Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления путем автоматической регистрации существующих устройств, управляемых Configuration Manager, в Intune.

В этом сценарии можно продолжать управлять Windows 10 устройствами с помощью Configuration Manager или выборочно перемещать рабочие нагрузки в Microsoft Intune по желанию. Дополнительные сведения о настройке рабочих нагрузок см. в разделе Совет по поддержке: Настройка рабочих нагрузок в совместно управляемой среде.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и выполнить все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время на поиск решения. Для этого выполните указанный ниже контрольный список вопросов по устранению неполадок.

• У вас есть необходимые разрешения и роли для настройки совместного управления?
• Какой вариант гибридного удостоверения Microsoft Entra вы выбрали?
• Каков ваш текущий центр MDM?
• Вы установили и настроили Microsoft Entra Connect?
• Назначили ли вы лицензию на Microsoft Entra ID P1 или P2 имени участника-пользователя, которое использовалось для настройки?
• Вы назначили пользователям Intune лицензии?
• Настроили ли вы Microsoft Entra гибридное присоединение для управляемых илифедеративных доменов?
• Настроили ли вы параметры агента клиента Configuration Manager для Microsoft Entra гибридного присоединения?
• Настроили ли вы автоматическую регистрацию в клиенте Intune?
• Вы включили совместное управление в Configuration Manager?

Большинство проблем возникают из-за того, что один или несколько из этих шагов не были выполнены. Если вы обнаружите, что шаг был пропущен или не был успешно завершен, проверка сведения о каждом шаге или ознакомьтесь со следующим руководством: Включение совместного управления для существующих Configuration Manager клиентов.

Используйте следующий файл журнала на Windows 10 устройствах для устранения проблем совместного управления на клиенте:

%WinDir%\CCM\logs\CoManagementHandler.log

Устранение неполадок конфигурации гибридной Microsoft Entra

Если у вас возникли проблемы, влияющие на Microsoft Entra гибридное удостоверение или Microsoft Entra Connect, ознакомьтесь со следующими руководствами по устранению неполадок.

• Устранение неполадок с установкой Microsoft Entra Connect
• Устранение ошибок при синхронизации Microsoft Entra Connect
• Устранение неполадок синхронизации хэша паролей с Microsoft Entra Connect Sync
• Устранение неполадок Microsoft Entra простого единого входа
• Устранение неполадок Microsoft Entra сквозной проверке подлинности
• Устранение неполадок с единым входом в службы федерации Active Directory (AD FS)

Если возникают проблемы, влияющие на Microsoft Entra гибридное присоединение для управляемых или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок:

• Устранение неполадок Microsoft Entra устройствах с гибридным присоединением
• Устройства для устранения неполадок с помощью команды dsregcmd

Распространенные проблемы

Клиенты не получили политику из Configuration Manager точки управления, чтобы начать процесс регистрации с помощью Microsoft Entra ID и Intune

Эта проблема возникает из-за проблемы в Configuration Manager, а не в Intune. Для устранения таких проблем можно использовать файлы журнала клиента .

Установлен клиент Configuration Manager. Однако устройство не регистрируется в Microsoft Entra ID и ошибки не отображаются

Эта проблема обычно возникает из-за того, что параметры агента клиента Configuration Manager не настроены для направления клиентов на регистрацию.

Чтобы устранить эту проблему, убедитесь, что вы выполните действия, описанные в разделе Настройка параметров клиента для прямой регистрации клиентов с помощью Microsoft Entra ID.

Клиент Configuration Manager установлен, и устройство успешно зарегистрировано с помощью Microsoft Entra ID. Однако устройство не регистрируется автоматически в Intune и ошибки не отображаются.

Эта проблема обычно возникает, если автоматическая регистрация неправильно настроена в клиенте Intune в разделе Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

Чтобы устранить эту проблему, выполните действия, описанные в разделе Настройка автоматической регистрации устройств для Intune.

Узел совместного управления не удается найти в разделе Администрирование > Облачные службы в консоли Configuration Manager

Эта проблема возникает, если версия Configuration Manager более ранняя, чем версия 1906.

Чтобы устранить эту проблему, обновите Configuration Manager до версии 1906 или более поздней.

Microsoft Entra устройства с гибридным присоединением не удается зарегистрировать и создать 0x8018002a ошибок

При возникновении этой проблемы вы также заметите следующие симптомы:

• Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:

  Автоматическая регистрация MDM: сбой (неизвестный код ошибки Win32: 0x8018002a)

• Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>Microsoft Entra ID>Operational log в Просмотр событий:

  Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
  Код: interaction_required
  Описание: AADSTS50076. Из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает при принудительном применении многофакторной проверки подлинности (MFA). Это не позволяет агенту клиента Configuration Manager регистрировать устройство с помощью учетных данных пользователя, выполнившего вход.

Примечание.

Существует разница между включенным и принудительным MFA. Дополнительные сведения о различиях см. в разделе Microsoft Entra состояниях пользователей многофакторной проверки подлинности. Этот сценарий работает путем включения MFA, но без принудительного применения MFA.

Чтобы устранить эту проблему, используйте один из следующих методов:

• Присвойте MFA значение Включено, но не Принудительно. Дополнительные сведения см. в разделе Настройка многофакторной проверки подлинности.
• Временно отключите MFA во время регистрации в доверенных IP-адресах.

Не удается синхронизировать устройства после автоматической регистрации

Начиная с Configuration Manager версии 1906, совместно управляемое устройство под управлением Windows 10 версии 1803 или более поздней автоматически регистрируется в службе Microsoft Intune на основе маркеров Microsoft Entra устройств. Однако устройство не синхронизируется, и в разделе Параметры> Учетные записиДоступ к рабочей или учебной среде появляетсяследующее сообщение об ошибке>:

Синхронизация не была выполнена полностью, так как мы не смогли проверить ваши учетные данные. Выберите Синхронизировать, чтобы войти и повторить попытку.

При возникновении этой проблемы в журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider регистрируется следующее сообщение об ошибке >Администратор войдите в Просмотр событий:

Сеанс MDM: не удалось получить маркер Microsoft Entra для маркера пользователя сеанса синхронизации: (неизвестный код ошибки Win32: 0xcaa2000c) Токен устройства: (неправильная функция).

Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>Microsoft Entra ID>Operational log в Просмотр событий:

Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076. Из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает, когда MFA включена или принудительно или Microsoft Entra политики условного доступа, требующие MFA, применяются ко всем облачным приложениям. Это предотвращает связь пользователя с устройством на портале.

Чтобы устранить эту проблему, используйте один из следующих методов:

• Если многофакторная проверка подлинности включена или принудительно:
  • Установите для MFA значение Отключено. Дополнительные сведения см. в разделе Отключение устаревшей MFA для каждого пользователя.
  • Обход MFA с помощью доверенных IP-адресов.
• Если используются Microsoft Entra политики условного доступа, исключите приложение Microsoft Intune из политик, требующих многофакторной проверки подлинности для разрешения синхронизации устройств с помощью учетных данных пользователя.

Устройство Microsoft Entra гибридного подключения Windows 10 не удается зарегистрироваться в Intune с ошибкой 0x800706D9 или 0x80180023

При возникновении этой проблемы обычно отображается следующее сообщение об ошибке в разделе Журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:

Регистрация MDM: сбой конфигурации клиента OMA-DM. RAWResult: (0x800706D9) Результат: (Неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой подготовки. Результат: (неизвестный код ошибки Win32: 0x80180023).
Регистрация MDM: сбой (неизвестный код ошибки Win32: 0x80180023)
Автоматическая регистрация MDM: учетные данные устройства (0x80180023), сбой (%2)
Отмена регистрации MDM: ошибка при отправке оповещения об отмене регистрации на сервер. Результат: (неправильная функция.).
Отмена регистрации MDM: не удалось изменить тип запуска dmwappushservice на запрос-start. Результат: (указанная служба не существует как установленная служба.)

Эта проблема возникает, dmwappushservice если служба отсутствует на устройстве. Чтобы проверить, выполните команду services.msc , чтобы найти эту службу.

Для устранения данной проблемы выполните следующие действия.

1. На рабочем устройстве под управлением той же версии Windows 10, что и затронутое устройство, экспортируйте следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Войдите на затронутое устройство в качестве локального администратора, скопируйте файл .reg на затронутое устройство, а затем объедините его с локальным реестром.

3. Перезапустите затронутого устройства.

4. Удалите старую регистрацию Microsoft Entra, а затем обновите групповая политика.

5. Перезапустите затронутого устройства еще раз. Устройство должно иметь возможность зарегистрировать с помощью Microsoft Entra ID и зарегистрироваться в Intune автоматически.

Microsoft Entra гибридное присоединение в управляемом домене завершается ошибкой 0x801c03f2

При запуске dsregcmd /status из командной строки на устройстве вы увидите, что оно присоединено к домену, но не Microsoft Entra гибридное присоединение. В журналы >приложений и службрегистрируется следующее сообщение об ошибкеРегистрация> устройствпользователей Microsoft> Windows >Администратор в Просмотр событий:

Ответ сервера: {"ErrorType":"DirectoryError","Message":"Сертификат пользователя открытого ключа не найден в объекте устройства с идентификатором <DeviceID>".

Эта проблема возникает в одной из следующих ситуаций:

• Объект устройства отсутствует в Microsoft Entra ID.
• Атрибут Usercertificate не содержит сертификат устройства в локальная служба Active Directory или Microsoft Entra ID.

Чтобы Windows 10 регистрация устройства работала в управляемом домене, сначала необходимо синхронизировать объект устройства. Процесс регистрации выполняется следующим образом:

• Устройство Windows 10 запускается в первый раз после присоединения к локальному домену.
• Регистрация устройства активируется и создается запрос на сертификат.
• При создании запроса открытый ключ сертификата публикуется в локальной службе AD для объекта устройства. При этом обновляется Usercertificate атрибут объектов устройства. В то же время подписанный запрос на регистрацию устройства отправляется в Microsoft Entra ID.
• Регистрация завершается ошибкой, так как Microsoft Entra ID не удается проверить подлинность объекта устройства или проверить подписанный запрос.
• При следующем запуске цикла синхронизации он находит объект устройства с заполненным атрибутом Usercertificate и синхронизирует объект устройства с Microsoft Entra ID.
• При следующем запуске службы регистрации (она выполняется каждый час), устройство отправит новый запрос, подписанный закрытым ключом.
• Azure проверяет подпись в запросе с помощью общедоступного сертификата, полученного из локального домена во время цикла синхронизации. Если Microsoft Entra ID может проверить подпись в запросе, регистрация устройства будет выполнена успешно.

Для устранения данной проблемы выполните следующие действия:

1. В локальной среде AD убедитесь, что Usercertificate атрибут заполнен и имеет правильный сертификат.

2. Проверьте объект внутреннего устройства и убедитесь, что Usercertificate атрибут существует и заполнен.

3. Если сертификат отсутствует или кто-то удалил его из локальной службы AD (что, в свою очередь, удаляет сертификат из Microsoft Entra ID), регистрация устройства завершается ошибкой. Чтобы устранить эту проблему, выполните следующие действия на клиентском устройстве:

   1. Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

      dsregcmd /leave
      

   2. Запустите certlm.msc , чтобы открыть хранилище сертификатов локального компьютера.

   3. Убедитесь, что сертификат компьютера, выданный MS-Organization-Access , удален.

   4. Перезапустите клиентское устройство, чтобы активировать новую регистрацию устройства.

   5. После перезапуска устройства убедитесь, что новый открытый ключ сертификата обновлен в объекте устройства в локальной службе AD. Если контроллеров домена несколько, убедитесь, что атрибут реплицируется на все контроллеры домена.

   6. Активируйте разностную синхронизацию на сервере Microsoft Entra Connect.

   7. После завершения синхронизации можно активировать регистрацию устройства, перезапустив клиент, выполнив dsregcmd /debug команду или запустив запланированную задачу Автоматическое присоединение устройства в разделе Присоединение к рабочему месту.

Автоматическая регистрация устройства завершается сбоем с ошибкой 0x80280036

При возникновении этой проблемы в журналы> приложений и службрегистрируетсяследующее сообщение об ошибке Регистрацияустройств> Microsoft >Windows>Администратор войдите в Просмотр событий:

Сбой DeviceRegistrationApi::BeginJoin с кодом ошибки: 0x80280036

Описание:
Сбой инициализации запроса на присоединение с кодом выхода. TPM пытается выполнить команду, доступную только в режиме FIPS.

Эта проблема возникает, если на микросхеме доверенного платформенного модуля на клиентском устройстве включен режим FIPS. Режим FIPS не поддерживается и не рекомендуется для регистрации устройств Azure. Дополнительные сведения см. в разделе Почему мы больше не рекомендуем использовать режим FIPS.

Microsoft Entra гибридное соединение завершается сбоем с 0x80090016 ошибок

Сбой гибридной Microsoft Entra регистрации устройства Windows 10, и появляется следующее сообщение об ошибке:

Произошла ошибка. Подтвердите, что вы используете правильные сведения для входа и что организация использует эту функцию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки 0x80090016

Сообщение об ошибке 0x80090016 : Набор ключей не существует. Это означает, что при регистрации устройства не удалось сохранить ключ устройства, так как ключи доверенного платформенного модуля не были доступны.

Эта проблема возникает, если Windows не является владельцем доверенного платформенного модуля. Начиная с Windows 10 операционная система автоматически инициализирует TPM и становится владельцем. Однако в случае сбоя этого процесса Windows не будет владельцем и приведет к проблеме.

Чтобы устранить эту проблему, очистите TPM и перезапустите клиентское устройство. Чтобы очистить TPM, выполните следующие действия.

1. Откройте приложение "Безопасность Windows".

2. Выберите Безопасность устройства.

3. Выберите Сведения о обработчике безопасности.

4. Выберите Устранение неполадок обработчика безопасности.

5. Щелкните Очистить TPM.

   Важно!

   Перед очисткой доверенного платформенного модуля следует учитывать следующее:

   • Очистка доверенного платформенного модуля может привести к потере данных. Вы потеряете все созданные ключи, связанные с TPM, и данные, защищенные этими ключами, такие как виртуальная интеллектуальная карта, ПИН-код входа или ключи BitLocker.
   • Если bitLocker включен на устройстве, убедитесь, что bitLocker отключен, прежде чем очищать доверенный платформенный модуль.
   • Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных TPM.

6. Перезапустите устройство при появлении запроса.

   Примечание.

   Во время перезапуска UEFI может предложить нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM. После завершения перезапуска TPM будет автоматически подготовлен к использованию Windows 10.

После перезапуска устройства Microsoft Entra гибридное соединение должно быть успешным. Для проверки выполните dsregcmd /status команду в командной строке. Следующий результат указывает на успешное соединение:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Дополнительные сведения см. в статье Устранение неполадок доверенного платформенного модуля.

Дополнительная информация

Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

• Устранение неполадок совместного управления: начальная загрузка с современной подготовкой
• Устранение неполадок с рабочими нагрузками совместного управления

Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях:

• Общие сведения о совместном управлении Windows 10
• начало работы: пути к совместному управлению
• Краткие руководства по совместному управлению
• Руководство. Включение функции совместного управления в существующих клиентах Configuration Manager