ESR 设置未与已启用多重身份验证的同步

原始产品版本:  Windows 10版本 1709 所有版本,Windows 10 版本 1703 所有版本,Windows 10 版本 1511 所有版本,Windows 10 版本 1607 所有版本
原始 KB 编号:   3193683

症状

你已Enterprise门户 (一些) 客户端Azure Active Directory ESR Windows 10状态漫游。 任何支持的同步设置(如桌面背景或任务栏位置)不会在同一用户的设备之间同步。 以下事件 1098 和 1097 记录在 Microsoft-Windows-AAD/Operational 事件日志中:

Log Name:      Microsoft-Windows-AAD/Operational
Source:        Microsoft-Windows-AAD
Event ID:      1098
Task Category: AadTokenBrokerPlugin Operation
Level:         Error
Keywords:      Error,
Error Computer:      Win10client.contoso.com
Description: Error: 0xCAA2000C The request requires user interaction. Code: interaction_required Description: AADSTS50076: The user is required to use multi-factor authentication to access this resource. Please retry with a new authorize request for the resource 'https://syncservice.windows.net/*'. Trace ID: <Trace ID GUID> Correlation ID: <Correlation ID GUID> Timestamp: yyyy-mmmm-dddd 01:30:38Z
TokenEndpoint: https://login.microsoftonline.com/common/oauth2/token Authority: https://login.microsoftonline.com/common
Client ID: <Client ID GUID>
Redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<Client ID GUID>
Resource: https://syncservice.windows.net/*
Correlation ID (request): <Correlation ID GUID>
Log Name:      Microsoft-Windows-AAD/Operational
Source:        Microsoft-Windows-AAD
Event ID:      1097 Task Category: AadTokenBrokerPlugin
Operation Level:         Warning
Keywords:      Operational,
Operational Computer:      Win10client.contoso.com
Description: Error: 0xCAA90004 Getting token by refresh token failed.
Authority: https://login.microsoftonline.com/common
Client ID: <Client ID GUID> Redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<Client ID GUID>
Resource: https://syncservice.windows.net/*
Correlation ID (request): <Correlation ID GUID>

原因

启用了 MFA (多重) 身份验证,这就是Enterprise漫游不会提示用户进行其他授权的原因。

解决方案

如果你的设备配置为要求在 Azure Active Directory 门户上进行多重身份验证,则使用密码登录 Windows 10 设备时可能无法同步设置。 这种类型的多重身份验证配置旨在保护 Azure 管理员帐户。 管理员用户仍可使用 Microsoft Passport for Work PIN 登录 Windows 10 设备,或在访问其他 Azure 服务(如 Microsoft Office 365)时完成多重身份验证,从而进行同步。

如果管理员配置 active Directory 联合身份验证Azure AD身份验证条件访问策略,并且设备上的访问令牌过期,同步可能会失败。 请确保使用 Microsoft Passport for Work PIN 登录和注销,或在访问其他 Azure 服务(如 Office 365)时完成多重Office 365。

更多信息

Microsoft 正在调查如何改进在设备上启用Enterprise状态漫游和 MFA 授权的体验。

有关详细信息,请参阅设置和数据漫游常见问题