針對共同管理進行疑難解答：使用新式布建啟動程式

本文可協助您了解並針對設定共同管理時可能會遇到的問題進行疑難解答，方法是採用路徑 2： 使用新式布建啟動 Configuration Manager 用戶端。

當您有新的 Windows 10 裝置加入 Microsoft Entra ID 並自動註冊至 Intune，然後安裝 Configuration Manager 用戶端以達到共同管理狀態時，就會發生此案例。

在您開始使用 Intune 之前

開始進行疑難解答之前，請務必收集有關問題的一些基本資訊，並確定您遵循所有必要的設定步驟。 這可協助您進一步了解問題，並縮短尋找解決方案的時間。 若要這樣做，請遵循下列疑難解答前問題的檢查清單：

• 您選取了哪個 Microsoft Entra 混合式身分識別選項 ？
• 您 目前的 MDM 授權單位為何？
• 您是否 已設定增強的 HTTP？
• 您是否 在 Azure 中建立雲端服務？
• 您是否 已設定雲端管理閘道 （CMG）？
• 您是否 設定 CMG 流量的客戶端對應角色？
• 您是否 在 Intune 中安裝 Configuration Manager 用戶端？

大部分的問題都是因為一或多個這些步驟未完成而發生。 如果您發現已略過或未順利完成步驟，請檢查每個步驟的詳細數據，或參閱下列教學課程：

教學課程：為新式布建的用戶端啟用共同管理

針對混合式Microsoft Entra 設定進行疑難解答

如果您遇到影響Microsoft Entra 混合式身分識別或Microsoft Entra Connect 的問題，請參閱下列疑難解答指南：

• 針對Microsoft Entra Connect 安裝問題進行疑難解答
• 針對 entra Connect 同步處理期間Microsoft錯誤進行疑難解答
• 針對使用 Microsoft Entra Connect 同步執行的密碼雜湊同步處理進行疑難排解
• 疑難排解 Microsoft Entra 無縫單一登入
• 疑難排解 Microsoft Entra 傳遞驗證
• 針對 Active Directory 同盟服務 單一登錄問題進行疑難解答

如果您遇到影響受控網域或同盟網域Microsoft Entra hybrid join 的問題，請參閱下列疑難解答指南：

• 疑難排解 Microsoft Entra 混合式加入裝置
• 使用 dsregcmd 命令對裝置進行疑難排解

常見問題集

我需要哪些角色才能設定共同管理？

以下是設定共同管理所需的 許可權和角色 。

我可以使用哪些記錄來驗證工作負載，並判斷原則和應用程式在共同管理案例中的來源？

您可以在 Windows 10 裝置上使用下列記錄檔：

%WinDir%\CCM\logs\CoManagementHandler.log

如何? 驗證我的雲端服務是否有唯一的 DNS 名稱？

若要這樣做，請遵循下列步驟：

1. 登入 Azure 入口網站，移至 [所有服務> 雲端服務 [傳統]，然後按兩下 [新增]。
2. 在 [ DNS 名稱] 字段中，輸入您想要使用的名稱。
3. 當您有可供使用的名稱時，請記下它，而不需在 [ 雲端服務 ] 窗格中建立它。
4. 建立 CNAME 記錄，將網域對應至內部和外部 DNS 伺服器中的 name.cloudapp.net>。<

哪裡可以找到 Configuration Manager 用戶端設定 MSI？

您可以在 Configuration Manager 月台伺服器上的下列資料夾中找到 ccmsetup.msi 檔案：

<ConfigMgr installation directory>\bin\i386

如何? 確認 Configuration Manager 用戶端部署從 Intune 到受控 Windows 10 裝置？

若要確認部署，請遵循 Windows 10 裝置上的下列步驟：

1. 開啟 檔案總管，然後移至 %WinDir%\CCM\logs。
2. 使用 CMTrace 開啟ADALOperationProvider.log檔案，然後尋找 取得 Microsoft Entra ID （User） 令牌和取得 Microsoft Entra ID （device） 令牌 以驗證令牌。
3. 在 CMTrace 中，開啟CoManagementHandler.log檔案，尋找 已註冊 MDM 和裝置已佈建的裝置 ，以確認註冊。
4. 開啟 控制台，在搜尋方塊中輸入 Configuration Manager，然後加以選取。
5. 選取 [ 一般] 索引標籤，並確認 [指派的管理點]。
6. 選取 [ 網络] 索引標籤，並確認 以因特網為基礎的管理點。

常見問題

Configuration Manager 只允許已啟用 HTTPS 的管理點，Microsoft已加入 Entra 的用戶端

如果您使用 Configuration Manager 最新分支 1802 版或舊版，就會發生此問題。 在這些版本中，您為 CMG 啟用的管理點必須是 HTTPS。 從 1806 版開始，管理點可以是 HTTP。

若要修正此問題，請更新至 Configuration Manager 最新分支 1806 版或更新版本。

PKI 憑證是否仍然是有效的選項，而不是增強的 HTTP

PKI 憑證仍然是您有效的選項，但它們有下列需求：

• 所有客戶端通訊都是透過 HTTPS 完成。
• 您必須擁有簽署基礎結構的進階控制。

如需詳細資訊，請參閱 增強的 HTTP。

我在 [月台設定] 中找不到 [用戶端計算機通訊] 索引標籤

從 Configuration Manager 最新分支 1906 版開始，此索引標籤會重新命名為 通訊安全性。

已啟用 [針對 HTTP 月台系統使用 Configuration Manager 產生的憑證] 選項，但未收到任何憑證

此行為是預期的。 管理點最多可能需要 30 分鐘的時間，才能從月臺接收和設定新的憑證。 您可以使用下列記錄來追蹤、監視及驗證此專案：

<ConfigMgr installation directory>\Logs\CloudMgr.log

不會在 Configuration Manager 資料庫中建立來自 Microsoft Entra ID 的資源及其相關信息的記錄

當您將 Configuration Management 站臺上架至 Microsoft Entra 標識符時，不會探索或填入 Configuration Manager 資料庫中Microsoft Entra 用戶資源。 通常，您會收到此案例中的0x87d00231錯誤。

此問題發生於下列其中一種情況：

• 您未成功在 Azure 入口網站 中設定應用程式註冊的 API 許可權。
• Microsoft未啟用或設定 Entra 使用者探索。

若要修正此問題，請遵循 Microsoft Entra 使用者探索中的步驟來設定 API 許可權，並Microsoft Entra 使用者探索。 您可以使用下列記錄來檢查詳細資料：

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log 在月台伺服器上
• %WinDir%\CCM\logs\CcmMessaging.log 在用戶端上
• %WinDir%\CCM\logs\LocationServices.log 在用戶端上

注意

如果 Configuration Manager 月臺是新的或最近重建的，您也必須設定 Active Directory 使用者探索。

CoManagementHandler.log顯示 佇列註冊定時器以引發...

Windows 裝置上的ADALOperationProvider.log檔案會顯示 取得Microsoft項目標識碼 （使用者） 令牌和取得 Microsoft Entra ID （device） 令牌。 不過，裝置未註冊，且CoManagementHandler.log的最後一行是 佇列註冊定時器，以在...中引發。

Configuration Manager 最新分支 1806 版和更新版本中預期會有此行為。 從 1806 版開始，並非所有用戶端都會立即自動註冊。 此行為有助於為大型環境更妥善地調整註冊規模。 Configuration Manager 會根據客戶端數目隨機註冊。 例如，如果您的環境有100,000個客戶端，註冊可能會發生在數天內。

若要監視共同管理，請移至 Configuration Manager 控制台中的 [監視>共同管理]。

我已從 Configuration Manager 控制台複製自定義用戶端安裝命令，但無法安裝 Configuration Manager 用戶端

此問題發生於下列其中一種情況：

• 命令中的安裝參數不符合 支援的值。
• 命令行的長度大於 1,024 個字元。

若要修正此問題，請確定命令符合需求，而且命令行長度不超過 1,024 個字元。

Intune 中的 Configuration Manager 代理程式狀態狀況不良

Intune 會根據 ClientHealthLastSyncTime 下列登錄子機碼中的 和 ClientHealthStatus 值，評估 Configuration Manager 代理程序狀態：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

中找到 ClientHealthStatus 的值是多個旗標的組合，包括：

• 1：已安裝用戶端
• 2：用戶端已註冊
• 4：健康情況評估成功
• 8：用戶端安裝或升級錯誤
• 16：與管理點的通訊錯誤

以下是 的 ClientHealthStatus常見值：

• 1：已安裝用戶端，但尚未註冊
• 3：用戶端已安裝並註冊，但尚未回報成功的健康情況評估
• 5：用戶端已安裝、目前未註冊，並傳送成功的健康情況評估 （先前）
• 7：客戶端狀況良好
• 23：客戶端狀況良好，但與管理點發生通訊錯誤

ClientHealthStatus如果值為 7（狀況良好），Intune 會將 Configuration Manager 用戶端視為狀況良好，如果 ClientHealthLastSyncTime 不是超過 30 天。

ClientHealthStatus如果值不是 7（狀況不良），Intune 會將 Configuration Manager 用戶端視為狀況良好，如果 ClientHealthLastSyncTime 不是超過 48 小時。

此值 ClientHealthLastSyncTime 會由 Configuration Manager 用戶端的 用戶端通知 元件更新，而且記錄檔會CcmNotificationAgent.log。

若要針對此問題進行疑難解答，請檢查 ClientHealthLastSyncTime CcmNotificationAgent.log檔案是否不是最新狀態。 以下是範例：

更新 MDM_ConfigSetting值為 2019-04-01T21：42：51Z BgbAgent 4/2/2019 8：42：51 AM 9476 的 ClientHealthLastSyncTime（0x2504）

ClientHealthLastSyncTime如果此值是最新的，但 Configuration Manager 代理程式的最後一次簽入時間是 Intune 中的 2/1/1900，這表示裝置合規性政策工作負載是由 Configuration Manager 管理。 在此情況下， 請將合規性政策工作負載切換 至 Intune 或試驗 Intune。

CMG 連接點顯示為已中斷連線

發生此問題的原因是安裝 CMG 連接點角色和主要月臺之遠端月台系統之間的許可權問題。

遠端月臺系統會從 CMG 收集 TrafficData 報告，然後透過狀態消息將數據傳送至主要月臺。 以下是SMS_Cloud_ProxyConnector.log的範例記錄代碼段：

SMS_CLOUD_PROXYCONNECTOR 6124 （0x17ec） ReportTrafficData - 要傳送的狀態訊息： ~~<ProxyTrafficStateDetails ServerName=“PS1DP.CONTOSO.COM” StartTime=“Date1 Time1” EndTime=“Date2 Time2” MaxConcurrentRequests=“2”><EndPoints>~~ <EndPoint Name=“BGB” ProxyServer=“DOMAINCMG.CLOUDAPP.NET” TargetHost=“ps.contoso.com” TotalRequests=“2” TotalRequestsWithBearerToken=“0” MaxConcurrentRequests=“2” TotalRequestBytes=“2594” TotalResponseBytes=“716” FailedRequests=“0”/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~

由於遠端站臺系統也是管理點，因此這些狀態消息會移至 MP 檔案分派管理員存取的收件匣，以將檔案傳送至主要月臺。 以下是mpfdm.log的範例記錄代碼段：

SMS_MP_FILE_DISPATCH_MANAGER 7044 （0x1b84） ~移動 1 *。SMX 檔案從 C：\SMS\MP\OUTBOXES\statemsg.box\ 到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\。
SMS_MP_FILE_DISPATCH_MANAGER 6584 （0x19b8） ~將檔案 C：\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX 移至 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

發生許可權問題時，MP 檔案分派管理員無法存取主要站臺上的收件匣，並在mpfdm.log中記錄下列錯誤：

SMS_MP_FILE_DISPATCH_MANAGER 3828 （0xef4） ~**ERROR： 無法連線到收件匣來源，睡眠 30 秒，然後再試一次。

若要修正此問題，請將遠端站臺系統的電腦帳戶新增至主要站臺上的本機系統管理員群組。

客戶端無法使用 CMG 找到管理點，而且您收到錯誤 403

發生此問題時，用戶端上的LocationServices.log會記錄下列錯誤：

[CCMHTTP]錯誤資訊：StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

此外，CMG 連接點伺服器上的SMS_Cloud_ProxyConnector.log會記錄下列錯誤：

MessageID：ID> RequestURI：<https://< FQDN>/SMS_MP/.sms_aut？SITESIGNCERT EndpointName： SMS_MP ResponseHeader： HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize： 5274 ElapsedTime： 44 毫秒 SMS_CLOUD_PROXYCONNECTOR

如果 CMG 連接點伺服器具有有效的客戶端驗證憑證，最可能的原因是無法驗證憑證的證書吊銷清單 （CRL）。 如果是這種情況，您會收到0x87d0027e錯誤，且下列錯誤會記錄在 CAPI2 事件記錄檔中：

因為撤銷伺服器已離線，所以撤銷功能無法核對撤銷狀況。 80092013

此外，如果您藉由將登錄值設定 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging 為 1來啟用詳細信息記錄，則類似下列的錯誤專案會記錄SMS_Cloud_ProxyConnector.log：

鏈結建置失敗的憑證：C019CC17EEFA681D154BA9F24F8EAE9640D54C49
鏈結 0 狀態：RevocationStatusUnknown
鏈結 1 狀態：OfflineRevocation
鏈結建置失敗憑證：54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
鏈結 0 狀態：RevocationStatusUnknown
鏈結 1 狀態：OfflineRevocation
不允許憑證：52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
具有允許根 CA 且具有私鑰的已篩選憑證計數：0
使用客戶端驗證篩選的憑證計數：0

建議您先確定其運作正常，而不是自動停用CRL檢查。 不過，如果您無法讓CRL檢查正常運作，請暫時停用CMG連接點的CRL檢查。 這可讓選取客戶端憑證而不執行 CRL 檢查，並啟用與管理點的通訊。

其他相關資訊

如需疑難解答共同管理問題的詳細資訊，請參閱下列文章：

• 針對共同管理進行疑難解答：將現有的 Configuration Manager 受控裝置自動註冊到 Intune
• 針對共同管理工作負載進行疑難解答

如需 Intune 和 Configuration Manager 共同管理的詳細資訊，請參閱下列文章：

• Windows 10 共同管理概觀
• 用戶入門：共同管理的路徑
• 共同管理的快速入門
• 教學課程：為現有的 Configuration Manager 用戶端啟用共同管理
• 如何準備以因特網為基礎的裝置以進行共同管理