Поделиться через


Устранение неполадок с устройствами нижнего уровня с гибридным присоединением к Microsoft Entra

Эта статья касается только устройств под управлением следующих ОС:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Сведения о windows 10 или более поздней версии и Windows Server 2016 см. в статье "Устранение неполадок гибридных устройств Microsoft Entra, присоединенных к Windows 10 и Windows Server 2016".

В этой статье предполагается, что вы настроили гибридные устройства , присоединенные к Microsoft Entra, для поддержки следующих сценариев:

  • Условный доступ на основе информации об устройстве

В этой статье содержатся рекомендации по устранению неполадок для решения потенциальных проблем.

Важная информация

  • Гибридное соединение Microsoft Entra для устройств с windows нижнего уровня работает по-разному, чем в Windows 10 или более поздней версии. Многие клиенты не понимают, что им нужен AD FS (для федеративных доменов) или простой единый вход (для управляемых доменов).
  • Простой единый вход не работает в конфиденциальном режиме просмотра в браузерах Firefox и Microsoft Edge, а также в Internet Explorer, если браузер работает в режиме повышенной защиты или если включена конфигурация усиленной безопасности.
  • Для клиентов с федеративными доменами, если служба Подключение point (SCP) настроена таким образом, чтобы он указывал на управляемое доменное имя (например, contoso.onmicrosoft.com вместо contoso.com), то гибридное соединение Microsoft Entra для устройств с нижней версией Windows не работает.
  • Одно физическое устройство отображается несколько раз в идентификаторе Microsoft Entra при входе нескольких пользователей домена в гибридные устройства, присоединенные к Microsoft Entra. Например, если jdoe и jharnett войдут в устройство, на вкладке сведений о пользователе для каждого из них будет создана отдельная регистрация (DeviceID).
  • Но, можно также получить несколько записей для устройства на вкладке сведения о пользователе в результате повторной установки операционной системы или повторной регистрации вручную.
  • Начальная регистрация или присоединение устройств настраиваются, чтобы выполнить попытку входа в систему, а также заблокировать или разблокировать устройство. Возможна 5-минутная задержка, связанная с выполнением задачи планировщика задач.
  • Убедитесь, что КБ 4284842 установлен в Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1). Это обновление предотвращает ошибки будущих проверок подлинности из-за потери доступа клиента к защищенными ключам после изменения пароля.
  • Гибридное присоединение Microsoft Entra может завершиться ошибкой после того, как пользователь изменил имя участника-пользователя, что нарушает процесс простой проверки подлинности единого входа. Во время процесса присоединения вы можете увидеть, что он по-прежнему отправляет предыдущее имя участника-пользователя в идентификатор Microsoft Entra ID, если файлы cookie сеанса браузера не очищаются или пользователь явно выходит из системы и удаляет старое имя участника-пользователя.

Шаг 1. Получение сведений о состоянии регистрации

Чтобы проверить сведения о состоянии регистрации, сделайте следующее:

  1. Войдите с помощью учетной записи пользователя, которая выполнила гибридное соединение Microsoft Entra.
  2. Откройте командную строку.
  3. Введите "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i.

Эта команда отображает диалоговое окно, содержащее дополнительные сведения о состоянии присоединения.

Снимок экрана: диалоговое окно Workplace Join для Windows. В тексте, который содержит адрес электронной почты, сообщается, что определенное устройство присоединено к рабочей области.

Шаг 2. Оценка состояния гибридного соединения Microsoft Entra

Если устройство не было присоединено к гибридному присоединению к Microsoft Entra, можно попытаться выполнить гибридное присоединение к Microsoft Entra, нажав кнопку "Присоединиться". Если попытка выполнить гибридное соединение Microsoft Entra завершается ошибкой, отображаются сведения о сбое.

Ниже перечислены наиболее распространенные проблемы.

  • Неправильно настроенные проблемы с AD FS или Идентификатором записи Майкрософт или сетью

    Снимок экрана: диалоговое окно Workplace Join для Windows. В тексте указано, что при проверке подлинности учетной записи произошла ошибка.

    • Autoworkplace.exe не может автоматически пройти проверку подлинности с помощью идентификатора Microsoft Entra или AD FS. Эта проблема может быть вызвана отсутствием или неправильно настроенным AD FS (для федеративных доменов) или отсутствием или неправильно настроенным единым входом Microsoft Entra (для управляемых доменов) или сетевыми проблемами.
    • Возможно, многофакторная проверка подлинности (MFA) включена или настроена для пользователя и WIAORMULTIAUTHN не настроена на сервере AD FS.
    • Другой вариант — страница обнаружения домашней области (HRD) ожидает взаимодействия с пользователем, что предотвращает автоматическое запрашивание токена программой Autoworkplace.exe.
    • Это может быть то, что URL-адреса AD FS и Microsoft Entra отсутствуют в зоне интрасети IE на клиенте.
    • Проблемы с сетевым подключением могут препятствовать autoworkplace.exe доступу к AD FS или URL-адресам Microsoft Entra.
    • Autoworkplace.exe требует, чтобы клиент получил прямую линию зрения от клиента к локальному контроллеру домена AD организации, что означает, что гибридное присоединение Microsoft Entra выполняется только в том случае, если клиент подключен к интрасети организации.
    • Если в вашей организации используется простой единый вход Microsoft Entra, https://autologon.microsoftazuread-sso.com он не присутствует в параметрах интрасети IE устройства.
    • Параметр Do not save encrypted pages to disk Интернета проверка.
  • Вы не вошли в систему как пользователь домена

    Снимок экрана: диалоговое окно Workplace Join для Windows. В тексте указано, что при проверке учетной записи произошла ошибка.

    Существует несколько различных причин, по которым может возникнуть эта проблема:

    • Пользователь, вошедшего в систему, не является пользователем домена (например, локальным пользователем). Гибридное присоединение Microsoft Entra на устройствах нижнего уровня поддерживается только для пользователей домена.
    • Клиент не может подключиться к контроллеру домена.
  • Достигнута квота

    Снимок экрана: диалоговое окно

  • Служба не отвечает

    Снимок экрана: диалоговое окно

Сведения о состоянии можно также найти в журнале событий в разделе Applications and Services Log\Microsoft-Workplace Join (Журнал приложений и служб > Microsoft — присоединение к рабочей области).

Наиболее распространенными причинами неудачного гибридного соединения Microsoft Entra являются:

  • Компьютер не подключен к внутренней сети вашей организации или VPN с подключением к локальному контроллеру домена AD.
  • Вы вошли на компьютер с помощью учетной записи локального компьютера.
  • Проблемы с конфигурацией службы:
    • Сервер AD FS не настроен для поддержки WIAORMULTIAUTHN.
    • Лес компьютера не имеет объекта Service Подключение ion Point, указывающий на проверенное доменное имя в идентификаторе Microsoft Entra
    • Или если ваш домен управляется, простой единый вход не настроен или не работает.
    • Пользователь достиг предела устройств.

Следующие шаги