 加入只有在用戶端連線至組織的內部網路時才會成功。
- 如果貴組織使用 Microsoft Entra 無縫單一登入,
https://autologon.microsoftazuread-sso.com不存在於裝置的 IE 內部網路設定。 - 已檢查網際網路設定
Do not save encrypted pages to disk。
您不是以網域使用者身分登入
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告帳戶驗證期間發生錯誤。](media/troubleshoot-hybrid-join-windows-legacy/03.png)
此問題可能是由幾種不同的原因所致︰
- 登入的使用者不是網域使用者 (例如本機使用者)。 對下層裝置的混合式 Microsoft Entra 加入僅支援網域使用者。
- 用戶端無法連線至網域控制站。
達到配額
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字回報錯誤,因為使用者達到已加入裝置的數目上限。](media/troubleshoot-hybrid-join-windows-legacy/04.png)
服務沒有回應
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告發生錯誤,因為伺服器沒有回應。](media/troubleshoot-hybrid-join-windows-legacy/05.png)
您也可以在事件記錄檔的 [應用程式及服務記錄檔] > [Microsoft-Workplace Join] 底下找到狀態資訊
混合式 Microsoft Entra 加入失敗的最常見原因包括:
- 您的電腦未連線至組織的內部網路,或不在可連線到內部部署 AD 網域控制站的 VPN 上。
- 您是使用本機電腦帳戶來登入您的電腦。
- 服務組態問題:
- AD FS 伺服器未設定為支援 WIAORMULTIAUTHN。
- 您電腦的樹系沒有「服務連接點」物件指向 Microsoft Entra ID 中已驗證的網域名稱
- 或者,如果您的網域是受控網域,則是未設定「無縫 SSO」或其無法運作。
- 使用者已達到裝置限制。
下一步
- Microsoft 錯誤查閱工具 \(部分機器翻譯\)