Resolução de problemas de dispositivos de nível inferior associados ao Microsoft Entra híbrido

  • Artigo

Este artigo aplica-se apenas aos seguintes dispositivos:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Para Windows 10 ou mais recente e Windows Server 2016, consulte Solução de problemas de dispositivos Windows 10 e Windows Server 2016 híbridos do Microsoft Entra.

Este artigo pressupõe que você tenha configurado dispositivos híbridos ingressados do Microsoft Entra para oferecer suporte aos seguintes cenários:

  • Acesso Condicional com base em dispositivos

Este artigo fornece orientações para solução de problemas sobre como resolver possíveis problemas.

O que deve saber:

  • A junção híbrida do Microsoft Entra para dispositivos Windows de nível inferior funciona de forma ligeiramente diferente do que no Windows 10 ou mais recente. Muitos clientes não percebem que precisam do AD FS (para domínios federados) ou do SSO contínuo configurado (para domínios gerenciados).
  • O SSO contínuo não funciona no modo de navegação privada nos navegadores Firefox e Microsoft Edge. Também não funciona no Internet Explorer se o browser estiver a ser executado no modo Protegido Avançado ou se a Configuração de Segurança Reforçada estiver ativada.
  • Para clientes com domínios federados, se o SCP (Service Connection Point) foi configurado de forma a apontar para o nome de domínio gerenciado (por exemplo, contoso.onmicrosoft.com, em vez de contoso.com), a associação híbrida do Microsoft Entra para dispositivos Windows de nível inferior não funcionará.
  • O mesmo dispositivo físico aparece várias vezes na ID do Microsoft Entra quando vários usuários do domínio entram nos dispositivos híbridos do Microsoft Entra de nível inferior. Por exemplo, se jdoe e jharnett entrarem em um dispositivo, um registro separado (DeviceID) será criado para cada um deles na guia USER info.
  • Você também pode obter várias entradas para um dispositivo na guia de informações do usuário devido a uma reinstalação do sistema operacional ou um novo registro manual.
  • O registro inicial / junção de dispositivos é configurado para executar uma tentativa de login ou bloqueio / desbloqueio. Pode haver um atraso de 5 minutos acionado por uma tarefa do agendador de tarefas.
  • Verifique se KB4284842 está instalado no Windows 7 SP1 ou Windows Server 2008 R2 SP1. Esta atualização evita futuras falhas de autenticação devido à perda de acesso do cliente às chaves protegidas após a alteração da senha.
  • A associação híbrida do Microsoft Entra pode falhar depois que um usuário tiver seu UPN alterado, interrompendo o processo de autenticação SSO contínuo. Durante o processo de adesão, você pode ver que ele ainda está enviando o UPN antigo para o Microsoft Entra ID, a menos que os cookies de sessão do navegador sejam limpos ou o usuário saia explicitamente e remova o UPN antigo.

Etapa 1: recuperar o status do registro

Para verificar o estado do registo:

  1. Faça logon com a conta de usuário que executou uma associação híbrida do Microsoft Entra.
  2. Abra o prompt de comando
  3. Escreva "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Este comando exibe uma caixa de diálogo que fornece detalhes sobre o status da associação.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Etapa 2: Avaliar o status de associação híbrida do Microsoft Entra

Se o dispositivo não foi associado híbrido do Microsoft Entra, você pode tentar fazer o ingresso híbrido do Microsoft Entra clicando no botão "Ingressar". Se a tentativa de fazer a associação híbrida do Microsoft Entra falhar, os detalhes sobre a falha serão mostrados.

Os problemas mais comuns são:

  • Um AD FS ou ID do Microsoft Entra ou problemas de rede mal configurados

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe não consegue autenticar silenciosamente com o Microsoft Entra ID ou AD FS. Esse problema pode ser causado por AD FS ausente ou mal configurado (para domínios federados) ou falta ou mal configurado Microsoft Entra logon único contínuo (para domínios gerenciados) ou problemas de rede.
    • Pode ser que a autenticação multifator (MFA) esteja habilitada/configurada para o usuário e o WIAORMULTIAUTHN não esteja configurado no servidor AD FS.
    • Outra possibilidade é que a página Home Realm Discovery (HRD) esteja aguardando a interação do usuário, o que impede que o autoworkplace.exe solicite silenciosamente um token.
    • Pode ser que as URLs do AD FS e do Microsoft Entra estejam ausentes na zona da intranet do IE no cliente.
    • Problemas de conectividade de rede podem estar impedindo que o .exe de trabalho automático alcance o AD FS ou as URLs do Microsoft Entra.
    • Autoworkplace.exe requer que o cliente tenha linha de visão direta do cliente para o controlador de domínio AD local da organização, o que significa que a associação híbrida do Microsoft Entra só é bem-sucedida quando o cliente está conectado à intranet da organização.
    • Se sua organização usa o logon único contínuo do Microsoft Entra, https://autologon.microsoftazuread-sso.com não está presente nas configurações da intranet do IE do dispositivo.
    • A configuração de Do not save encrypted pages to disk internet está marcada.

  • Você não está conectado como um usuário de domínio

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Há algumas razões diferentes pelas quais esse problema pode ocorrer:

    • O usuário conectado não é um usuário de domínio (por exemplo, um usuário local). A associação híbrida do Microsoft Entra em dispositivos de nível inferior é suportada apenas para usuários de domínio.
    • O cliente não consegue se conectar a um controlador de domínio.

  • Foi atingida uma quota

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • O serviço não está respondendo

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Você também pode encontrar as informações de status no log de eventos em: Log de Aplicativos e Serviços\Ingresso no Microsoft-Workplace

As causas mais comuns para uma falha na associação híbrida do Microsoft Entra são:

  • O seu computador não está ligado à rede interna da sua organização ou a uma VPN com uma ligação ao controlador de domínio do AD no local.
  • Iniciou sessão no computador com uma conta de computador local.
  • Problemas de configuração do serviço:
    • O servidor AD FS não foi configurado para suportar WIAORMULTIAUTHN.
    • A floresta do seu computador não tem nenhum objeto de Ponto de Conexão de Serviço que aponte para seu nome de domínio verificado na ID do Microsoft Entra
    • Ou, se o seu domínio for gerenciado, o SSO contínuo não foi configurado ou não estava funcionando.
    • Um utilizador atingiu o limite de dispositivos.

Próximos passos