針對共同管理進行疑難解答：將現有的 Configuration Manager 受控裝置自動註冊到 Intune

本文可協助您了解並針對在 Intune 中自動註冊現有 Configuration Manager 受控裝置來設定共同管理時可能會遇到的問題進行疑難解答。

在此案例中，您可以使用 Configuration Manager 繼續管理 Windows 10 裝置，也可以視需要選擇性地將工作負載移至 Microsoft Intune。 如需如何設定工作負載的詳細資訊，請參閱 支援提示：在共同管理的環境中設定工作負載。

在您開始使用 Intune 之前

開始進行疑難解答之前，請務必收集有關問題的一些基本資訊，並確定您遵循所有必要的設定步驟。 其可協助您進一步了解問題，並縮短尋找解決方案的時間。 若要這樣做，請遵循下列疑難解答前問題的檢查清單：

• 您是否擁有設定共同管理所需的 許可權和角色 ？
• 您選取了哪個 Microsoft Entra 混合式身分識別選項 ？
• 您 目前的 MDM 授權單位為何？
• 您是否 安裝並設定 Microsoft Entra Connect？
• 您是否 將Microsoft Entra ID P1 或 P2 授權 指派給您用於設定的 UPN？
• 您是否 將 Intune 授權 指派給使用者？
• 您是否為受控網域或同盟網域設定Microsoft Entra hybrid join？
• 您是否 已設定 Microsoft Entra 混合式聯結的 Configuration Manager 用戶端代理程式設定 ？
• 您是否 在 Intune 租用戶中設定自動註冊 ？
• 您是否 在 Configuration Manager 中啟用共同管理？

大部分的問題都是因為一或多個這些步驟未完成而發生。 如果您發現已略過或未順利完成步驟，請檢查每個步驟的詳細數據，或參閱下列教學課程： 啟用現有 Configuration Manager 用戶端的共同管理。

在 Windows 10 裝置上使用下列記錄檔，針對用戶端上的共同管理問題進行疑難解答：

%WinDir%\CCM\logs\CoManagementHandler.log

針對混合式Microsoft Entra 設定進行疑難解答

如果您遇到影響Microsoft Entra 混合式身分識別或Microsoft Entra Connect 的問題，請參閱下列疑難解答指南：

• 針對Microsoft Entra Connect 安裝問題進行疑難解答
• 針對 entra Connect 同步處理期間Microsoft錯誤進行疑難解答
• 針對使用 Microsoft Entra Connect 同步執行的密碼雜湊同步處理進行疑難排解
• 疑難排解 Microsoft Entra 無縫單一登入
• 疑難排解 Microsoft Entra 傳遞驗證
• 針對單一登錄問題進行疑難解答 Active Directory 同盟服務

如果您遇到影響受控網域或同盟網域Microsoft Entra hybrid join 的問題，請參閱下列疑難解答指南：

• 疑難排解 Microsoft Entra 混合式加入裝置
• 使用 dsregcmd 命令對裝置進行疑難排解

常見問題

用戶端未從 Configuration Manager 管理點收到原則，以Microsoft Entra ID 和 Intune 啟動註冊程式

發生此問題的原因是 Configuration Manager 中發生問題，而不是 Intune。 您可以使用 客戶端記錄檔 來針對這類問題進行疑難解答。

已安裝 Configuration Manager 用戶端。 不過，裝置未向 Microsoft Entra ID 註冊，而且不會看到任何錯誤

此問題通常會發生，因為 Configuration Manager 用戶端代理程式設定未設定為指示客戶端註冊。

若要修正此問題，請確認您遵循設定用戶端設定中的 步驟，將用戶端註冊Microsoft Entra ID。

已安裝 Configuration Manager 用戶端，且裝置已成功向 entra ID 註冊Microsoft。 不過，裝置不會在 Intune 中自動註冊，也不會看到任何錯誤

在 Intune 租使用者中，Microsoft Entra ID>Mobility （MDM 和 MAM）>Microsoft Intune 下，自動註冊設定錯誤時，通常會發生此問題。

若要修正此問題，請遵循設定裝置自動註冊至 Intune 中的步驟。

您無法在 Configuration Manager 控制台的 [系統>管理] 雲端服務 下找到共同管理節點

如果您的 Configuration Manager 版本早於 1906 版，就會發生此問題。

若要修正此問題，請將 Configuration Manager 更新為 1906 版或更新版本。

Microsoft Entra 混合式聯結裝置無法註冊併產生錯誤0x8018002a

發生此問題時，您也會注意到下列徵兆：

• 下列錯誤訊息會記錄Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>管理員記錄中的應用程式與服務>>記錄檔 事件檢視器：

  自動 MDM 註冊：失敗（未知的 Win32 錯誤碼： 0x8018002a）

• 下列錯誤訊息會記錄在應用程式與服務>記錄中，>Microsoft Windows>Microsoft Entra ID>Operational log in the 事件檢視器：

  錯誤：0xCAA2000C要求需要用戶互動。
  程序代碼：interaction_required
  描述：AADSTS50076：由於系統管理員所做的設定變更，或因為您移至新位置，您必須使用多重要素驗證來存取。

強制執行多重要素驗證時，就會發生此問題。 它可防止 Configuration Manager 用戶端代理程式使用登入的使用者認證來註冊裝置。

注意

啟用 MFA 和強制執行之間有差異。 如需差異的詳細資訊，請參閱 Microsoft Entra 多重要素驗證用戶狀態。 此案例的運作方式是啟用 MFA，但未強制執行 MFA。

若要修正此問題，請使用下列其中一種方法：

• 將 MFA 設定為 Enabled ，但未 強制執行。 如需詳細資訊，請參閱 設定多重要素驗證。
• 在信任IP註冊期間暫時停用 MFA。

自動註冊之後，裝置無法同步

從 Configuration Manager 1906 版開始，執行 Windows 10 1803 版或更新版本的共同管理裝置會根據其Microsoft Entra 裝置令牌，自動註冊至 Microsoft Intune 服務。 不過，裝置無法同步處理，而且您在 [設定>帳戶>存取公司或學校] 中收到下列錯誤訊息：

同步處理未完全成功，因為我們無法驗證您的認證。 選取 [同步] 以登入，然後再試一次。

發生此問題時，下列錯誤訊息會記錄在應用程式與服務>記錄檔中，>Microsoft Windows>DeviceManagement-Enterprise-Diagnostic-Provider>管理員登入 事件檢視器：

MDM 會話：無法取得同步會話使用者令牌的Microsoft Entra Token：（未知的 Win32 錯誤碼：0xcaa2000c） 裝置令牌：（函式不正確）。

下列錯誤訊息會記錄在 Windows Microsoft Windows>>>Microsoft 項目識別符>作業記錄 事件檢視器 中：

錯誤：0xCAA2000C要求需要用戶互動。
程序代碼：interaction_required
描述：AADSTS50076：由於系統管理員所做的設定變更，或因為您移至新位置，您必須使用多重要素驗證來存取。

當 MFA 已啟用 或 強制執行，或Microsoft需要 MFA 的條件式存取原則套用至所有雲端應用程式時，就會發生此問題。 它可防止使用者在入口網站中與裝置建立關聯。

若要修正此問題，請使用下列其中一種方法：

• 如果 MFA 為 Enabled 或 Enforced：
  • 將 MFA 設定為 [已停用]。 如需詳細資訊，請參閱 關閉舊版每個使用者 MFA。
  • 使用 受信任的IP略過 MFA。
• 如果使用Microsoft Entra 條件式存取原則，請從要求 MFA 允許裝置同步處理的原則中排除 Microsoft Intune 應用程式，方法是使用用戶認證。

已加入混合式 Windows 10 裝置的Microsoft無法在 Intune 中註冊，錯誤0x800706D9或0x80180023

發生此問題時，您通常會在 Microsoft Windows DeviceManagement-Enterprise-Diagnostic-Provider 管理員登入 事件檢視器>>中看到>下列錯誤訊息：>

MDM 註冊：OMA-DM 用戶端設定失敗。 RAWResult： （0x800706D9） 結果：（未知的 Win32 錯誤碼：0x80180023）。
MDM 註冊：布建失敗。 結果：（未知的 Win32 錯誤碼：0x80180023）。
MDM 註冊：失敗（未知的 Win32 錯誤碼：0x80180023）
自動 MDM 註冊：裝置認證（0x80180023），失敗 （%2）
MDM 取消註冊：將取消註冊警示傳送至伺服器時發生錯誤。 結果：（不正確的函式。）。
MDM 取消註冊：將 dmwappushservice 啟動類型變更為需求啟動失敗。 結果：（指定的服務不存在為已安裝的服務。）

如果 dmwappushservice 裝置缺少服務，就會發生此問題。 若要確認，請執行 services.msc 以尋找此服務。

若要修正此問題，請依照下列步驟操作：

1. 在執行與受影響裝置相同 Windows 10 版本的工作裝置上， 匯出 下列登錄機碼：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. 以本機系統管理員身分登入受影響的裝置，將 .reg 檔案複製到受影響的裝置，然後將它與本機登錄合併。

3. 重新啟動受影響的裝置。

4. 刪除舊的Microsoft Entra 註冊，然後更新組策略。

5. 再次重新啟動受影響的裝置。 裝置應該能夠向 Microsoft Entra 識別符註冊，並自動在 Intune 中註冊。

Microsoft受控網域中的 Entra 混合式聯結失敗，發生錯誤0x801c03f2

當您從裝置上的命令提示字元執行 dsregcmd /status 時，您可以看到它已加入網域，但未Microsoft Entra 混合式加入。 下列錯誤訊息會記錄在應用程式與服務>記錄中，>Microsoft windows>使用者裝置註冊>系統管理員登入 事件檢視器：

伺服器回應為：{“ErrorType”：“DirectoryError”，“Message”：“在標識符為 <DeviceID> 的裝置物件上找不到公鑰用戶憑證”。

此問題發生於下列其中一種情況：

• Microsoft Entra ID 中遺漏裝置物件。
• 屬性Usercertificate在 內部部署的 Active Directory 或 Microsoft Entra 識別碼中沒有裝置憑證。

若要讓 Windows 10 裝置註冊在受控網域中運作，必須先同步處理裝置物件。 註冊程序的運作方式如下：

• Windows 10 裝置在加入內部部署網域之後，第一次啟動。
• 系統會觸發裝置註冊，並建立憑證要求。
• 建立要求時，憑證的公鑰會在裝置對象的內部部署 AD 中發布。 這會更新 Usercertificate 裝置物件上的屬性。 同時，簽署的裝置註冊要求會傳送至Microsoft Entra標識符。
• 註冊失敗，因為Microsoft Entra ID 無法驗證裝置對象或驗證已簽署的要求。
• 下次執行同步迴圈時，它會尋找已 Usercertificate 填入 屬性的裝置物件，並將裝置物件同步至Microsoft Entra ID。
• 下次觸發註冊服務時（每小時執行一次），裝置會傳送由私鑰簽署的新要求。
• Azure 會使用同步處理週期期間從內部部署網域收到的公用憑證，來驗證要求的簽章。 如果Microsoft Entra ID 可以驗證要求的簽章，裝置註冊就會成功。

若要修正問題，請依照下列步驟執行：

1. 在內部部署 AD 中，確定 Usercertificate 已填入 屬性，並具有正確的憑證。

2. 檢查後端裝置物件，並確定 Usercertificate 屬性存在且已填入。

3. 如果憑證遺失，或有人從內部部署 AD 刪除憑證（接著會從 Microsoft Entra ID 刪除憑證），裝置註冊就會失敗。 若要修正此問題，請在用戶端裝置上執行下列動作：

   1. 開啟提升權限的 [命令提示字元] 視窗，然後執行下列命令：

      dsregcmd /leave
      

   2. 執行 certlm.msc 以開啟本機計算機證書存儲。

   3. 請確定已刪除 MS-Organization-Access 所簽發的電腦憑證。

   4. 重新啟動用戶端裝置以觸發新的裝置註冊。

   5. 重新啟動裝置之後，請確定內部部署 AD 中的裝置物件上已更新新的憑證公鑰。 如果有多個域控制器，請確定屬性已復寫到所有域控制器。

   6. 在 Microsoft Entra Connect 伺服器上觸發差異同步處理。

   7. 同步處理完成之後，您可以重新啟動客戶端、執行dsregcmd /debug命令，或執行 [工作場所加入] 下的 [自動裝置加入] 工作，以觸發裝置註冊。

自動裝置註冊失敗，錯誤0x80280036

發生此問題時，下列錯誤訊息會記錄在應用程式與服務>記錄中，>Microsoft windows>使用者裝置註冊>系統管理員登入 事件檢視器：

DeviceRegistrationApi：：BeginJoin 失敗，錯誤碼為：0x80280036

描述：
聯結要求的初始化失敗，並出現結束代碼：TPM 嘗試執行只能在 FIPS 模式中使用命令。

如果客戶端裝置上的 TPM 晶片已啟用 FIPS 模式，就會發生此問題。 Azure 裝置註冊不支持或建議使用 FIPS 模式。 如需詳細資訊，請參閱 為什麼我們不再建議「FIPS 模式」。

Microsoft Entra 混合式聯結失敗，發生錯誤0x80090016

混合式Microsoft Windows 10 裝置的 Entra 註冊失敗，而且您會收到下列錯誤訊息：

發生錯誤。 確認您使用的是正確的登入資訊，而且您的組織使用此功能。 您可以再次嘗試執行此動作，或連絡系統管理員，並0x80090016

0x80090016的錯誤訊息為 Keyset 不存在。 這表示裝置註冊無法儲存裝置密鑰，因為 TPM 金鑰無法存取。

如果 Windows 不是 TPM 的擁有者，就會發生此問題。 從 Windows 10 開始，操作系統會自動初始化並取得 TPM 的擁有權。 不過，如果此程式失敗，Windows 將不會是擁有者，而且會導致問題。

若要修正此問題，請清除 TPM 並重新啟動用戶端裝置。 若要清除 TPM，請遵循下列步驟：

1. 開啟 Windows 安全性 應用程式。

2. 選取 [ 裝置安全性]。

3. 選取 [安全性處理器詳細數據]。

4. 選取 [安全性處理器疑難解答]。

5. 按兩下 [ 清除 TPM]。

   重要

   清除 TPM 之前，請注意下列事項：

   • 清除 TPM 可能會導致數據遺失。 您將遺失所有與 TPM 相關聯的已建立金鑰，以及受這些密鑰保護的數據，例如虛擬智慧卡、登入 PIN 或 BitLocker 金鑰。
   • 如果裝置上已啟用 BitLocker，請先確定您先停用 BitLocker，再清除 TPM。
   • 請確定您擁有 TPM 所保護或加密之任何數據的備份和復原方法。

6. 出現提示時重新啟動裝置。

   注意

   在重新啟動期間，UEFI 可能會提示您按下按鈕以確認您想要清除 TPM。 重新啟動完成後，TPM 會自動準備供 Windows 10 使用。

裝置重新啟動之後，應成功Microsoft Entra 混合式聯結。 若要確認，請在命令提示字元中執行 dsregcmd /status 命令。 下列結果表示成功的聯結：

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

如需詳細資訊，請參閱 針對 TPM 進行疑難解答。

其他相關資訊

如需疑難解答共同管理問題的詳細資訊，請參閱下列文章：

• 針對共同管理進行疑難解答：使用新式布建啟動程式
• 針對共同管理工作負載進行疑難解答

如需 Intune 和 Configuration Manager 共同管理的詳細資訊，請參閱下列文章：

• Windows 10 共同管理概觀
• 用戶入門：共同管理的路徑
• 共同管理的快速入門
• 教學課程：為現有的 Configuration Manager 用戶端啟用共同管理