Solução de problemas de dispositivos híbridos ingressados no nível inferior do Microsoft Entra

  • Artigo

Este aplicativo é aplicável apenas aos seguintes dispositivos:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Para o Windows 10 ou versões mais recentes e o Windows Server 2016, confira Solução de problemas do Microsoft Entra híbrido ingressado em dispositivos do Windows 10 e do Windows Server 2016.

Este artigo pressupõe que você tenha dispositivos configurados e ingressados no Microsoft Entra híbrido para dar suporte aos seguintes cenários:

  • Acesso Condicional baseado no dispositivo

Este artigo fornece orientação para solução de possíveis problemas.

O que você deve saber:

  • O ingresso de dispositivos Windows de versões anteriores no Microsoft Entra híbrido funciona de forma um pouco diferente do que no Windows 10 ou versões mais recentes. Muitos clientes não percebem que precisam do AD FS (para domínios federados) ou do SSO contínuo configurado (para domínios gerenciados).
  • O SSO Contínuo não funciona no modo de navegação particular em navegadores Firefox e Microsoft Edge. Também não funcionará no Internet Explorer se o navegador estiver em execução no modo de Proteção Aprimorada ou se a Configuração de Segurança Aprimorada estiver habilitada.
  • Para clientes com domínios federados, se o SCP (Ponto de Conexão do Serviço) tiver sido configurado de modo a apontar para o nome de domínio gerenciado (por exemplo, contoso.onmicrosoft.com, em vez de contoso.com), o ingresso no Microsoft Entra híbrido de dispositivos Windows de nível inferior não funcionará.
  • O mesmo dispositivo físico é exibido várias vezes no Microsoft Entra ID quando vários usuários de domínio entram nos dispositivos de nível inferior ingressados no Microsoft Entra híbrido. Por exemplo, se jdoe e jharnett entrarem no dispositivo, um registro separado (DeviceID) será criado para cada um desses usuários na guia de informações do USUÁRIO.
  • Você também pode obter várias entradas para um dispositivo na guia Informações do usuário devido a uma reinstalação do sistema operacional ou a um novo registro manual.
  • O registro inicial / junção de dispositivos é configurado para realizar uma tentativa de login ou bloqueio / desbloqueio. Pode haver um atraso de cinco minutos disparado por uma tarefa do agendador de tarefas.
  • Certifique-se de que o KB4284842 está instalado no Windows 7 SP1 ou no Windows Server 2008 R2 SP1. Essa atualização evita futuras falhas de autenticação devido à perda de acesso do cliente a chaves protegidas após a alteração da senha.
  • A ingressão híbrida no Microsoft Entra híbrido pode falhar depois que um usuário tiver seu UPN alterado, interrompendo o processo de autenticação de SSO contínuo. Durante o processo de ingresso, talvez você veja que ele ainda está enviando o UPN antigo para o Microsoft Entra ID, a menos que os cookies de sessão do navegador sejam limpos ou o usuário saia explicitamente e remova o UPN antigo.

Etapa 1: Recuperar o status do registro

ara verificar o status do registro:

  1. Logon com a conta de usuário que executou um ingresso no Microsoft Entra híbrido.
  2. Abra o prompt de comando
  3. Digite "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Esse comando exibe uma caixa de diálogo que fornece detalhes sobre o status do ingresso.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Etapa 2: Avaliar o status de ingresso no Microsoft Entra híbrido

Se o dispositivo não estiver ingressado no Microsoft Entra híbrido, você pode tentar ingressá-lo no Microsoft Entra híbrido clicando no botão "Ingressar". Se a tentativa de fazer o ingresso no Microsoft Entra híbrido falhar, os detalhes sobre a falha serão mostrados.

As tarefas mais comuns são:

  • Um AD FS ou Microsoft Entra configurado incorretamente ou problemas de rede

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • O Autoworkplace.exe não pode autenticar silenciosamente com o Microsoft Entra ID ou o AD FS. Esse problema pode ser causado pela ausência do AD FS ou por sua configuração incorreta (para domínios federados), ou pela ausência de logon único contínuo do Microsoft Entra ou sua configuração incorreta (para domínios gerenciados) ou problemas de rede.
    • É possível que a MFA (autenticação multifator) esteja habilitada/configurada para o usuário e WIAORMULTIAUTHN não esteja configurado no servidor AD FS.
    • Outra possibilidade é que a página de descoberta de domínio doméstico (HRD) esteja aguardando a interação do usuário, o que evita que o autoworkplace.exe solicite silenciosamente um token.
    • É possível que o AD FS e as URLs do Microsoft Entra estejam ausentes na zona de intranet do IE no cliente.
    • Problemas de conectividade de rede podem estar impedindo o autoworkplace.exe de alcançar o AD FS ou as URLs do Microsoft Entra.
    • O autoworkplace.exe exige que o cliente tenha uma linha de visão direta que vá do cliente até o controlador de domínio do AD local da organização, o que significa que o ingresso no Microsoft Entra híbrido só terá sucesso quando o cliente estiver conectado à intranet da organização.
    • Se a organização usa o logon único contínuo do Microsoft Entra, https://autologon.microsoftazuread-sso.com não estará presente nas configurações de intranet do IE do dispositivo.
    • A configuração da Internet Do not save encrypted pages to disk foi verificada.

  • Você não está conectado como um usuário de domínio

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Há algumas razões diferentes pelas quais esse problema pode ocorrer:

    • O usuário conectado não é um usuário de domínio (por exemplo, um usuário local). O ingresso no Microsoft Entra híbrido em dispositivos de nível inferior tem suporte apenas para usuários do domínio.
    • O cliente não é capaz de se conectar a um controlador de domínio.

  • Você atingiu uma cota

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • O serviço não está respondendo

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Também é possível encontrar informações de status no log de eventos em: Log de Aplicativos e Serviços\Microsoft-Workplace Join

As causas mais comuns para a falha do ingresso no Microsoft Entra híbrido são:

  • O computador não está conectado à rede interna da organização nem a uma VPN com conexão ao controlador de domínio do AD local.
  • Você está conectado ao computador com uma conta de computador local.
  • Problemas de configuração do serviço:
    • O servidor do AD FS não foi configurado para compatibilidade com WIAORMULTIAUTHN.
    • A floresta do seu computador não tem objeto de Ponto de Conexão de Serviço que aponte o seu nome de domínio verificado no Microsoft Entra ID
    • Ou, caso seu domínio seja gerenciado, o SSO contínuo não foi configurado ou não está funcionando.
    • Um usuário atingiu o limite de dispositivos.

Próximas etapas