Risolvere i problemi di co-gestione: Bootstrap con provisioning moderno

Questo articolo consente di comprendere e risolvere i problemi che possono verificarsi quando si configura la co-gestione eseguendo il percorso 2: Bootstrap del client Configuration Manager con il provisioning moderno.

Questo scenario si verifica quando si dispone di nuovi dispositivi Windows 10 che accedono Microsoft Entra ID e si registrano automaticamente in Intune e quindi si installa il client Configuration Manager per raggiungere uno stato di co-gestione.

Prima di iniziare

Prima di iniziare la risoluzione dei problemi, è importante raccogliere alcune informazioni di base sul problema e assicurarsi di seguire tutti i passaggi di configurazione necessari. In questo modo è possibile comprendere meglio il problema e ridurre il tempo necessario per trovare una soluzione. A tale scopo, seguire questo elenco di controllo delle domande di pre-risoluzione dei problemi:

• Quale Microsoft Entra'opzione di identità ibrida selezionata?
• Qual è l'autorità MDM corrente?
• È stato configurato http avanzato?
• I servizi cloud sono stati creati in Azure?
• È stato configurato il gateway di gestione cloud (CMG)?
• I ruoli con connessione client sono stati configurati per il traffico cmg?
• È stato installato il client Configuration Manager in Intune?

La maggior parte dei problemi si verifica perché uno o più di questi passaggi non sono stati completati. Se si rileva che un passaggio è stato ignorato o non è stato completato correttamente, controllare i dettagli di ogni passaggio o vedere l'esercitazione seguente:

Esercitazione: Abilitare la co-gestione per i client con provisioning moderno

Risoluzione dei problemi di configurazione ibrida Microsoft Entra

Se si verificano problemi che interessano Microsoft Entra'identità ibrida o Microsoft Entra Connect, vedere le guide alla risoluzione dei problemi seguenti:

• Risolvere i problemi di installazione di Microsoft Entra Connect
• Risolvere gli errori durante la sincronizzazione Microsoft Entra Connect
• Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
• Risolvere i problemi Microsoft Entra single sign-on facile
• Risolvere i problemi di autenticazione pass-through Microsoft Entra
• Risolvere i problemi di Single Sign-On con Active Directory Federation Services

Se si verificano problemi che interessano Microsoft Entra join ibrido per domini gestiti o domini federati, vedere le guide alla risoluzione dei problemi seguenti:

• Risoluzione dei problemi Microsoft Entra dispositivi aggiunti ibridi
• Risoluzione dei problemi relativi ai dispositivi utilizzando il comando dsregcmd

Domande frequenti

Quali ruoli sono necessari per configurare la co-gestione?

Ecco le autorizzazioni e i ruoli necessari per configurare la co-gestione.

Quale log è possibile usare per convalidare i carichi di lavoro e determinare da dove provengono i criteri e le app in uno scenario di co-gestione?

È possibile usare il file di log seguente nei dispositivi Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Ricerca per categorie verificare che il servizio cloud abbia un nome DNS univoco?

A tal fine, attenersi alla seguente procedura:

1. Accedere alla portale di Azure, passare a Tutti i servizi>Servizi cloud (versione classica) e quindi fare clic su Aggiungi.
2. Nel campo in Nome DNS immettere un nome da usare.
3. Quando è disponibile un nome da usare, annotarlo senza crearlo nel riquadro Servizio cloud .
4. Creare un record CNAME che esegue il mapping del dominio a <name.cloudapp.net> nei server DNS interni ed esterni.

Dove è possibile trovare l'identità del servizio gestito di configurazione client Configuration Manager?

È possibile trovare il file ccmsetup.msi nella cartella seguente nel server del sito Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Ricerca per categorie verificare la distribuzione client Configuration Manager da Intune ai dispositivi Windows 10 gestiti?

Per verificare la distribuzione, seguire questa procedura nel dispositivo Windows 10:

1. Aprire Esplora file e passare a %WinDir%\CCM\logs.
2. Aprire il file ADALOperationProvider.log con CMTrace e cercare Getting Microsoft Entra ID (User) token e Getting Microsoft Entra ID (device) token per verificare i token.
3. In CMTrace aprire il file CoManagementHandler.log, cercare Device is already enrolled with MDM (Dispositivo già registrato con MDM) e Device Provisioned (Provisioning dispositivo ) per verificare la registrazione.
4. Aprire Pannello di controllo, digitare Configuration Manager nella casella di ricerca e quindi selezionarlo.
5. Selezionare la scheda Generale e verificare il punto di gestione assegnato.
6. Selezionare la scheda Rete e verificare il punto di gestione basato su Internet.

Problemi comuni

Configuration Manager consente solo un punto di gestione abilitato per HTTPS per Microsoft Entra client aggiunti

Questo problema si verifica se si usa Configuration Manager current branch versione 1802 o una versione precedente. In queste versioni, i punti di gestione abilitati per CMG devono essere HTTPS. A partire dalla versione 1806, il punto di gestione può essere HTTP.

Per risolvere il problema, eseguire l'aggiornamento a Configuration Manager current branch versione 1806 o successiva.

Se i certificati PKI sono ancora un'opzione valida anziché http avanzato

I certificati PKI sono ancora un'opzione valida, ma hanno i requisiti seguenti:

• Tutte le comunicazioni client vengono eseguite tramite HTTPS.
• È necessario disporre di un controllo avanzato dell'infrastruttura di firma.

Per altre informazioni, vedere HTTP avanzato.

Non è possibile trovare la scheda Comunicazione computer client in Configurazione sito

A partire da Configuration Manager current branch versione 1906, questa scheda viene rinominata in Sicurezza delle comunicazioni.

L'opzione Usa certificati generati da Configuration Manager per i sistemi del sito HTTP è abilitata, ma non viene ricevuto alcun certificato

Questo comportamento è previsto. La ricezione e la configurazione del nuovo certificato dal sito possono richiedere fino a 30 minuti. È possibile usare il log seguente per tenere traccia, monitorare e verificare quanto segue:

<ConfigMgr installation directory>\Logs\CloudMgr.log

I record per le risorse e le relative informazioni associate da Microsoft Entra ID non vengono creati nel database Configuration Manager

Quando si esegue l'onboarding del sito di Gestione configurazione in Microsoft Entra ID, le risorse utente Microsoft Entra non vengono individuate o popolate nel database Configuration Manager. In genere, si riceve l'errore 0x87d00231 in questo scenario.

Questo problema si verifica in una delle situazioni seguenti:

• Non sono state configurate correttamente le autorizzazioni API per la registrazione dell'app nel portale di Azure.
• Microsoft Entra'individuazione utente non è abilitata o configurata.

Per risolvere il problema, seguire i passaggi descritti in Microsoft Entra'individuazione utente per configurare le autorizzazioni API e Microsoft Entra individuazione utente. È possibile usare i log seguenti per controllare i dettagli:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log nel server del sito
• %WinDir%\CCM\logs\CcmMessaging.log sul client
• %WinDir%\CCM\logs\LocationServices.log sul client

Nota

Se il sito Configuration Manager è nuovo o ricompilato di recente, è necessario configurare anche l'individuazione utenti di Active Directory.

CoManagementHandler.log mostra il timer di registrazione di accodamento da attivare in...

Il file ADALOperationProvider.log nei dispositivi Windows mostra Getting Microsoft Entra ID (User) token e Getting Microsoft Entra ID (device) token. Tuttavia, il dispositivo non è registrato e l'ultima riga in CoManagementHandler.log è il timer di registrazione di accodamento da attivare in ....

Questo comportamento è previsto in Configuration Manager current branch versione 1806 e versioni successive. A partire dalla versione 1806, la registrazione automatica non è immediata per tutti i client. Questo comportamento consente una migliore scalabilità della registrazione per ambienti di grandi dimensioni. Configuration Manager la registrazione viene casuale in base al numero di client. Ad esempio, se l'ambiente include 100.000 client, la registrazione può verificarsi per diversi giorni.

Per monitorare la co-gestione, passare a Monitoraggio>della co-gestione nella console di Configuration Manager.

Il comando di installazione client personalizzato è stato copiato dalla console Configuration Manager, ma non è possibile installare il client Configuration Manager

Questo problema si verifica in una delle situazioni seguenti:

• I parametri di installazione nel comando non sono conformi ai valori supportati.
• La lunghezza della riga di comando è maggiore di 1.024 caratteri.

Per risolvere il problema, assicurarsi che il comando soddisfi il requisito e che la riga di comando non abbia più di 1.024 caratteri.

Configuration Manager stato dell'agente non è integro in Intune

Intune valuta lo stato dell'agente Configuration Manager in base ai ClientHealthLastSyncTime valori e ClientHealthStatus nella sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Di seguito sono riportati i valori possibili di ClientHealthStatus:

• 1: Client installato
• 2: Client registrato
• 5: Il client è installato, ma non è ancora stata eseguita la valutazione dell'integrità
• 7: Client integro
• 8: Errore di installazione o aggiornamento del client
• 16: Errore di comunicazione nel punto di gestione

Se il ClientHealthStatus valore è 7 (integro), Intune considera il client Configuration Manager integro se ClientHealthLastSyncTime non è precedente a 30 giorni.

Se il ClientHealthStatus valore non è 7 (non integro), Intune considera il client Configuration Manager come integro se non ClientHealthLastSyncTime ha più di 48 ore.

Il ClientHealthLastSyncTime valore viene aggiornato dal componente Notifica client di Configuration Manager client e il file di log viene CcmNotificationAgent.log.

Per risolvere questo problema, controllare il file CcmNotificationAgent.log se non ClientHealthLastSyncTime è aggiornato. Ecco un esempio:

Aggiornamento di MDM_ConfigSetting.ClientHealthLastSyncTime con valore 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

Se il ClientHealthLastSyncTime valore è aggiornato, ma l'ultimo orario di archiviazione dell'agente Configuration Manager è 2/1/1900 in Intune, ciò significa che il carico di lavoro dei criteri di conformità dei dispositivi viene gestito da Configuration Manager. In questo caso, passare il carico di lavoro dei criteri di conformità a Intune o Pilot Intune.

Il punto di connessione cmg viene visualizzato come disconnesso

Il problema si verifica a causa di un problema di autorizzazioni tra il sistema del sito remoto in cui è installato il ruolo del punto di connessione cmg e il sito primario.

Il sistema del sito remoto raccoglie il TrafficData report dal cmg, quindi invia i dati al sito primario tramite messaggi di stato. Ecco un frammento di log di esempio di SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - messaggio di stato da inviare: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Poiché anche il sistema del sito remoto è un punto di gestione, questi messaggi di stato vengono spostati in una casella di posta in uscita accessibile da Gestione messaggi mp che invia i file al sito primario.Because the remote site system is also a management point, these state messages are moved into an outbox that is accessed by MP File Dispatch Manager that sends the files to the primary site. Ecco un frammento di log di esempio di mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Spostamento 1 *. File SMX da C:\SMS\MP\OUTBOXES\statemsg.box\ a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~File spostato C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX in \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Quando si verifica un problema di autorizzazione, Gestione dispatch file MP non può accedere alle caselle di posta in arrivo nel sito primario e registra l'errore seguente in mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERRORE: impossibile connettersi all'origine della posta in arrivo, attendere 30 secondi e riprovare.

Per risolvere il problema, aggiungere l'account computer del sistema del sito remoto al gruppo Amministratori locali nel sito primario.

I client non possono individuare il punto di gestione usando cmg e viene visualizzato l'errore 403

Quando si verifica questo problema, viene registrato l'errore seguente LocationServices.log nel client:

[CCMHTTP] INFORMAZIONI SULL'ERRORE: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Inoltre, l'errore seguente viene registrato SMS_Cloud_ProxyConnector.log nel server del punto di connessione cmg:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Se il server del punto di connessione cmg ha un certificato di autenticazione client valido, la causa più possibile è l'errore di convalidare l'elenco di revoche di certificati (CRL) per il certificato. In questo caso, viene visualizzato l'errore 0x87d0027e e nel registro eventi CAPI2 viene registrato l'errore seguente:

La funzione di revoca non è riuscita a controllare la revoca perché il server di revoca era offline. 80092013

Inoltre, se si abilita la registrazione dettagliata impostando il valore del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registro di sistema su 1, le voci di errore simili alle seguenti vengono registrate SMS_Cloud_ProxyConnector.log:

Certificato di compilazione della catena non riuscito: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Stato catena 0: RevocationStatusUnknown
Stato della catena 1: OfflineRevocation
Certificato con catena non riuscito: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Stato catena 0: RevocationStatusUnknown
Stato della catena 1: OfflineRevocation
Certificato non consentito: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Numero di certificati filtrati con CA radice consentita e chiave privata: 0
Numero di certificati filtrati con autenticazione client: 0

È consigliabile, invece di disabilitare automaticamente il controllo CRL, assicurarsi prima di tutto che funzioni. Tuttavia, se non è possibile ottenere il corretto funzionamento del controllo CRL, disabilitare temporaneamente il controllo CRL per i punti di connessione cmg. In questo modo è possibile selezionare un certificato client senza eseguire il controllo CRL e consentire la comunicazione con il punto di gestione.

Ulteriori informazioni

Per altre informazioni sulla risoluzione dei problemi di co-gestione, vedere gli articoli seguenti:

• Risolvere i problemi di co-gestione: registrare automaticamente i dispositivi Configuration Manager gestiti in Intune
• Risolvere i problemi relativi ai carichi di lavoro di co-gestione

Per altre informazioni su Intune e la co-gestione Configuration Manager, vedere gli articoli seguenti:

• Panoramica della co-gestione Windows 10
• Introduzione: Percorsi per la co-gestione
• Guide introduttive per la co-gestione
• Esercitazione: abilitare la co-gestione per i client di Configuration Manager esistenti
• Come preparare i dispositivi basati su Internet per la co-gestione