Solucionando problemas de configurações do Enterprise State Roaming no Microsoft Entra ID

  • Artigo

Este artigo fornece informações sobre como diagnosticar e solucionar problemas com o Enterprise State Roaming, além de fornecer uma lista de problemas conhecidos.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Observação

Este artigo se aplica ao navegador baseado em HTML herdado do Microsoft Edge, iniciado com o Windows 10 em julho de 2015. O artigo não se aplica ao novo navegador Microsoft Edge Chromium lançado em 15 de janeiro de 2020. Para saber mais sobre o comportamento de sincronização para o novo Microsoft Edge, confira o artigo Sincronização do Microsoft Edge.

Etapas preliminares para a solução de problemas

Antes de iniciar a solução de problemas, verifique se o usuário e o dispositivo estão configurados corretamente e se todos os requisitos do Enterprise State Roaming foram atendidos.

  1. O Windows 10 ou mais recente, com as atualizações mais recentes e a versão mínima 1511 (compilação de SO 10586 ou posterior), está instalado no dispositivo.
  2. O dispositivo é ingressado no Microsoft Entra ou no Microsoft Entra híbrido. Para obter mais informações, consulte como colocar um dispositivo sob controle do Microsoft Entra ID.
  3. Verifique se Enterprise State Roaming está habilitado para o locatário no Microsoft Entra ID conforme descrito em Para habilitar Enterprise State Roaming. Você pode habilitar roaming para todos os usuários ou apenas um grupo selecionado de usuários.
  4. O usuário recebe uma licença P1 ou P2 do Microsoft Entra ID.
  5. O dispositivo deve ser reiniciado e o usuário deve entrar novamente para acessar recursos de Enterprise State Roaming.

Informações a serem incluídas quando precisar de ajuda

Se você não conseguir solucionar seu problema com as orientações a seguir, pode entrar em contato com nossos engenheiros de suporte. Ao entrar em contato com eles, inclua as seguintes informações:

  • Descrição geral do erro: o usuário viu mensagens de erro? Se não havia nenhuma mensagem de erro, descreva o comportamento inesperado observado em detalhes. Quais recursos estão habilitados para sincronização e o que o usuário espera sincronizar? Muitos recursos não estão sendo sincronizados ou apenas um?
  • Usuários afetados – a sincronização está funcionando/falhando para um usuário ou vários? Quantos dispositivos estão envolvidos por usuário? Nenhum deles está sincronizando ou alguns estão e outros não?
  • Informações sobre o usuário – qual identidade o usuário está usando para entrar no dispositivo? Como o usuário está entrando no dispositivo? Eles são parte de um grupo de segurança selecionado autorizado a fazer a sincronização?
  • Informações sobre o dispositivo: esse dispositivo está ingressado no Microsoft Entra ou conectado ao domínio? Em que compilação o dispositivo está? Quais são as atualizações mais recentes?
  • Data/ hora/ fuso horário - Quais eram a data e o horário exatos em que você viu o erro (inclua o fuso horário)?

A inclusão dessas informações nos ajudará a resolver seu problema o mais rápido possível.

Solução de problemas e diagnósticos

Esta seção fornece sugestões sobre como solucionar e diagnosticar problemas relacionados ao Enterprise State Roaming.

Verifique a sincronização e a página de configurações "Sincronize suas configurações"

  1. Após associar seu PC com Windows 10, ou mais recente, a um domínio que esteja configurado para permitir o Enterprise State Roaming, entre com sua conta do trabalho. Vá para Configurações>Contas>Sincronizar suas configurações e confirme se a sincronização e as configurações individuais estão ativadas e se a parte superior da página Configurações indica que você está sincronizado com sua conta do trabalho. Confirme se a mesma conta também é usada como sua conta em Configurações>Contas>Suas informações.

  2. Verifique se a sincronização funciona em várias máquinas fazendo algumas alterações na máquina original, como mover a barra de tarefas pela tela. Observe a alteração ser propagada para o segundo computador em cinco minutos.

    • Bloquear e desbloquear a tela (Win + L) pode ajudar a disparar uma sincronização.
    • Você deve entrar com a mesma conta nos dois computadores para que a sincronização funcione, pois o Enterprise State Roaming está associado à conta de usuário e não à conta do computador.

Possível problema: se os controles na página Configurações não estiverem disponíveis e você visualizar a mensagem "Alguns recursos do Windows só estarão disponíveis se você estiver usando uma conta da Microsoft ou uma conta corporativa". Esse problema pode surgir para dispositivos que tenham sido configurados para serem adicionados ao domínio e registrados no Microsoft Entra ID, mas o dispositivo não foi autenticado para o Microsoft Entra ID. Uma possível causa é que a política do dispositivo deve ser aplicada, mas essa aplicação ocorre de maneira assíncrona e pode levar algumas horas.

Verificar o status de registro do dispositivo

O Enterprise State Roaming requer que o dispositivo seja registrado com o Microsoft Entra ID. Embora não seja específico ao Enterprise State Roaming, usar as instruções abaixo poderá ajudar a confirmar se o cliente Windows 10, ou mais recente, está registrado, assim como confirmar a impressão digital, a URL das configurações do Microsoft Entra, o status do NGC e outras informações.

  1. Abra o prompt de comando sem privilégios elevados. Para fazer isso no Windows, abra o inicializador de Execução (Win + R) e digite “cmd” para abrir.
  2. Depois de aberto o prompt de comando, digite *dsregcmd.exe /status*.
  3. Para o resultado esperado, o valor do campo AzureAdJoined deve ser YES, o valor do campo WamDefaultSet deve ser YES e o valor do campo WamDefaultGUID deve ser um GUID com (AzureAD) no final.

Problema potencial:WamDefaultSet e AzureAdJoined têm "NO" no valor do campo, o dispositivo foi ingressado no domínio e registrado no Microsoft Entra ID e o dispositivo não é sincronizado. Se estiver mostrando isso, o dispositivo pode precisar aguardar a aplicação da política ou a autenticação do dispositivo falhou ao se conectar ao Microsoft Entra ID. O usuário pode precisar aguardar algumas horas para que a política a seja aplicada. Outras etapas de solução de problemas podem incluir repetir o registro automático se desconectando e entrando novamente ou iniciar a tarefa no Agendador de tarefas. Em alguns casos, executar "dsregcmd.exe /leave" em uma janela de prompt de comando elevado, reinicializar e tentar se registrar novamente pode ajudar com esse problema.

Possível problema: o campo SettingsUrl está vazio e o dispositivo não é sincronizado. O usuário pode ter se conectado pela última vez ao dispositivo antes do Enterprise State Roaming ter sido habilitado. Reinicie o dispositivo e faça o logon do usuário. Opcionalmente, no portal, peça ao administrador de TI que navegue até Identidade>Dispositivos>Visão geral>Enterprise State Roaming e desabilite e habilite novamente a opção Os usuários podem sincronizar configurações e dados do aplicativo entre dispositivos. Uma vez reativado, reinicie o dispositivo e faça o login do usuário. Se isso não resolver o problema, SettingsUrl poderá estar vazio, no caso de um certificado de dispositivo inválido. Nesse caso, executar “dsregcmd.exe /leave” em uma janela de prompt de comandos com privilégios elevados, reinicializar e tentar se registrar novamente pode ajudar com esse problema.

Enterprise State Roaming e autenticação multifator

Em determinadas condições, Enterprise State Roaming pode falhar ao sincronizar dados se a autenticação multifator do Microsoft Entra estiver configurada. Para mais informações sobre esses sintomas, consulte o documento de suporte KB3193683.

Possível problema: caso o dispositivo esteja configurado para exigir a autenticação multifator no centro de administração do Microsoft Entra, talvez você não consiga sincronizar as configurações ao entrar em um dispositivo Windows 10 ou mais recente usando uma senha. Esse tipo de configuração de autenticação multifator destina-se a proteger uma conta de administrador do Azure. Os usuários administradores ainda podem sincronizar entrando em seus dispositivos Windows 10, ou mais recentes, com o PIN do Windows Hello para Empresas ou concluindo a autenticação multifator enquanto acessarem outros serviços do Azure, como o Microsoft 365.

Possível problema: a sincronização poderá falhar se o administrador configurar a política de acesso condicional da autenticação multifator dos Serviços de Federação do Active Directory (AD FS) e o token de acesso do dispositivo expirar. Certifique-se de entrar e sair usando o PIN do Windows Hello para Empresas ou concluir a autenticação multifator ao acessar outros serviços do Azure, como o Microsoft 365.

Visualizador de Eventos

Para a solução de problemas avançada, o Visualizador de Eventos pode ser usado para localizar erros específicos. É possível encontrar os eventos em Visualizador de Eventos >Logs de aplicativos e serviços>Microsoft>Windows>SettingSync-Azure e os problemas de sincronização relacionados à identidade em Logs de aplicativos e serviços>Microsoft>Windows>Microsoft Entra ID.

Problemas conhecidos

A sincronização não funciona em dispositivos que possuem aplicativos com sideloaded usando o software do MDM

Afeta os dispositivos que executam a Atualização de Aniversário do Windows 10 (versão 1607). No Visualizador de Eventos, em logs do Azure SettingSync, a ID de evento 6013 com erro 80070259 é vista com frequência.

Ação recomendada
Verifique se o cliente v1607 do Windows 10 tem a atualização cumulativa de 23 de agosto de 2016 (KB3176934 compilação do sistema operacional 14393.82).

As configurações de data, hora e região não sincronizam no dispositivo associado ao domínio

Dispositivos associados ao domínio não sincronizam a configuração de data, hora e região: horário automático. O uso do horário automático pode substituir as configurações de data, hora e região e fazer com que essas configurações não sincronizem.

Ação recomendada
Nenhum.

O dispositivo associado ao domínio não está sincronizando após deixar a rede corporativa

Dispositivos associados ao domínio no Microsoft Entra ID e podem apresentar falhas de sincronização se o dispositivo estiver fora por longos períodos de tempo, e podem não concluir a autenticação de domínio.

Ação recomendada
Conecte o computador a uma rede corporativa para que a sincronização possa ser retomada.

O dispositivo Ingressado no Microsoft Entra não está sincronizando e o usuário tem um nome UPN com letras maiúsculas e minúsculas

Se o usuário tiver um UPN com maiúsculas e minúsculas (por exemplo, nome de usuário em vez de nome de usuário) e o usuário estiver em um dispositivo ingressado no Microsoft Entra, que tenha atualizado do Windows 10 Build 10586 para 14393, o dispositivo do usuário poderá falhar ao sincronizar.

Ação recomendada
O usuário precisa remover o dispositivo do domínio e reingressá-lo na nuvem. Para fazer esse processo, faça logon como o usuário Administrador Local e remova o dispositivo acessando Configurações>Sistema>Sobre e selecione “Gerenciar ou desconectar do trabalho ou da escola”. Limpe os arquivos a seguir e ingresse o dispositivo no Microsoft Entra novamente em Configurações>Sistema>Sobre e selecionando “Conectar ao Trabalho ou à Escola”. Continue ingressando o dispositivo no Microsoft Entra ID e conclua o fluxo.

Na etapa de limpeza, limpe os seguintes arquivos:

  • Settings.dat em C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • Todos os arquivos na pasta C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

ID de evento 6065: 80070533 Este usuário não pode fazer login porque esta conta está desabilitada no momento

No Visualizador de Eventos nos logs de SettingSync/Debug, esse erro pode ser visto quando as credenciais do usuário expiram. Além disso, ele pode ocorrer quando o locatário não provisiona o AzureRMS automaticamente.

Ação recomendada
No primeiro caso, solicite ao usuário que atualize suas credenciais e faça logon no dispositivo com as novas credenciais. Para resolver o problema do AzureRMS, continue com as etapas listadas em KB3193791.

ID do evento 1098: Erro: Falha na operação do agente de Token 0xCAA5001C

No Visualizador de Eventos em AAD/logs operacionais, esse erro pode ser visto com Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F. Esse problema ocorre se estiverem faltando permissões ou atributos de propriedade.

Ação recomendada
Prossiga com as etapas listadas em KB3196528.

Próximas etapas

Para obter uma visão geral, confira visão geral do Enterprise State Roaming.