Устранение неполадок параметров Enterprise State Roaming в идентификаторе Microsoft Entra

  • Статья

В этой статье содержатся сведения об устранении и диагностике проблем с Enterprise State Roaming и списке известных проблем.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Примечание.

Данные в этой статье относятся к устаревшей версии браузера Microsoft Edge на основе HTML, который поставлялся в комплекте с Windows 10 в июле 2015 года. Эти данные неприменимы к новому браузеру Microsoft Edge на платформе Chromium, выпущенному 15 января 2020 года. Дополнительные сведения о поведении синхронизации для нового браузера Microsoft Edge см. в статье Синхронизация браузера Microsoft Edge.

Предварительные действия по устранению неполадок

Прежде чем приступить к устранению неполадок, убедитесь, что пользователь и устройство настроены правильно, и все требования Enterprise State Roaming выполнены.

  1. На устройстве должна быть установлена Windows 10 или более поздней версии с последними обновлениями версии не ниже 1511 (сборка ОС 10586 или более поздней версии).
  2. Устройство присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra. Дополнительные сведения см. в статье о том, как получить устройство под контролем идентификатора Microsoft Entra.
  3. Убедитесь, что Enterprise State Roaming включен для клиента в идентификаторе Microsoft Entra, как описано в разделе "Включение роуминга корпоративного состояния". Включить роуминг можно для всех пользователей или только для выбранной группы.
  4. Пользователю назначена лицензия Microsoft Entra ID P1 или P2.
  5. Устройство необходимо перезапустить, а пользователь должен выполнить вход заново, чтобы получить доступ к функциям Enterprise State Roaming.

Сведения, которые необходимо указать, если требуется помощь

Если вы не можете решить проблему с приведенными ниже рекомендациями, обратитесь к нашим инженерам в службу поддержки. При обращении в службу поддержки предоставьте следующие сведения:

  • Общее описание ошибки — видит ли пользователь сообщения об ошибках? Если сообщения об ошибке не было, подробно опишите непредвиденное поведение, которое вы заметили. Какие компоненты включены для синхронизации и что собирается синхронизировать пользователь? Не удается синхронизировать один или несколько компонентов?
  • Затронутые пользователи. Синхронизация работает или не работает для одного или нескольких пользователей? Сколько устройств задействовано у каждого пользователя? Не синхронизируются все устройства или только некоторые?
  • Сведения о пользователе — какой идентификатор использует пользователь для входа в устройство? Как пользователь входит в устройство? Входит ли он в группу безопасности, для которой разрешена синхронизация?
  • Сведения об устройстве — присоединено ли это устройство к Microsoft Entra или присоединено к домену? Какая сборка установлена на устройстве? Какие самые последние обновления установлены на устройстве?
  • Дата/время/часовой пояс — точные дата и время, когда вы заметили ошибку (включая часовой пояс).

Если вы укажете эти сведения, мы сможем устранить неполадку максимально быстро.

Устранение неполадок и диагностика проблем

В этом разделе приведены рекомендации для диагностики и устранения неполадок, связанных со службой Enterprise State Roaming.

Проверка синхронизации и страница параметров "Синхронизация параметров"

  1. После присоединения компьютера с Windows 10 или более поздней версии к домену, который разрешает взаимодействие со службой Enterprise State Roaming, войдите в систему с помощью рабочей учетной записи. Перейдите к Параметры> Accounts>Sync Your Параметры и убедитесь, что синхронизация и отдельные параметры включены, а верхняя часть страницы параметров указывает на синхронизацию с рабочей учетной записью. Убедитесь, что та же учетная запись также используется в качестве учетной записи в Параметры> Accounts>Your Info.

  2. Убедитесь, что синхронизация работает на нескольких компьютерах, внося некоторые изменения на исходном компьютере, например перемещение панели задач на экране. Изменения вступят в силу на втором компьютере в течение 5 минут.

    • Блокировка и снятие блокировки экрана (WIN+L) помогут запустить синхронизацию.
    • Для выполнения синхронизации на обоих компьютерах следует выполнить вход с использованием одной и той же учетной записи, так как служба Enterprise State Roaming привязывается к учетной записи пользователя, а не компьютера.

Потенциальная проблема. Если элементы управления на странице Параметры недоступны, и появится сообщение "Некоторые функции Windows доступны только в том случае, если вы используете учетную запись Майкрософт или рабочую учетную запись". Эта проблема может возникнуть для устройств, которые настроены для присоединения к домену и зарегистрированы в идентификаторе Microsoft Entra, но устройство еще не прошел проверку подлинности в идентификаторе Microsoft Entra. Возможная причина заключается в том, что политика устройства должна применяться, но это приложение происходит асинхронно и может занять несколько часов.

Проверка состояния регистрации устройства

Enterprise State Roaming требует, чтобы устройство было зарегистрировано в идентификаторе Microsoft Entra. Хотя это не относится к Enterprise State Roaming, используя следующие инструкции, можно убедиться, что клиент Windows 10 или более поздней версии зарегистрирован, и подтвердить отпечаток, URL-адрес параметров Microsoft Entra, состояние NGC и другие сведения.

  1. Откройте командную строку без повышенных привилегий. В Windows откройте окно "Выполнить" (WIN+R) и введите cmd, чтобы открыть командную строку.
  2. После открытия командной строки введите *dsregcmd.exe /status*.
  3. Для ожидаемых выходных данных значение поля AzureAdJoined должно быть YES, значение поля WamDefaultSet должно быть YES, а значение поля WamDefaultGUID должно быть ИДЕНТИФИКАТОРом GUID в (AzureAD) конце.

Потенциальная проблема: WamDefaultSet и AzureAdJoined имеют значение "NO" в значении поля, устройство присоединено к домену и зарегистрировано в идентификаторе Microsoft Entra, и устройство не синхронизируется. Если это отображается, устройство может потребоваться дождаться применения политики или проверки подлинности устройства при подключении к идентификатору Microsoft Entra. Пользователю может потребоваться подождать несколько часов, пока политика будет применена. Другие действия по устранению неполадок могут включать повторную регистрацию путем выхода и возврата в систему или запуска задачи в планировщике задач. В некоторых случаях при запуске dsregcmd.exe /leave в окне командной строки с повышенными привилегиями, перезагрузке и попытке регистрации снова может помочь в этой проблеме.

Потенциальная проблема: поле для Параметры Url пусто, и устройство не синхронизируется. Пользователь мог выполнить последний вход на устройство до включения Enterprise State Roaming. Перезапустите устройство и войдите в систему пользователя. При необходимости на портале попробуйте перейти к ит-Администратор перейти к разделу ">Обзор устройств>удостоверений>Enterprise State Roaming", а также повторно включить синхронизацию параметров и данных приложения на разных устройствах. После повторного включения перезапустите устройство и войдите в систему пользователя. Если проблема не устранена, Параметры Url может быть пустым, если имеется недопустимый сертификат устройства. В этом случае при выполнении команды dsregcmd.exe /leave в окне командной строки с повышенными привилегиями, перезагрузке и попытке повторной регистрации может помочь эта проблема.

Enterprise State Roaming и многофакторная проверка подлинности

В определенных условиях enterprise State Roaming может не синхронизировать данные, если настроена многофакторная проверка подлинности Microsoft Entra. Дополнительные сведения об этих симптомах см. в справочном документе KB3193683.

Потенциальная проблема. Если на устройстве настроена многофакторная проверка подлинности в Центре администрирования Microsoft Entra, возможно, не удается синхронизировать параметры при входе в Windows 10 или более поздней версии устройства с помощью пароля. Этот тип конфигурации многофакторной проверки подлинности предназначен для защиты учетной записи администратора Azure. Администратор пользователи по-прежнему могут синхронизироваться, выполнив вход на свои устройства с Windows 10 или более новыми устройствами с помощью ПИН-кода Windows Hello для бизнеса или выполнив многофакторную проверку подлинности при доступе к другим службам Azure, таким как Microsoft 365.

Потенциальная проблема. Синхронизация может завершиться ошибкой, если администратор настраивает политику условного доступа службы федерации Active Directory (AD FS) многофакторной проверки подлинности и срок действия маркера доступа на устройстве. Убедитесь, что вы войдете и выйдите с помощью ПИН-кода Windows Hello для бизнеса или полной многофакторной проверки подлинности при доступе к другим службам Azure, таким как Microsoft 365.

Просмотр событий

Для расширенного поиска проблем можно использовать средство просмотра событий, чтобы находить конкретные ошибки. События можно найти в разделе Просмотр событий >"Приложения и службы" журналы Microsoft>Windows>SettingSync-Azure и для проблем, связанных с удостоверениями, с синхронизацией журналов>>приложений и служб Microsoft>Windows>Microsoft Entra ID.

Известные проблемы

Синхронизация не работает на устройствах, где установлены приложения, загруженные с помощью программного обеспечения управления мобильными устройствами

Возникает на устройствах под управлением юбилейного обновления Windows 10 (версия 1607). В средстве просмотра событий в журналах SettingSync-Azure часто встречается идентификатор события 6013 с ошибкой 80070259.

Рекомендуемое действие
Убедитесь, что в клиенте Windows 10 v1607 установлено накопительный пакет обновления от 23 августа 2016 г. (KB3176934, сборка операционной системы 14393.82).

На устройстве, присоединенном к домену, не синхронизируются настройки даты, времени и региона

Устройства, присоединенные к домену, не синхронизируют параметры даты, времени и региона: автоматическое время. Использование автоматического времени может переопределить другие параметры даты, времени и региона и привести к тому, что эти параметры не синхронизируются.

Рекомендуемое действие
Нет.

После выхода из корпоративной сети устройство, присоединенное к домену, не синхронизируется

Присоединенные к домену устройства, зарегистрированные в идентификаторе Microsoft Entra, могут столкнуться с ошибкой синхронизации, если устройство находится вне сайта в течение длительного периода времени, и проверка подлинности домена не может завершиться.

Рекомендуемое действие
Подключите устройство к корпоративной сети, чтобы возобновить синхронизацию.

Устройство, присоединенное к Microsoft Entra, не синхронизируется, и пользователь имеет смешанное имя участника-пользователя.

Если пользователь имеет смешанный регистр имени участника-пользователя (например, UserName вместо имени пользователя), а пользователь находится на устройстве, присоединенном к Microsoft Entra, которое обновлено с Windows 10 сборки 10586 до 14393, устройство пользователя может не синхронизироваться.

Рекомендуемое действие
Пользователь должен отсоединить устройство и повторно присоединиться к облаку. Для этого войдите в качестве пользователя локального Администратор istrator и разъедините устройство, перейдя к Параметры> System>About и выберите "Управление или отключение от работы или учебного заведения". Очистите следующие файлы, а затем Microsoft Entra снова присоединяется к устройству в Параметры> System>About и выберите "Подключение для работы или учебного заведения". Продолжайте присоединяться к устройству с идентификатором Microsoft Entra и завершить поток.

На этапе очистки нужно удалить следующие файлы:

  • Settings.dat в C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\;
  • все файлы в папке C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account.

Идентификатор события 6065: 80070533. Пользователь не может выполнить вход, так как его учетная запись в настоящее время отключена

В Просмотр событий в журналах SettingSync/Debug эта ошибка может возникать при истечении срока действия учетных данных пользователя. Кроме того, это может произойти, если клиент не подготовил AzureRMS автоматически.

Рекомендуемое действие
В первом случае пользователь обновите свои учетные данные и войдите на устройство с новыми учетными данными. Чтобы устранить проблему с AzureRMS, выполните действия, описанные в статье KB3193791.

Идентификатор события 1098. Ошибка: 0xCAA5001C. Не удалось выполнить операцию брокера маркеров

В Просмотр событий в журналах AAD/Operations эта ошибка может быть замечена.Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F Эта проблема возникает, если отсутствуют необходимые разрешения или атрибуты владения.

Рекомендуемое действие
Выполните действия, описанные в статье KB3196528.

Следующие шаги

Общие сведения см. в обзоре службы Enterprise State Roaming.