Problembehandlung bei Enterprise State Roaming-Einstellungen in Microsoft Entra ID

Dieser Artikel enthält Informationen zur Behandlung und Diagnose von Problemen mit Enterprise State Roaming sowie eine Liste bekannter Probleme.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Hinweis

Dieser Artikel bezieht sich auf den älteren HTML-basierten Microsoft Edge-Browser, der im Juli 2015 mit Windows 10 veröffentlicht wurde. Der Artikel gilt nicht für den neuen Chromium-basierten Microsoft Edge-Browser, der am 15. Januar 2020 veröffentlicht wurde. Weitere Informationen zum Synchronisierungsverhalten des neuen Microsoft Edge finden Sie im Artikel Microsoft Edge-Synchronisierung.

Vorbereitende Schritte zur Problembehandlung

Bevor Sie mit der Problembehandlung beginnen, stellen Sie sicher, dass der Benutzer und das Gerät ordnungsgemäß konfiguriert werden, und dass alle Anforderungen von Enterprise State Roaming erfüllt werden.

  1. Windows 10 oder höher ist mit den neuesten Updates und mindestens Version 1511 (Betriebssystembuild 10586 oder höher) auf dem Gerät installiert.
  2. Das Gerät ist Microsoft Entra eingebunden oder Microsoft Entra hybrid eingebunden. Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Microsoft Entra ID.
  3. Stellen Sie sicher, dass Enterprise State Roaming wie in Aktivieren von Enterprise State Roaming in Azure Active Directory beschrieben für den Mandanten in Microsoft Entra ID aktiviert ist. Sie können das Roaming für alle Benutzer oder nur eine ausgewählte Gruppe von Benutzern aktivieren.
  4. Dem Benutzer wird eine Microsoft Entra-ID P1 oder P2-Lizenz zugewiesen.
  5. Das Gerät muss neu gestartet werden, und der Benutzer muss sich zum Zugriff auf die Enterprise State Roaming-Funktionen erneut anmelden.

Erforderliche Informationen beim Anfordern von Hilfe

Wenn Ihr Problem mithilfe der folgenden Anleitungen nicht gelöst wird, können Sie sich an einen unserer Supportmitarbeiter wenden. Wenn Sie sich an den Support wenden, halten Sie die folgenden Informationen bereit:

  • Allgemeine Beschreibung des Fehlers: Werden dem Benutzer Fehlermeldungen angezeigt? Wenn keine Fehlermeldung angezeigt wird, beschreiben Sie das beobachtete unerwartete Verhalten so genau wie möglich. Welche Funktionen sind für die Synchronisierung aktiviert, und was möchte der Benutzer synchronisieren? Werden mehrere Funktionen nicht synchronisiert, oder nur eine?
  • Betroffene Benutzer: Funktioniert die Synchronisierung für einen oder mehrere Benutzer bzw. funktioniert sie nicht? Wie viele Geräte sind pro Benutzer betroffen? Werden alle nicht synchronisiert, oder werden einige synchronisiert und einige nicht?
  • Informationen zum Benutzer: Welche Identität verwendet der Benutzer, um sich beim Gerät anzumelden? Wie meldet sich der Benutzer beim Gerät an? Ist er Mitglied einer ausgewählten Sicherheitsgruppe, die synchronisieren darf?
  • Informationen zum Gerät: Ist dieses Gerät in Microsoft Entra oder in eine Domäne eingebunden? Welche Builds sind auf dem Gerät installiert? Welches sind die neuesten Updates?
  • Datum/Uhrzeit/Zeitzone: Wann genau (Tag und Uhrzeit) haben Sie den Fehler beobachtet (geben Sie auch die Zeitzone an)?

Diese Informationen helfen uns, Ihr Problem so schnell wie möglich zu beheben.

Problembehandlung und Diagnose von Problemen

Dieser Abschnitt enthält Vorschläge zum Beheben und Diagnostizieren von Problemen im Zusammenhang mit Enterprise State Roaming.

Überprüfen der Synchronisierung und die Seite „Einstellungen synchronisieren“

  1. Melden Sie sich nach dem Einbinden Ihres PC mit Windows 10 oder höher in eine Domäne, die Enterprise State Roaming zulässt, mit Ihrem Geschäftskonto an. Wechseln Sie zu Einstellungen>Konten>Einstellungen synchronisieren, und vergewissern Sie sich, dass die Synchronisierung und die einzelnen Einstellungen aktiviert sind und dass oben auf der Seite mit den Einstellungen angegeben ist, dass die Synchronisierung mit Ihrem Geschäftskonto durchgeführt wird. Überprüfen Sie unter Einstellungen>Konten>Ihre Infos, ob das gleiche Konto auch als Ihr Konto verwendet wird.

  2. Stellen Sie sicher, dass die Synchronisierung über mehrere Computer hinweg funktioniert, indem Sie einige Änderungen auf dem ursprünglichen Computer vornehmen, z.B. die Taskleiste auf dem Bildschirm verschieben. Beobachten Sie, wie die Änderung innerhalb von fünf Minuten an den zweiten Computer weitergegeben wird.

    • Durch Sperren und Entsperren des Bildschirms (Windows-Taste+L) kann eine Synchronisierung ausgelöst werden.
    • Sie müssen auf beiden Computern dasselbe Anmeldekonto für die Synchronisierung verwenden, da das Enterprise State Roaming an das Benutzerkonto und nicht das Computerkonto gebunden ist.

Mögliches Problem: Die Steuerelemente sind auf der Seite Einstellungen nicht verfügbar, und die Nachricht „Einige Windows-Funktionen sind nur verfügbar, wenn Sie ein Microsoft-Konto oder -Geschäftskonto verwenden“ wird angezeigt. Dieses Problem kann bei Geräten auftreten, die einer Domäne zugeordnet wurden und in Microsoft Entra ID registriert sind, aber noch nicht bei Microsoft Entra ID authentifiziert wurden. Eine mögliche Ursache ist, dass die Geräterichtlinie angewendet werden muss, aber diese Anwendung asynchron erfolgt und einige Stunden dauern könnte.

Überprüfen des Geräteregistrierungsstatus

Für Enterprise State Roaming muss das Gerät bei Microsoft Entra ID registriert sein. Zwar gelten diese Anweisungen nicht nur für Enterprise State Roaming, damit können Sie aber sicherstellen, dass der Client mit Windows 10 oder höher registriert ist, und den Fingerabdruck, die URL für Microsoft Entra-Einstellungen, den NGC-Status und andere Informationen überprüfen.

  1. Öffnen Sie die Eingabeaufforderung ohne erhöhte Rechte. Öffnen Sie dazu das Dialogfeld „Ausführen“ (Windows-Taste+R), und geben Sie zum Öffnen der Eingabeaufforderung „cmd“ ein.
  2. Sobald die Eingabeaufforderung geöffnet ist, geben Sie *dsregcmd.exe /status* ein.
  3. Erwartete Ausgabe: Der Wert des Felds AzureAdJoined muss YES lauten, der Wert des Felds WamDefaultSet muss YES lauten, und der Wert des Felds WamDefaultGUID muss eine GUID sein, die auf (AzureAD) endet.

Mögliches Problem:WamDefaultSet und AzureAdJoined weisen „NO“ als Feldwert auf, das Gerät ist in die Domäne eingebunden und wurde bei Microsoft Entra ID registriert, und das Gerät wird nicht synchronisiert. In diesem Fall muss das Gerät möglicherweise warten, bis die Richtlinie angewendet wird, oder die Authentifizierung für das Gerät ist beim Verbinden mit Azure AD fehlgeschlagen. Der Benutzer muss möglicherweise einige Stunden warten, bis die Richtlinie angewendet wird. Weitere mögliche Schritte zur Problembehandlung bestehen darin, erneut eine automatische Registrierung durch eine Abmeldung und erneute Anmeldung zu versuchen oder die Aufgabe in Taskplaner zu starten. In einigen Fällen kann das Problem behoben werden, indem dsregcmd.exe /leave in einem Eingabeaufforderungsfenster mit erhöhten Rechten ausgeführt wird, ein Neustart durchgeführt wird und die Registrierung erneut ausgeführt wird.

Mögliches Problem: Das Feld für SettingsUrl ist leer, und das Gerät wird nicht synchronisiert. Möglicherweise hat sich der/die Benutzer*in zuletzt beim Gerät angemeldet, bevor Enterprise State Roaming im Azure-Portal aktiviert wurde. Starten Sie das Gerät neu, und fordern Sie den Benutzer auf, sich anzumelden. Optional kann der oder die IT-Administrator*in im Portal zu Identität>Geräte>Übersicht>Enterprise State Roaming navigieren und die Option Benutzer können Einstellungen und App-Daten geräteübergreifend synchronisieren deaktivieren und dann erneut aktivieren. Starten Sie dann das Gerät neu, und fordern Sie den Benutzer auf, sich anzumelden. Falls das Problem dadurch nicht behoben wird, ist SettingsUrl möglicherweise leer, wenn ein fehlerhaftes Gerätezertifikat vorliegt. In diesem Fall kann das Problem behoben werden, indem dsregcmd.exe /leave in einem Eingabeaufforderungsfenster mit erhöhten Rechten ausgeführt wird, ein Neustart erfolgt und die Registrierung erneut versucht wird.

Enterprise State Roaming und Multi-Faktor-Authentifizierung

Unter bestimmten Bedingungen werden Daten von Enterprise State Roaming nicht synchronisiert, wenn Microsoft Entra Multifactor Authentication (MFA) konfiguriert ist. Weitere Informationen zu diesen Symptomen finden Sie im Supportartikel KB3193683.

Mögliches Problem: Wenn Ihr Gerät so konfiguriert ist, dass im Microsoft Entra Admin Center die Multi-Faktor-Authentifizierung (MFA) erforderlich ist, werden die Einstellungen möglicherweise nicht synchronisiert, wenn Sie sich mit einem Kennwort bei dem Gerät mit Windows 10 oder höher anmelden. Diese Art der MFA-Konfiguration dient dem Schutz eines Azure-Administratorkontos. Administratoren können die Synchronisierung möglicherweise trotzdem durchführen, indem sie sich mit ihrer Windows Hello for Business-PIN bei ihrem Gerät mit Windows 10 oder höher anmelden oder indem sie die MFA durchführen, während sie auf andere Azure-Dienste wie Microsoft 365 zugreifen.

Mögliches Problem: Bei der Synchronisierung kann ein Fehler auftreten, wenn der Administrator die Richtlinie für bedingten Zugriff mit MFA über die Azure Active Directory-Verbunddienste konfiguriert hat und das Zugriffstoken auf dem Gerät abläuft. Stellen Sie sicher, dass Sie die Windows Hello for Business-PIN zum An- und Abmelden verwenden, oder führen Sie die MFA durch, während Sie auf andere Azure-Dienste wie Microsoft 365 zugreifen.

Ereignisanzeige

Für eine erweiterte Problembehandlung kann die Ereignisanzeige verwendet werden, um nach bestimmten Fehlern suchen. Die Ereignisse finden Sie in der Ereignisanzeige unter >Anwendungs- und Dienstprotokolle>Microsoft>Windows>SettingSync-Azure und bei identitätsbezogenen Problemen mit der Synchronisierung unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>Microsoft Entra ID.

Bekannte Probleme

Die Synchronisierung funktioniert nicht auf Geräten, auf denen Apps mit MDM-Software quergeladen wurden

Betrifft Geräte mit dem Windows 10 Anniversary Update (Version 1607). In der Ereignisanzeige unter den SettingSync-Azure-Protokollen wird häufig die Ereignis-ID 6013 mit Fehler 80070259 angezeigt.

Empfohlene Maßnahme
Stellen Sie sicher, dass auf dem Windows 10-v1607-Client das kumulative Update vom 23. August 2016 installiert ist (KB3176934, Betriebssystembuild 14393.82).


Einstellungen für Datum, Uhrzeit und Region werden auf einem Gerät, das einer Domäne angehört, nicht synchronisiert

Bei Geräten, die in eine Domäne eingebunden sind, wird die Einstellung Datum, Uhrzeit und Region: automatische Zeit nicht synchronisiert. Durch das Verwenden der automatischen Zeit können die anderen Einstellungen für Datum, Uhrzeit und Region außer Kraft gesetzt werden, und dies kann dazu führen, dass diese Einstellungen nicht synchronisiert werden.

Empfohlene Maßnahme
Keine.


Ein zu einer Domäne gehörendes Gerät wird nach dem Verlassen des Unternehmensnetzwerks nicht synchronisiert

Bei zu einer Domäne gehörenden Geräte, die in Microsoft Entra ID registriert sind, können Synchronisierungsfehler auftreten, wenn sich das Gerät längere Zeit außerhalb Ihrer Geschäftsräume befindet, und die Domänenauthentifizierung kann nicht abgeschlossen werden.

Empfohlene Maßnahme
Verbinden Sie das Gerät mit einem Unternehmensnetzwerk, sodass die Synchronisierung fortgesetzt werden kann.


Ein in Microsoft Entra eingebundenes Gerät wird nicht synchronisiert, und der Benutzer hat einen Benutzerprinzipalnamen mit gemischter Groß-/Kleinschreibung.

Wenn der Benutzer einen Benutzerprinzipalnamen mit gemischter Groß-/Kleinschreibung verwendet (z. B. „BenutzerName“ statt „benutzername“) und ein in Microsoft Entra eingebundenes Gerät nutzt, für das ein Windows 10-Upgrade von Build 10586 auf Build 14393 erfolgt ist, kann das Gerät des Benutzers möglicherweise nicht synchronisiert werden.

Empfohlene Maßnahme
Der Benutzer muss das Gerät aus der Cloud entfernen und anschließend erneut verbinden. Melden Sie sich hierfür als Benutzer mit der Berechtigung „Lokaler Administrator“ an. Trennen Sie das Gerät, indem Sie zu Einstellungen>System>Info navigieren. Aktivieren Sie „Arbeit oder Schule verwalten bzw. davon trennen“. Bereinigen Sie die unten aufgeführten Dateien, und verbinden Sie dann das Gerät erneut mit Microsoft Entra. Wählen Sie dazu unter Einstellungen>System>Info die Option „Mit Arbeit, Schule oder Uni verbinden“ aus. Setzen Sie das Verbinden des Geräts mit Microsoft Entra ID fort, und schließen Sie den Vorgang ab.

Bereinigen Sie im Bereinigungsschritt die folgenden Dateien:

  • „Settings.dat“ inC:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • Alle Dateien im Ordner C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

Ereignis-ID 6065: 80070533. Der Benutzer kann sich nicht anmelden, da das Konto momentan deaktiviert ist

In der Ereignisanzeige kann dieser Fehler unter den Protokollen „SettingSync/Debug“ vorhanden sein, wenn die Anmeldeinformationen des Benutzers ablaufen. Darüber hinaus kann er auftreten, wenn der Mandant AzureRMS nicht automatisch bereitgestellt hat.

Empfohlene Maßnahme
Veranlassen Sie im ersten Fall, dass der Benutzer seine Anmeldeinformationen aktualisiert und sich mit den neuen Anmeldeinformationen beim Gerät anmeldet. Führen Sie zum Beheben des Problems mit AzureRMS die Schritte unter KB3193791 aus.


Ereignis-ID 1098: Error: 0xCAA5001C. Fehler beim Tokenmaklervorgang

In der Ereignisanzeige unter „AAD/Betriebsprotokolle“ kann dieser Fehler wie folgt angezeigt werden: Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F. Dieses Problem tritt auf, wenn Berechtigungen oder Besitzattribute fehlen.

Empfohlene Maßnahme
Führen Sie die Schritte unter KB3196528 aus.

Nächste Schritte

Grundlegendes erfahren Sie unter Überblick über Enterprise State Roaming.