Résoudre les problèmes de cogestion : inscrire automatiquement des appareils gérés Configuration Manager existants dans Intune

Cet article vous aide à comprendre et à résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez la cogestion en inscrivant automatiquement des appareils gérés Configuration Manager existants dans Intune.

Dans ce scénario, vous pouvez continuer à gérer Windows 10 appareils à l’aide de Configuration Manager, ou vous pouvez déplacer de manière sélective des charges de travail vers Microsoft Intune comme vous le souhaitez. Pour plus d’informations sur la configuration des charges de travail, consultez Conseil de support : Configuration des charges de travail dans un environnement cogéré.

Avant de commencer

Avant de commencer la résolution des problèmes, il est important de collecter des informations de base sur le problème et de vous assurer que vous suivez toutes les étapes de configuration requises. Il vous permet de mieux comprendre le problème et de réduire le temps nécessaire pour trouver une solution. Pour ce faire, suivez cette liste de vérification des questions préalables à la résolution des problèmes :

• Avez-vous les autorisations et les rôles nécessaires pour configurer la cogestion ?
• Quelle Microsoft Entra option d’identité hybride avez-vous sélectionnée ?
• Quelle est votre autorité GPM actuelle ?
• Avez-vous installé et configuré Microsoft Entra Connect ?
• Avez-vous affecté une licence Microsoft Entra ID P1 ou P2 à l’UPN que vous avez utilisé pour la configuration ?
• Avez-vous attribué Intune licences aux utilisateurs ?
• Avez-vous configuré Microsoft Entra jointure hybride pour les domaines managés ou fédérés ?
• Avez-vous configuré les paramètres de l’agent client Configuration Manager pour Microsoft Entra jointure hybride ?
• Avez-vous configuré l’inscription automatique dans votre locataire Intune ?
• Avez-vous activé la cogestion dans Configuration Manager ?

La plupart des problèmes se produisent parce qu’une ou plusieurs de ces étapes n’ont pas été effectuées. Si vous constatez qu’une étape a été ignorée ou n’a pas été effectuée correctement, case activée les détails de chaque étape ou consultez le tutoriel suivant : Activer la cogestion pour les clients Configuration Manager existants.

Utilisez le fichier journal suivant sur Windows 10 appareils pour résoudre les problèmes de cogestion sur le client :

%WinDir%\CCM\logs\CoManagementHandler.log

Résolution des problèmes de configuration des Microsoft Entra hybrides

Si vous rencontrez des problèmes qui affectent Microsoft Entra identité hybride ou Microsoft Entra Connect, reportez-vous aux guides de résolution des problèmes suivants :

• Résoudre les problèmes d’installation de Microsoft Entra Connect
• Résoudre les erreurs lors de la synchronisation Microsoft Entra Connect
• Résoudre les problèmes de synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync
• Résoudre les problèmes Microsoft Entra authentification unique transparente
• Résoudre les problèmes d’authentification directe Microsoft Entra
• Résoudre les problèmes d’authentification unique avec Services ADFS

Si vous rencontrez des problèmes qui affectent Microsoft Entra jointure hybride pour les domaines managés ou fédérés, reportez-vous aux guides de résolution des problèmes suivants :

• Résolution des problèmes Microsoft Entra appareils joints hybrides
• Dépannage des appareils à l’aide de la commande dsregcmd

Problèmes courants

Les clients n’ont pas reçu la stratégie de Configuration Manager point de gestion pour démarrer le processus d’inscription avec Microsoft Entra ID et Intune

Ce problème se produit en raison d’un problème dans Configuration Manager et non Intune. Vous pouvez utiliser les fichiers journaux du client pour résoudre ces problèmes.

Le client Configuration Manager est installé. Toutefois, l’appareil ne s’inscrit pas auprès de Microsoft Entra ID et aucune erreur n’est détectée

Ce problème se produit généralement parce que les paramètres de l’agent client Configuration Manager ne sont pas configurés pour demander aux clients de s’inscrire.

Pour résoudre le problème, vérifiez que vous suivez les étapes décrites dans Configurer les paramètres client pour diriger l’inscription des clients avec Microsoft Entra ID.

Le client Configuration Manager est installé et l’appareil est correctement inscrit auprès de Microsoft Entra ID. Toutefois, l’appareil n’est pas automatiquement inscrit dans Intune et aucune erreur n’est visible

Ce problème se produit généralement lorsque l’inscription automatique est mal configurée dans votre locataire Intune sous Microsoft Entra ID>Mobility (MDM et MAM)>Microsoft Intune.

Pour résoudre le problème, suivez les étapes décrites dans Configurer l’inscription automatique des appareils à Intune.

Vous ne pouvez pas localiser le nœud de cogestion sous administration > Services cloud dans la console Configuration Manager

Ce problème se produit si votre version de Configuration Manager est antérieure à la version 1906.

Pour résoudre le problème, mettez à jour Configuration Manager vers la version 1906 ou une version ultérieure.

Microsoft Entra appareils joints hybrides ne parviennent pas à s’inscrire et génèrent des erreurs 0x8018002a

Lorsque ce problème se produit, vous remarquez également les symptômes suivants :

• Le message d’erreur suivant estenregistré dans les journaux >des applications et des servicesMicrosoft> Windows >DeviceManagement-Enterprise-Diagnostic-Provider>Administration journal dans le observateur d'événements :

  Inscription GPM automatique : Échec (Code d’erreur Win32 inconnu : 0x8018002a)

• Le message d’erreur suivant est enregistré dans les journaux> des applications et des servicesMicrosoft>Windows>Microsoft Entra ID>Journal d’activité dans le observateur d'événements :

  Erreur : 0xCAA2000C La demande nécessite une interaction de l’utilisateur.
  Code : interaction_required
  Description : AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur, ou parce que vous avez déménagé vers un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour y accéder.

Ce problème se produit lorsque l’authentification multifacteur (MFA) est appliquée. Il empêche l’agent client Configuration Manager d’inscrire l’appareil à l’aide des informations d’identification de l’utilisateur connecté.

Remarque

Il existe une différence entre l’authentification MFA activée et l’application. Pour plus d’informations sur la différence, consultez Microsoft Entra états utilisateur de l’authentification multifacteur. Pour ce scénario, l’authentification MFA est activée , mais l’authentification MFA n’est pas appliquée.

Pour résoudre le problème, utilisez l’une des méthodes suivantes :

• Définissez MFA sur Activé , mais pas Appliqué. Pour plus d’informations, consultez Configurer l’authentification multifacteur.
• Désactivez temporairement l’authentification multifacteur lors de l’inscription dans les adresses IP approuvées.

Échec de la synchronisation des appareils après l’inscription automatique

À compter de Configuration Manager version 1906, un appareil cogéré exécutant Windows 10 version 1803 ou ultérieure s’inscrit automatiquement au service Microsoft Intune en fonction de ses jetons d’appareil Microsoft Entra. Toutefois, la synchronisation de l’appareil échoue et vous recevez le message d’erreur suivant dans Paramètres>Comptes>Accès professionnel ou scolaire :

La synchronisation n’a pas réussi, car nous n’avons pas pu vérifier vos informations d’identification. Sélectionnez Synchroniser pour vous connecter et réessayer.

Lorsque ce problème se produit, le message d’erreur suivant est enregistré dans les journaux> des applications et des servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administration journal dans le observateur d'événements :

Session MDM : Échec de l’obtention du jeton Microsoft Entra pour la session de synchronisation Jeton utilisateur : (Code d’erreur Win32 inconnu : 0xcaa2000c) Jeton d’appareil : (Fonction incorrecte).

Le message d’erreur suivant est enregistré dans les journaux> des applications et des servicesMicrosoft>Windows>Microsoft Entra ID>Journal d’activité dans le observateur d'événements :

Erreur : 0xCAA2000C La demande nécessite une interaction de l’utilisateur.
Code : interaction_required
Description : AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur, ou parce que vous avez déménagé vers un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour y accéder.

Ce problème se produit lorsque l’authentification multifacteur est activée ou appliquée, ou Microsoft Entra stratégies d’accès conditionnel qui nécessitent l’authentification multifacteur sont appliquées à toutes les applications cloud. Il empêche l’association de l’utilisateur avec l’appareil dans le portail.

Pour résoudre le problème, utilisez l’une des méthodes suivantes :

• Si l’authentification multifacteur est activée ou appliquée :
  • Définissez MFA sur Désactivé. Pour plus d’informations, consultez Désactiver l’authentification multifacteur par utilisateur héritée.
  • Contourner l’authentification multifacteur à l’aide d’adresses IP approuvées.
• Si Microsoft Entra stratégies d’accès conditionnel sont utilisées, excluez l’application Microsoft Intune des stratégies qui nécessitent l’authentification multifacteur pour autoriser la synchronisation des appareils à l’aide des informations d’identification de l’utilisateur.

Un appareil Windows 10 joint Microsoft Entra hybride ne parvient pas à s’inscrire dans Intune avec des 0x800706D9 d’erreur ou 0x80180023

Lorsque ce problème se produit, le message d’erreur suivant s’affiche généralement dans journaux > des applications et des servicesMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administration connectez-vous au observateur d'événements :

Inscription mdm : échec de la configuration du client OMA-DM. RAWResult : (0x800706D9) Résultat : (Win32 inconnu Code d’erreur : 0x80180023).
Inscription GPM : échec de l’approvisionnement. Résultat : (Code d’erreur Win32 inconnu : 0x80180023).
Inscription MDM : Échec (Code d’erreur Win32 inconnu : 0x80180023)
Inscription GPM automatique : Informations d’identification de l’appareil (0x80180023), Échec (%2)
Désinscription MDM : erreur lors de l’envoi d’une alerte de désinscription au serveur. Résultat : (Fonction incorrecte).
Désinscription mdm : échec de la modification du type de démarrage dmwappushservice en demand-start. Résultat : (Le service spécifié n’existe pas en tant que service installé.)

Ce problème se produit si le dmwappushservice service est manquant sur l’appareil. Pour vérifier, exécutez services.msc pour rechercher ce service.

Pour résoudre ce problème, procédez comme suit :

1. Sur un appareil opérationnel qui exécute la même version de Windows 10 que l’appareil affecté, exportez la clé de Registre suivante :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Connectez-vous à l’appareil concerné en tant qu’administrateur local, copiez le fichier .reg sur l’appareil concerné, puis fusionnez-le avec le registre local.

3. Redémarrez l’appareil affecté.

4. Supprimez l’ancienne inscription Microsoft Entra, puis mettez à jour stratégie de groupe.

5. Redémarrez à nouveau l’appareil affecté. L’appareil doit être en mesure de s’inscrire auprès de Microsoft Entra ID et de s’inscrire automatiquement dans Intune.

Microsoft Entra jointure hybride échoue dans un domaine managé avec une erreur 0x801c03f2

Lorsque vous exécutez dsregcmd /status à partir d’une invite de commandes sur l’appareil, vous pouvez voir qu’il est joint à un domaine, mais pas Microsoft Entra joint hybride. Le message d’erreur suivant est enregistré dans les journaux> d’application et de service Inscriptiondes> appareils utilisateurMicrosoft>Windows>Administration journal dans le observateur d'événements :

La réponse du serveur était : {"ErrorType » :"DirectoryError »,"Message » :"Le certificat utilisateur de clé publique est introuvable sur l’objet d’appareil avec l’ID <DeviceID> ».

Ce problème se produit dans l’une des situations suivantes :

• L’objet d’appareil est manquant dans Microsoft Entra ID.
• L’attribut Usercertificate n’a pas le certificat d’appareil dans le Active Directory local ou Microsoft Entra ID.

Pour que Windows 10'inscription d’appareil fonctionne dans un domaine managé, l’objet d’appareil doit d’abord être synchronisé. Le processus d’inscription fonctionne comme suit :

• L’appareil Windows 10 démarre pour la première fois une fois qu’il est joint à un domaine local.
• L’inscription de l’appareil est déclenchée et une demande de certificat est créée.
• Lorsque la demande est créée, la clé publique du certificat est publiée dans l’ad local pour l’objet d’appareil. Cela met à jour l’attribut Usercertificate sur les objets d’appareil. En même temps, la demande d’inscription d’appareil signée est envoyée à Microsoft Entra ID.
• L’inscription échoue car Microsoft Entra ID ne peut pas authentifier l’objet d’appareil ou vérifier la demande signée.
• La prochaine fois que le cycle de synchronisation s’exécute, il recherche l’objet d’appareil sur lequel l’attribut Usercertificate est rempli et synchronise l’objet d’appareil avec Microsoft Entra ID.
• La prochaine fois que le service d’inscription est déclenché (il s’exécute toutes les heures), l’appareil envoie une nouvelle demande signée par la clé privée.
• Azure vérifie la signature sur la demande à l’aide du certificat public qui a été reçu du domaine local pendant le cycle de synchronisation. Si Microsoft Entra ID pouvez vérifier la signature sur la demande, l’inscription de l’appareil réussit.

Pour résoudre ce problème, procédez comme suit :

1. Dans l’annuaire AD local, vérifiez que l’attribut Usercertificate est rempli et dispose du certificat correct.

2. Vérifiez l’objet d’appareil principal et vérifiez que l’attribut Usercertificate existe et qu’il est rempli.

3. Si le certificat est manquant ou si quelqu’un a supprimé le certificat de l’ad local (qui, à son tour, supprime le certificat de Microsoft Entra ID), l’inscription de l’appareil échoue. Pour résoudre ce problème, procédez comme suit sur l’appareil client :

   1. Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez la commande suivante :

      dsregcmd /leave
      

   2. Exécutez certlm.msc pour ouvrir le magasin de certificats de l’ordinateur local.

   3. Assurez-vous que le certificat d’ordinateur émis par MS-Organization-Access est supprimé.

   4. Redémarrez l’appareil client pour déclencher une nouvelle inscription d’appareil.

   5. Une fois l’appareil redémarré, assurez-vous que la nouvelle clé publique de certificat est mise à jour sur l’objet d’appareil dans l’ad local. S’il existe plusieurs contrôleurs de domaine, assurez-vous que l’attribut est répliqué sur tous les contrôleurs de domaine.

   6. Déclenchez une synchronisation delta sur le serveur Microsoft Entra Connect.

   7. Une fois la synchronisation terminée, vous pouvez déclencher l’inscription de l’appareil en redémarrant le client, en exécutant la dsregcmd /debug commande ou en exécutant la tâche planifiée Automatic-Device-Join sous Workplace Join.

L’inscription automatique de l’appareil échoue avec une erreur 0x80280036

Lorsque ce problème se produit, le message d’erreur suivant est enregistré dans les journaux> d’application et de serviceMicrosoft>Windows>User Device Registration>Administration journal dans le observateur d'événements :

DeviceRegistrationApi ::BeginJoin a échoué avec le code d’erreur : 0x80280036

Description :
Échec de l’initialisation de la demande de jointure avec le code de sortie : le TPM tente d’exécuter une commande disponible uniquement en mode FIPS.

Ce problème se produit si le mode FIPS est activé sur la puce TPM sur l’appareil client. Le mode FIPS n’est pas pris en charge ou recommandé pour l’inscription d’appareils Azure. Pour plus d’informations, consultez Pourquoi nous ne recommandons plus le « mode FIPS ».

Microsoft Entra jointure hybride échoue avec 0x80090016 d’erreur

L’inscription Microsoft Entra hybride d’un appareil Windows 10 échoue et le message d’erreur suivant s’affiche :

Un problème s’est produit. Confirmez que vous utilisez les bonnes informations de connexion et que votre organisation utilise cette fonctionnalité. Vous pouvez réessayer ou contacter votre administrateur système avec le code d’erreur 0x80090016

Le message d’erreur de 0x80090016 est Jeu de clés n’existe pas. Cela signifie que l’inscription de l’appareil n’a pas pu enregistrer la clé d’appareil, car les clés TPM n’étaient pas accessibles.

Ce problème se produit si Windows n’est pas le propriétaire du module TPM. À compter de Windows 10, le système d’exploitation s’initialise automatiquement et s’approprie le TPM. Toutefois, si ce processus échoue, Windows ne sera pas le propriétaire et entraînera le problème.

Pour résoudre ce problème, effacez le module de plateforme sécurisée et redémarrez l’appareil client. Pour effacer le TPM, procédez comme suit :

1. Ouvrez l’application Sécurité Windows.

2. Sélectionnez Sécurité de l’appareil.

3. Sélectionnez Détails du processeur de sécurité.

4. Sélectionnez Résolution des problèmes du processeur de sécurité.

5. Cliquez sur Effacer le module TPM.

   Importante

   Avant d’effacer le module TPM, tenez compte des points suivants :

   • L’effacement du module TPM peut entraîner une perte de données. Vous perdrez toutes les clés créées associées au module de plateforme sécurisée et les données protégées par ces clés, telles qu’un carte intelligent virtuel, un code pin d’ouverture de session ou des clés BitLocker.
   • Si BitLocker est activé sur l’appareil, veillez à désactiver BitLocker avant d’effacer le module TPM.
   • Vérifiez que vous disposez d’une méthode de sauvegarde et de récupération pour toutes les données protégées ou chiffrées par le TPM.

6. Redémarrez l’appareil lorsque vous y êtes invité.

   Remarque

   Pendant le redémarrage, l’UEFI peut vous inviter à appuyer sur un bouton pour confirmer que vous souhaitez effacer le module de plateforme sécurisée. Une fois le redémarrage terminé, le module de plateforme sécurisée est automatiquement préparé pour être utilisé par Windows 10.

Une fois l’appareil redémarré, Microsoft Entra jointure hybride doit réussir. Pour vérifier, exécutez dsregcmd /status la commande à une invite de commandes. Le résultat suivant indique une jointure réussie :

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Pour plus d’informations, consultez Résoudre les problèmes liés au module TPM.

Plus d’informations

Pour plus d’informations sur la résolution des problèmes de cogestion, consultez les articles suivants :

• Résoudre les problèmes de cogestion : démarrage avec provisionnement moderne
• Résoudre les problèmes liés aux charges de travail de cogestion

Pour plus d’informations sur Intune et la cogestion Configuration Manager, consultez les articles suivants :

• Vue d’ensemble de la cogestion Windows 10
• Prise en main : Chemins d’accès à la cogestion
• Démarrages rapides pour la cogestion
• Tutoriel : Activer la cogestion pour les clients du gestionnaire de configuration existants