針對 Microsoft Entra ID 中的企業狀態漫遊設定進行疑難解答

  • 發行項

本文提供如何針對企業狀態漫遊問題進行疑難解答和診斷的資訊,並提供已知問題清單。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

注意

本文適用於 2015 年 7 月以 Windows 10 啟動的 舊版 Microsoft Edge HTML 型瀏覽器。 本文不適用於 2020 年 1 月 15 日發行的新 Microsoft Edge Chromium 瀏覽器。 如需新 Microsoft Edge 同步處理行為的詳細資訊,請參閱 Microsoft Edge Sync 一文

疑難解答的初步步驟

開始進行疑難解答之前,請先確認使用者和裝置已正確設定,且符合企業狀態漫遊的所有需求。

  1. Windows 10 或更新版本,具有最新的更新,以及最低版本 1511(OS 組建 10586 或更新版本)安裝在裝置上。
  2. 裝置已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。 如需詳細資訊,請參閱 如何取得受 Microsoft Entra ID 控制下的裝置。
  3. 請確定 Microsoft Entra 識別碼中的租用戶已啟用企業狀態漫遊,如啟用企業狀態漫遊中所述。 您可以為所有使用者啟用漫遊,或只針對選取的使用者群組啟用漫遊。
  4. 用戶獲指派 Microsoft Entra ID P1 或 P2 授權。
  5. 裝置必須重新啟動,而且用戶必須再次登入,才能存取企業狀態漫遊功能。

您需要協助時應包含的資訊

如果您無法使用下列指引解決問題,您可以連絡我們的支持工程師。 當您連絡它們時,請包含下列資訊:

  • 錯誤的一般描述:使用者看到錯誤訊息嗎? 如果沒有錯誤訊息,請詳細描述您注意到的非預期行為。 哪些功能已啟用同步處理,以及預期同步處理的用戶為何? 多個功能是否未同步,或與一個功能隔離?
  • 受影響的使用者 – 同步處理是否為一或多個使用者運作/失敗? 每位使用者涉及多少個裝置? 它們全都未同步,還是有些同步處理,有些未同步處理?
  • 使用者 的相關信息 – 使用者用來登入裝置的身分識別為何? 使用者如何登入裝置? 它們是否屬於允許同步的選取安全組?
  • 裝置 的相關信息 – 此裝置是否已加入 Microsoft Entra 或已加入網域? 裝置位於哪個組建? 最新的更新為何?
  • 日期/時間/時區 – 您看到錯誤的精確日期和時間為何(包括時區)?

包含此資訊可協助我們儘快解決問題。

疑難解答和診斷問題

本節提供如何針對企業狀態漫遊相關問題進行疑難解答和診斷的建議。

確認同步處理,以及 [同步您的設定] 設定頁面

  1. 將 Windows 10 或更新版本電腦加入設定為允許企業狀態漫遊的網域之後,請使用您的工作帳戶登入。 移至 [設定> Accounts>同步處理您的 設定,並確認同步處理和個別設定已開啟,且設定頁面頂端表示您正在與工作帳戶同步處理。 確認相同的帳戶也會用於 設定> Accounts Your Info 中的>帳戶。

  2. 在原始計算機上進行一些變更,例如在畫面上移動任務列,確認同步處理可在多部計算機上運作。 在五分鐘內觀看變更傳播至第二部計算機。

    • 鎖定和解除鎖定畫面 (Win + L) 有助於觸發同步處理。
    • 您必須在這兩部計算機上使用相同的帳戶登入,才能同步處理 - 因為企業狀態漫遊系結至用戶帳戶,而不是計算機帳戶。

潛在問題:如果 [設定] 頁面中的控件無法使用,而且您會看到「某些 Windows 功能只有在您使用 Microsoft 帳戶或公司帳戶時才可使用」訊息。 設定為已加入網域並註冊至 Microsoft Entra 標識碼的裝置,但裝置尚未向 Microsoft Entra 識別碼進行驗證,可能會發生此問題。 可能的原因是必須套用裝置原則,但此應用程式會以異步方式發生,而且可能需要數小時的時間。

確認裝置註冊狀態

企業狀態漫遊需要裝置向 Microsoft Entra ID 註冊。 雖然不是企業狀態漫遊特有的,但使用下列指示可協助確認 Windows 10 或更新版用戶端已註冊,並確認指紋、Microsoft Entra 設定 URL、NGC 狀態和其他資訊。

  1. 開啟未刪除的命令提示字元。 若要在 Windows 中這樣做,請開啟 [執行] 啟動器 (Win + R),然後輸入 “cmd” 以開啟。
  2. 命令提示字元開啟之後,請輸入 *dsregcmd.exe /status*
  3. 針對預期的輸出,AzureAdJoined 域值應該是 YESWamDefaultSet 域值應該是 YES,而 WamDefaultGUID 域值應該是結尾的 (AzureAD) GUID

潛在問題WamDefaultSetAzureAdJoined 在域值中都有 “NO”、裝置已加入網域且已向 Microsoft Entra ID 註冊,且裝置不會同步處理。如果顯示此問題,裝置可能需要等候套用原則,或連線到 Microsoft Entra ID 時裝置的驗證失敗。 使用者可能需要等候數小時才能套用原則。 其他疑難解答步驟可能包括藉由註銷和返回或啟動工作排程器中的工作來重試自動註冊。 在某些情況下,在提升許可權的命令提示字元視窗中執行 「dsregcmd.exe /leave」 、重新啟動,然後再次嘗試註冊可能有助於解決此問題。

潛在問題:設定 Url 的欄位是空的,且裝置不會同步處理。在啟用企業狀態漫遊之前,使用者可能上次登入裝置。 重新啟動裝置,並讓使用者登入。 或者,在入口網站中,嘗試讓IT管理員流覽至身分識別>裝置>概觀>企業狀態漫遊停用,然後重新啟用使用者可能會跨裝置同步設定和應用程式數據。 重新啟用之後,請重新啟動裝置,並讓使用者登入。 如果這個問題無法解決問題,設定 Url 可能是空的,如果有不正確的裝置憑證。 在此情況下,在提升許可權的命令提示字元視窗中執行 「dsregcmd.exe /leave」、重新啟動,然後再次嘗試註冊可能有助於解決此問題。

企業狀態漫遊和多重要素驗證

在某些情況下,如果已設定 Microsoft Entra 多重要素驗證,企業狀態漫遊將無法同步處理數據。 如需這些徵兆的詳細資訊,請參閱支援檔 KB3193683

潛在問題:如果您的裝置已設定為在 Microsoft Entra 系統管理中心要求多重要素驗證,則在使用密碼登入 Windows 10 或更新版本裝置時,您可能無法同步處理設定。 這種類型的多重要素驗證組態旨在保護 Azure 系統管理員帳戶。 管理員 使用者仍可使用其 Windows Hello 企業版 PIN 登入其 Windows 10 或更新版本裝置,或在存取 Microsoft 365 等其他 Azure 服務時完成多重要素驗證,來同步處理。

潛在問題:如果系統管理員設定 Active Directory 同盟服務 多重要素驗證條件式存取原則,且裝置上的存取令牌過期,同步可能會失敗。 請確定您在存取 Microsoft 365 等其他 Azure 服務時,使用 Windows Hello 企業版 PIN 或完成多重要素驗證來登入和註銷。

事件檢視器

如需進階疑難解答,事件檢視器 可用來尋找特定錯誤。 您可以在 事件檢視器 >應用程式和服務記錄>Microsoft>Windows>SettingSync-Azure 中找到事件,以及同步處理應用程式和服務記錄>Microsoft>Windows>Microsoft Entra ID 的身分識別相關問題。

已知問題

同步無法在使用 MDM 軟體側載應用程式的裝置上運作

影響執行 Windows 10 年度更新版 (版本 1607) 的裝置。 在 SettingSync-Azure 記錄下的 事件檢視器 中,經常會看到錯誤80070259的事件標識碼 6013。

建議的動作
請確定 Windows 10 v1607 用戶端具有 2016 年 8 月 23 日累積更新(KB3176934 OS 組建 14393.82)。

已加入網域的裝置上,日期、時間和區域設定不會同步

已加入網域的裝置不會同步設定日期、時間和區域:自動時間。 使用自動時間可能會覆寫其他 [日期]、[時間] 和 [區域] 設定,並導致這些設定無法同步。

建議的動作
無。

離開公司網路之後,已加入網域的裝置不會同步

如果裝置在異地進行長時間,則已註冊至 Microsoft Entra ID 的已加入網域的裝置可能會遇到同步失敗,且網域驗證無法完成。

建議的動作
連線 裝置到公司網路,讓同步可以繼續。

已加入 Microsoft Entra 的裝置未同步處理,且使用者有混合大小寫的用戶主體名稱

如果使用者有混合大小寫 UPN(例如 UserName 而不是使用者名稱),且使用者位於已加入 Microsoft Entra 的裝置上,而該裝置從 Windows 10 組建 10586 升級至 14393,則使用者的裝置可能無法同步處理。

建議的動作
用戶必須取消加入裝置並重新加入雲端。 若要執行此程式,請登入為 Local 管理員 istrator 使用者並取消加入裝置,方法是移至 [設定> System>About],然後選取 [管理或中斷工作或學校連線]。 清除下列檔案,然後在 設定> System>About再次加入裝置,然後選取 [連線 到公司或學校]。 繼續將裝置加入 Microsoft Entra ID 並完成流程。

在清除步驟中,清除下列檔案:

  • 設定.dat inC:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • 資料夾下的所有檔案 C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

事件標識碼 6065:80070533此用戶無法登入,因為此帳戶目前已停用

在 SettingSync/Debug 記錄下的 事件檢視器 中,當使用者的認證過期時,就可以看到此錯誤。 此外,當租使用者未自動布建 AzureRMS 時,就可能發生此情況。

建議的動作
在第一個案例中,讓使用者更新其認證,並使用新的認證登入裝置。 若要解決 AzureRMS 問題,請繼續進行KB3193791中列出的步驟。

事件標識碼 1098:錯誤:0xCAA5001C令牌代理程式作業失敗

在 AAD/作業記錄下的 事件檢視器 中,可能會使用 Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F看到此錯誤。 如果缺少許可權或擁有權屬性,就會發生此問題。

建議的動作
繼續進行列出的 步驟KB3196528

下一步

如需概觀,請參閱 企業狀態漫遊概觀