Microsoft Entra 混合式加入下層裝置的疑難排解
本文章僅適用於下列裝置:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
如需舊版操作系統支援的重要資訊,請參閱 支援的 Windows 用戶端版本 和 Windows 8.1 和 Windows Server 2012 R2的已知問題和通知。
對於 Windows 10 或更新版本和 Windows Server 2016,請參閱針對已加入混合式 Microsoft Entra 的 Windows 10 和 Windows Server 2016 裝置進行疑難排解。
本文章假設您已設定混合加入的 Microsoft Entra 裝置,以支援下列情境:
- 裝置型條件式存取
本文章提供有關如何解決潛在問題的疑難排解指引。
您應該知道的事情:
- 較舊版本的 Windows 裝置上使用的 Microsoft Entra 混合加入的運作方式,與在 Windows 10 或更新版本中的運作方式有所不同。 許多客戶並不了解他們需要設定的是 AD FS (適用於同盟網域) 還是「無縫 SSO」(適用於受控網域)。
- 無縫 SSO 無法在 Firefox 和 Microsoft Edge 瀏覽器的隱私瀏覽模式中運作。 如果瀏覽器在增強保護模式下執行,或如果啟用增強安全性設定,則也無法在 Internet Explorer 上運作。
- 針對具有同盟網域的客戶,如果「服務連接點」(SCP) 已設定為指向受控網域名稱 (例如 contoso.onmicrosoft.com,而不是 contoso.com),則舊版 Windows 裝置的混合式 Microsoft Entra 加入將無法運作。
- 當多位網域使用者登入已加入下層混合式 Microsoft Entra 的裝置時,相同的實體裝置會在 Microsoft Entra ID 中出現多次。 例如,如果 Person1 和 Person2 登入裝置,則在 [USER 資訊] 標籤中會為他們每一個人建立個別的註冊(DeviceID)。
- 您也可能因為重新安裝作業系統或手動重新註冊,而在使用者資訊索引標籤上,看到一個裝置有多個記錄。
- 裝置的初始註冊或加入已配置為在登入或鎖定/解除鎖定時嘗試執行。 工作排程器工作可能會觸發 5 分鐘的延遲。
- 在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 上,請確定已安裝 KB4284842。 此更新可避免未來的驗證因客戶在變更密碼之後遺失存取受保護金鑰的權限而失敗。
- Microsoft Entra 混合式加入可能會在使用者的 UPN 變更之後失敗,並中斷無縫 SSO 的驗證程序。 在加入程序期間,您可能會看到其仍將先前的 UPN 傳送給 Microsoft Entra ID,除非已清除瀏覽器工作階段 cookie,或使用者明確登出並移除舊的 UPN。
步驟 1:擷取註冊狀態
確認註冊狀態:
- 請使用執行 Microsoft Entra 混合式加入的使用者帳戶登入。
- 開啟命令提示字元
- 輸入
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
此命令會顯示一個對話方塊,當中會提供有關加入狀態的詳細資料。
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。顯示包含電子郵件地址的文字,表示某個裝置已加入工作場所。](media/troubleshoot-hybrid-join-windows-legacy/01.png)
步驟 2:評估 Microsoft Entra 混合式加入狀態
如果裝置尚未加入 Microsoft Entra 混合式環境,您可以嘗試按一下「加入」按鈕來進行加入。 如果 Microsoft Entra 混合式加入的嘗試失敗,將會顯示有關該失敗的詳細資料。
最常見的問題包括:
AD FS 或 Microsoft Entra ID 設定不正確或網路問題
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告帳戶驗證期間發生錯誤。](media/troubleshoot-hybrid-join-windows-legacy/02.png)
- Autoworkplace.exe 無法以無訊息方式使用 Microsoft Entra ID 或 AD FS 進行驗證。 造成此問題的原因可能是 AD FS (適用於同盟網域) 遺漏或設定不正確、「Microsoft Entra 無縫單一登入」(適用於受控網域) 遺漏或設定不正確,或網路問題。
- 也可能是已針對使用者啟用/設定多重要素驗證 (MFA),但未在 AD FS 伺服器設定 WIAORMULTIAUTHN。
- 另一個可能原因是主領域探索 (HRD) 頁面正在等候使用者互動,而導致 autoworkplace.exe 無法以無訊息方式要求權杖。
- 客戶端上的 IE 內部網路區域可能遺漏了 AD FS 和 Microsoft Entra 的 URL。
- 網路連線能力問題可能會導致 autoworkplace.exe 無法連線至 AD FS 或 Microsoft Entra URL。
- Autoworkplace.exe 要求用戶端必須直接可視組織的內部部署 AD 網域控制站,這表示只有當用戶端連接至組織內部網路時,Microsoft Entra 混合加入才會成功。
- 如果貴組織使用 Microsoft Entra 無縫單一登入,
https://autologon.microsoftazuread-sso.com不存在於裝置的 IE 內部網路設定。 - 已檢查網際網路設定
Do not save encrypted pages to disk。
您不是以網域使用者身分登入
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告帳戶驗證期間發生錯誤。](media/troubleshoot-hybrid-join-windows-legacy/03.png)
此問題可能是由幾種不同的原因所致︰
- 登入的使用者不是網域使用者 (例如本機使用者)。 對下層裝置的混合式 Microsoft Entra 加入僅支援網域使用者。
- 用戶端無法連線至網域控制站。
配額已達到
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字回報錯誤,因為使用者達到已加入裝置的數目上限。](media/troubleshoot-hybrid-join-windows-legacy/04.png)
服務沒有回應
![[Workplace Join for Windows] 對話方塊的螢幕擷取畫面。文字報告發生錯誤,因為伺服器沒有回應。](media/troubleshoot-hybrid-join-windows-legacy/05.png)
您也可以在事件記錄檔的 [應用程式及服務記錄檔]\[Microsoft-Workplace Join] 底下找到狀態資訊
混合式 Microsoft Entra 加入失敗的最常見原因如下:
- 您的電腦未連線至組織的內部網路,或未通過 VPN 連線至內部 AD 網域控制器。
- 您是使用本機電腦帳戶來登入您的電腦。
- 服務組態問題:
- AD FS 伺服器未設定為支援 WIAORMULTIAUTHN。
- 您的電腦樹系(Forest)中沒有「服務連接點」物件指向 Microsoft Entra ID 中已驗證的網域名稱。
- 或者,如果您的網域是受管理的網域,則未設定「無縫 SSO」或其無法正常運作。
- 使用者的裝置數量已達到上限。