Solução de problemas de anexação de locatário e ações do dispositivo

Aplica-se a: Configuration Manager (branch atual)

Configuration Manager clientes podem ser sincronizados com Microsoft Intune centro de administração. Algumas ações do cliente podem ser executadas no centro de administração Microsoft Intune nos clientes sincronizados.

As ações disponíveis são:

  • Sincronizar a Política do Computador
  • Sincronizar a Política do Usuário
  • Ciclo de Avaliação do Aplicativo

Visão geral do dispositivo no centro de administração do Microsoft Intune

Quando um administrador executa uma ação do Microsoft Intune centro de administração, a solicitação de notificação é encaminhada para Configuration Manager site e do site para o cliente.

Arquivos de log

Use os seguintes logs localizados no ponto de conexão de serviço:

  • CMGatewaySyncUploadWorker.log
  • CMGatewayNotificationWorker.log

Use os seguintes logs localizados no ponto de gerenciamento:

  • BgbServer.log

Use os seguintes logs localizados no cliente:

  • CcmNotificationAgent.log

Examine seu upload

  1. Abra CMGatewaySyncUploadWorker.log do diretório> de instalação do <ConfigMgr\Logs.
  2. A hora da próxima sincronização é indicada por entradas de log semelhantes a Next run time will be at approximately: 02/28/2020 16:35:31.
  3. Para carregamentos de dispositivo, procure entradas de log semelhantes a Batching N records. N é o número de dispositivos alterados carregados desde o último upload.
  4. O upload ocorre a cada 15 minutos para alterações. Depois que as alterações forem carregadas, pode levar de 5 a 10 minutos adicionais para que as alterações do cliente apareçam no centro de administração Microsoft Intune.

Gerenciador de Configurações componentes e fluxo de log

  • SMS_SERVICE_CONNECTOR: usa o Gateway Notification Worker para processar a notificação do Microsoft Intune centro de administração.
  • SMS_NOTIFICATION_SERVER: obtém a notificação e cria uma notificação do cliente.
  • BgbAgent: o cliente obtém a tarefa e executa a ação solicitada.

SMS_SERVICE_CONNECTOR

Quando uma ação é iniciada do centro de administração Microsoft Intune, CMGatewayNotificationWorker.log processa a solicitação.

Received new notification. Validating basic notification details...
Validating device action message content...
Authorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID:     a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2
Forwarded BGB remote task. TemplateID: 1 TaskGuid: a43dd1b3-a006-4604-b012-5529380b3b6f TaskParam: TargetDeviceIDs: 1  
  1. Uma notificação é recebida de Microsoft Intune centro de administração.

    Received new notification. Validating basic notification details..
    
  2. As ações do usuário e do dispositivo são validadas.

    Validating device action message content... 
    Authorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID:     a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2
    
  3. A tarefa remota é encaminhada para o SMS_NOTIFICATION_SERVER.

    Forwarded BGB remote task. TemplateID: 1 TaskGuid: a43dd1b3-a006-4604-b012-5529380b3b6f TaskParam: TargetDeviceIDs: 1  
    

SMS_NOTIFICATION_SERVER

Depois que a mensagem é enviada para o SMS_NOTIFICATION_SERVER, uma tarefa é enviada do ponto de gerenciamento para o cliente correspondente. Você verá o seguinte no BgbServer.log, que está no ponto de gerenciamento:

Get one push message from database.
Starting to send push task (PushID: 7 TaskID: 8 TaskGUID: A43DD1B3-A006-4604-B012-5529380B3B6F TaskType: 1 TaskParam: ) to 1 clients  with throttling (strategy: 1 param: 42)

BgbAgent

A última etapa ocorre no cliente e pode ser vista no CcmNotificationAgent.log. Depois que a tarefa for recebida, ela solicitará que o agendador execute a ação. Quando a ação for executada, você verá uma mensagem de confirmação:

Receive task from server with pushid=7, taskid=8, taskguid=A43DD1B3-A006-4604-B012-5529380B3B6F, tasktype=1 and taskParam=

Send Task response message <BgbResponseMessage TimeStamp="2020-01-21T15:43:43Z"><PushID>8</PushID><TaskID>9</TaskID><ReturnCode>1</ReturnCode></BgbResponseMessage> successfully.

Problemas comuns

não autorizado a executar a ação do cliente

Se o administrador não tiver as permissões necessárias no Gerenciador de Configurações, você verá um Unauthorizedresponse no CMGatewayNotificationWorker.log.

Received new notification. Validating basic notification details..
Validating device action message content...
Unauthorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID: 3a1e89e6-e190-4615-9d38-a208b0eb1c78

Verifique se o usuário que executa a ação do centro de administração Microsoft Intune tem as permissões necessárias em Configuration Manager site. Para obter mais informações, consulte Microsoft Intune locatário anexar pré-requisitos.

Problemas conhecidos

Falhas de sincronização de dados

Se você tiver problemas ao exibir os detalhes de anexação do locatário no centro de administração Microsoft Intune, isso pode ser devido a um problema com a configuração de integração de hierarquia. Esse problema pode ser causado pela integração de uma hierarquia que já está integrada.

Você também pode detectar esse problema de entradas no GenericUploadWorker.log e CMGatewayNotificationWorker.log. Para obter mais informações, consulte Exemplo de erros em arquivos de log que exigem a redefinição da configuração de anexação de locatário.

Solução alternativa para falhas de sincronização de dados

Para redefinir a configuração de anexação de locatário:

  1. Remover a hierarquia. Para obter mais informações, Offboard da anexação de locatário.

  2. Aguarde pelo menos duas horas para que o serviço limpe o registro existente.

  3. Integre a hierarquia novamente. Para obter mais informações, confira Ativar anexação de locatário.

Exemplos de erros em arquivos de log que exigem a redefinição da configuração de anexação de locatário

Erros para solicitações AccountOnboardingInfo e DevicePost em GenericUploadWorker.log
[OnboardScenario] Creating web request to: https://us.gateway.configmgr.manage.microsoft.com/api/gateway/AccountOnboardingInfo Method: POST Activity ID: ed2186a0-fb43-4cf1-84df-9283dd45a461 Timeout: 00:02:00
[OnboardScenario] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/AccountOnboardingInfo is: 400 (Bad Request)
Response status code: 400 (BadRequest) Activity ID: a579728b-eca0-4144-80ac-eea25ee5bcf6
Unexpected exception for worker GenericUploadWorker
Exception details:
[Critical][GenericUploadWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (400) Bad Request.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()

[UploadDelta_HelpdeskUpload] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/DevicePost is: 401 (Unauthorized)
Response status code: 401 (Unauthorized) Activity ID: 6daac983-5f94-464e-b1bd-9b634a051d1d
[WebException]: Failed to upload data to 'https://us.gateway.configmgr.manage.microsoft.com/api/gateway/DevicePost'
Exception details:
[Warning][GenericUploadWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (401) Unauthorized.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()
Erros para ações de dispositivo em CMGatewayNotificationWorker.log
[GetNotifications] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/Notification is: 401 (Unauthorized)
Response status code: 401 (Unauthorized) Activity ID: 4c536a72-fd7f-4d08-948a-3e65d2129e44
Web exception when getting new notification
Exception details:
[Warning][CMGatewayNotificationWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (401) Unauthorized.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()
Response in the web exception: {"Message":"An error has occurred."}

Dispositivos específicos não sincronizam

É possível que dispositivos específicos, que são Gerenciador de Configurações clientes, não sejam carregados no serviço.

Os dispositivos impactados: Se um dispositivo for um ponto de distribuição que usa o mesmo certificado PKI para a funcionalidade do ponto de distribuição e seu agente cliente, o dispositivo não será incluído na sincronização do dispositivo de anexação de locatário.

Comportamento: Ao executar a anexação de locatário durante a fase de integração, uma sincronização completa é executada pela primeira vez. Ciclos de sincronização subsequentes são sincronizações delta. Qualquer atualização nos dispositivos afetados fará com que o dispositivo seja removido da sincronização.

Quando o site do Configuration Manager está configurado para exigir a autenticação multifator, a maioria dos recursos de anexação de locatário não funciona

Cenário: Se o computador provedor de SMS que se comunica com o ponto de conexão de serviço estiver configurado para usar a autenticação multifator, você não poderá instalar aplicativos, executar consultas CMPivot e executar outras ações no console de administração. Você recebe um código de erro 403, proibido.

Solução alternativa: A solução alternativa atual é configurar a hierarquia local para o nível de autenticação padrão da autenticação do Windows. Para obter mais informações, consulte a seção Autenticação no artigo do provedor de SMS.

Próximas etapas