Часто задаваемые вопросы об управлении устройствами Microsoft Entra

Общие вопросы и ответы

Мной недавно было зарегистрировано устройство. Почему устройство не отображается в моей информации пользователя? Или почему владелец устройства помечен как N/A для гибридных устройств, присоединенных к Microsoft Entra?

Устройства с Windows 10 или более поздней версии, присоединенные к гибридной среде Microsoft Entra, не отображаются на устройствах USER. Используйте представление "Все устройства". Вы также можете использовать командлет Get-MgDevice PowerShell.

В списке устройств пользователей перечислены только следующие устройства:

  • Все личные устройства, которые не присоединены к гибридной среде Microsoft Entra.
  • Все устройства без Windows 10 и более поздней версии и без Windows Server 2016 и более поздней версии.
  • Все устройства не на платформе Windows.

Как узнать состояние регистрации устройства клиента?

Перейдите ко всем устройствам. Найдите устройство по его идентификатору. Посмотрите значение в столбце "Тип соединения". Иногда может оказаться, что выполнялся сброс или пересоздание образа устройства. Таким образом, важно также проверить состояние регистрации устройства на самом устройстве:

  • Для устройств с Windows 10 и более поздней версии и с Windows Server 2016 или более поздней версии запустите dsregcmd.exe /status.
  • Для версий ОС нижнего уровня запустите %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Сведения об устранении неполадок можно найти в этих статьях:

Локальные пользователи AD в моей организации разделены на два или более разных клиентов в идентификаторе Microsoft Entra. Получает ли windows PRT для каждого клиента на клиентском компьютере?

Клиенты Windows получают PRT из идентификатора Microsoft Entra, если пользователь и устройство принадлежат одному клиенту. Пользователи не получат PRT для другого клиента, если устройство не зарегистрировано или пользователь не является членом. Если два клиента доверяют друг другу через B2B, вы всегда можете создать межтенантный доступ B2B и доверять утверждениям устройств из домашнего клиента.

Я вижу запись устройства в разделе сведений о пользователе, и я вижу состояние как зарегистрированное. Правильно ли оно настроено для применения условного доступа?

Состояние соединения устройства, отображаемое идентификатором deviceID, должно соответствовать состоянию идентификатора Microsoft Entra и соответствовать любым критериям оценки условного доступа. См. дополнительные сведения о требовании использовать только управляемые устройства для доступа к облачным приложениям с помощью условного доступа.

Почему пользователи видят сообщение об ошибке "Ваша организация удалила устройство" или "Ваша организация отключила устройство" на своих устройствах с Windows 10/11?

На устройствах Windows 10/11, присоединенных или зарегистрированных в идентификаторе Microsoft Entra, пользователи выдают первичный маркер обновления (PRT), который включает единый вход. Действительность PRT зависит от действительности самого устройства. Пользователи видят это сообщение, если устройство удалено или отключено в идентификаторе Microsoft Entra, не инициируя действие с самого устройства. Устройство можно удалить или отключить в Microsoft Entra один из следующих сценариев:

  • Пользователь отключает устройство на портале "Мои приложения".
  • Администратор (или пользователь) удаляет или отключает устройство.
  • Только гибридное присоединение к Microsoft Entra: администратор удаляет подразделения устройств из области синхронизации, что приводит к удалению устройств из идентификатора Microsoft Entra.
  • Только гибридное присоединение к Microsoft Entra: администратор отключает локальную учетную запись компьютера, что приводит к отключению устройства в идентификаторе Microsoft Entra.
  • Обновление Microsoft Entra Connect до версии 1.4.xx.x. Общие сведения об исчезновении устройств Microsoft Entra Connect 1.4.xx.x и устройства.

Я отключил или удалил свое устройство, но локальное состояние на устройстве говорит, что оно по-прежнему зарегистрировано. Что делать?

Это сделано намеренно. В этом случае у устройства нет доступа к ресурсам в облаке. Администраторы могут выполнять это действие для устаревших, потерянных или украденных устройств, чтобы предотвратить несанкционированный доступ. Если это действие было выполнено непреднамеренно, необходимо повторно включить или повторно зарегистрировать устройство, выполнив следующие действия.

  • Если устройство было отключено в идентификаторе Microsoft Entra, администратор с достаточными привилегиями может включить его в Центре администрирования Microsoft Entra.

    Примечание.

    Если вы синхронизируете устройства с помощью Microsoft Entra Connect, гибридные устройства Microsoft Entra будут автоматически включены во время следующего цикла синхронизации. Поэтому, если необходимо отключить гибридное устройство, присоединенное к Microsoft Entra, необходимо отключить его из локальной службы AD.

  • Если устройство удаляется в идентификаторе Microsoft Entra, необходимо повторно зарегистрировать устройство. Чтобы повторно зарегистрировать устройство, на нем нужно выполнить действие вручную. Инструкции по повторной регистрации на основе состояния устройства см. в следующих шагах.

    Чтобы повторно зарегистрировать гибридные устройства Microsoft Entra, присоединенные к Windows 10/11 и Windows Server 2016/2019, выполните следующие действия:

    1. Запустите командную строку от имени администратора.
    2. Введите dsregcmd.exe /debug /leave.
    3. Выйдите и войдите, чтобы активировать запланированную задачу, которая снова регистрирует устройство с идентификатором Microsoft Entra.

    Для версий ОС Windows нижнего уровня, присоединенных к гибридной среде Microsoft Entra, выполните следующие действия.

    1. Запустите командную строку от имени администратора.
    2. Введите "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
    3. Введите "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

    Для устройств Windows 10/11, присоединенных к Microsoft Entra, сделайте следующее:

    1. Запустите командную строку от имени администратора.
    2. Введите dsregcmd /forcerecovery (для выполнения этого действия требуются права администратора).
    3. Щелкните "Войти" в открывшемся диалоговом окне и продолжайте процесс входа.
    4. Выйдите и войдите на устройство, чтобы завершить восстановление.

    Для зарегистрированных устройств Windows 10/11 в Microsoft Entra выполните следующие действия:

    1. Откройте Настройки>Учетные записи>Доступ к рабочей или учебной учетной записи.
    2. Выберите учетную запись и щелкните Отключить.
    3. Щелкните "+ Подключить" и зарегистрируйте устройство еще раз, выполнив процесс входа.

Почему отображаются повторяющиеся записи устройства?

  • Несколько попыток отсоединить, а затем присоединить одно и то же устройство с Windows 10 или более поздней версии либо с Windows Server 2016 или более поздней версии могут привести к появлению повторяющихся записей.
  • Каждый пользователь Windows, нажавший кнопку Добавить рабочую или учебную учетную запись, создает запись устройства с тем же именем.
  • Для версий ОС Windows нижнего уровня, присоединенных к локальному домену Azure Directory, с помощью автоматической регистрации для каждого пользователя домена, который входит в устройство, создается запись устройства с тем же именем.
  • Присоединенный к Microsoft Entra компьютер, на котором были выполнены очистка, повторная установка и повторное присоединение с тем же именем, будет отображен как еще одна запись с тем же именем устройства.

Поддерживает ли регистрация устройств Windows 10/11 в Microsoft Entra в режиме FIPS?

Регистрация устройств с Windows 10/11 поддерживается только для FIPS-совместимого доверенного платформенного модуля версии 2.0 и не поддерживается для версии 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить присоединение к Microsoft Entra или гибридное соединение Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.

Почему пользователь по-прежнему может получить доступ к ресурсам с устройства, которое я отключил?

С момента отключения устройства Microsoft Entra требуется до часа.

Примечание.

Для зарегистрированного устройства рекомендуется очистить его, чтобы пользователи не смогли получить доступ к его ресурсам. Дополнительные сведения см. в статье Что такое регистрация устройств?.

Почему не удается добавить более 3 учетных записей пользователей Microsoft Entra в одном сеансе пользователя на устройстве с Windows 10/11?

Идентификатор Microsoft Entra добавил поддержку нескольких учетных записей Microsoft Entra, начиная с выпуска Windows 10 1803. Однако Windows 10/11 ограничивает количество учетных записей Microsoft Entra на устройстве до 3, чтобы ограничить размер запросов токенов и включить надежный единый вход .. После добавления 3 учетных записей пользователи видят ошибку для последующих учетных записей. Дополнительные сведения о проблеме на экране ошибки содержат следующее сообщение, указывающее причину: "Добавление операции учетной записи заблокировано, так как достигнуто ограничение учетной записи".

Что такое сертификаты MS-Organization-Access, представленные на наших устройствах Windows 10/11?

Сертификаты MS-Organization-Access выдаются службой регистрации устройств Microsoft Entra во время процесса регистрации устройства. Эти сертификаты выдаются всем типам соединений, поддерживаемым в Windows — присоединение к Microsoft Entra, гибридное присоединение Microsoft Entra и зарегистрированные устройства Microsoft Entra. После выдачи они используются в процессе проверки подлинности с устройства для запроса первичного маркера обновления (PRT). Для присоединенных к Microsoft Entra и гибридных устройств Microsoft Entra этот сертификат присутствует в локальном компьютере\Personal\Certificates, тогда как для зарегистрированных устройств Microsoft Entra сертификат присутствует в Current User\Personal\Certificates. Все сертификаты MS-Organization-Access имеют срок жизни по умолчанию 10 лет. Эти сертификаты удаляются из соответствующего хранилища сертификатов при отмене регистрации устройства из идентификатора Microsoft Entra. Любое непреднамеренное удаление этого сертификата приводит к сбоям проверки подлинности для пользователя и необходимости повторной регистрации устройства в таких случаях.

Вопросы и ответы о присоединении к Microsoft Entra

Разделы справки отсоединить устройство, присоединенное к Microsoft Entra локально на устройстве?

Для чистых устройств, присоединенных к Microsoft Entra, убедитесь, что у вас есть автономная учетная запись локального администратора или создайте ее. Вы не можете войти с помощью учетных данных пользователя Microsoft Entra. Затем перейдите в раздел Параметры>Учетные записи>Доступ к учетной записи места работы или учебного заведения. Выберите учетную запись и щелкните Отключить. Следуйте подсказкам и укажите учетные данные локального администратора. Перезапустите устройство, чтобы завершить процесс отсоединения.

Могут ли мои пользователи входить на присоединенные к Microsoft Entra устройства, которые удалены или отключены в Microsoft Entra ID?

Да. В Windows есть возможность кэширования имени пользователя и пароля, позволяющая пользователям, которые выполнили вход ранее, быстро получать доступ к рабочему столу даже без подключения к сети.

Если устройство удаляется или отключено в идентификаторе Microsoft Entra ID, оно не известно устройству Windows. Таким образом, пользователи, которые выполнили вход ранее, по-прежнему могут получать доступ к рабочему столу с использованием кэшированного имени пользователя и пароля. Но если устройство удалено или отключено, у пользователей не будет доступа к ресурсам, которые защищены условным доступом на основе устройств.

У пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

Может ли отключенный или удаленный пользователь войти на устройство, присоединенное к Microsoft Entra?

Да, но только в течение ограниченного времени. Если пользователь удаляется или отключается в идентификаторе Microsoft Entra ID, оно не сразу известно устройству Windows. Таким образом, у пользователей, которые выполнили вход ранее, есть доступ к рабочему столу с помощью кэшированного имени пользователя и пароля.

Как правило, устройство получает сведения о состоянии пользователя менее чем через четыре часа. Затем Windows блокирует доступ этих пользователей к рабочему столу. При удалении или отключении пользователя в идентификаторе Microsoft Entra все маркеры отзываются. Таким образом, у него нет доступа к ресурсам.

У удаленных или отключенных пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

Может ли гостевой пользователь войти на устройство, присоединенное к Microsoft Entra?

Нет, в настоящее время гостевые пользователи не могут войти на устройство, присоединенное к Microsoft Entra.

Мои пользователи не могут искать принтеры на устройствах, присоединенных к Microsoft Entra. Как включить печать с таких устройств?

Организации могут развертывать гибридную облачную печать Windows Server с предварительной проверкой подлинности или универсальной печатью для устройств, присоединенных к Microsoft Entra.

Разделы справки подключиться к удаленному устройству, присоединенном к Microsoft Entra?

Почему мои пользователи видят сообщение "Нет доступа"?

Настроены ли определенные правила условного доступа, требующие определенного состояния устройства? Если устройство не соответствует критериям, пользователи заблокированы и видят это сообщение. Оцените правила политики условного доступа. Чтобы это сообщение не отображалось, устройство должно соответствовать критериям.

Почему я получаю сообщение "имя пользователя или пароль неверный" для устройства, которое я только что присоединился к идентификатору Microsoft Entra?

Ниже перечислены распространенные причины появления такого сообщения:

  • Ваши учетные данные недействительны.
  • Компьютер не может взаимодействовать с идентификатором Microsoft Entra. Наличие проблем с сетевым подключением.
  • Для использования федеративных имен для входа требуется, чтобы сервер федерации поддерживал включенные и доступные конечные точки WS-Trust.
  • Вы включили сквозную аутентификацию. Таким образом, при входе в систему необходимо изменить временный пароль.

Как пользователи могут изменить временный или просроченный пароль на устройствах, присоединенных к Microsoft Entra?

В настоящее время устройства, присоединенные к Microsoft Entra, не вынуждают пользователей изменять пароль на экране блокировки. Таким образом, пользователи с временными или истекшими паролями будут вынуждены изменять пароли только при доступе к приложению (для которого требуется маркер Microsoft Entra) после входа в Windows.

Почему я вижу сообщение "Произошла ошибка", диалоговое окно при попытке присоединиться к компьютеру в Microsoft Entra?

Эта ошибка возникает при настройке автоматической регистрации Microsoft Entra в Intune без соответствующей лицензии. Убедитесь, что пользователь, который пытается присоединиться к Microsoft Entra, имеет правильную лицензию Intune. Дополнительные сведения см. в статье Настройка регистрации для устройств Windows.

Почему моя попытка присоединиться к Компьютеру в Microsoft Entra завершилась ошибкой, хотя я не получил никаких сведений об ошибке?

Наиболее вероятная причина — вы вошли на устройство с помощью локальной встроенной учетной записи администратора. Создайте другую локальную учетную запись, прежде чем использовать присоединение к Microsoft Entra, чтобы завершить настройку.

Что такое приложение P2P Server и почему он зарегистрирован в моем клиенте?

Приложение сервера P2P зарегистрировано идентификатором Microsoft Entra, чтобы включить подключения протокола удаленного рабочего стола (RDP) к любым устройствам, присоединенным к Microsoft Entra, или гибридным устройствам Windows, присоединенным к Microsoft Entra, в клиенте. Это приложение создает сертификат на уровне клиента, выданный центром сертификации Microsoft Entra, и используется для выдачи сертификатов устройства и пользователя RDP для подключения к RDP. Чтобы убедиться, что это правильное приложение, можно найти идентификатор объекта приложения P2P Server в приложениях Центра>администрирования Microsoft Entra Enterprise Applications>. Удалите примененный по умолчанию фильтр, чтобы просмотреть все приложения. Сравните этот идентификатор объекта с помощью API Microsoft Graph для запроса сведений с помощью GET /servicePrincipals/{objectid} и убедитесь, что свойство servicePrincipalNames имеет значение urn:p2p_cert.

Что такое сертификаты MS-Organization-P2P-Access, представленные на наших устройствах Windows 10/11?

Сертификаты MS-Organization-P2P-Access выдаются идентификатором Microsoft Entra для обоих устройств, присоединенных к Microsoft Entra, и гибридных устройств Microsoft Entra. Эти сертификаты используются для включения доверия между устройствами в одном и том же клиенте для сценариев удаленного рабочего стола. Один сертификат выдается устройству, а другой — пользователю. Сертификат устройства находится в папке Local Computer\Personal\Certificates и действителен в течение одного дня. Этот сертификат обновляется (выдав новый сертификат), если устройство по-прежнему активно в идентификаторе Microsoft Entra. Сертификат пользователя не является постоянным и действителен в течение одного часа, но он выдан по запросу, когда пользователь пытается сеанс удаленного рабочего стола на другое присоединенное устройство Microsoft Entra. Срок действия не продлевается. Оба эти сертификата выдаются с использованием сертификата MS-Organization-P2P-Access, который находится в папке Local Computer\AAD Token Issuer\Certificates. Этот сертификат выдан идентификатором Microsoft Entra во время регистрации устройства.

Как отключить кэшированный вход в систему или срок действия входа в кэш пользователя на устройствах, присоединенных к Microsoft Entra?

Невозможно отключить или истекать срок действия предыдущих кэшированных входов на устройствах, присоединенных к Microsoft Entra.

Вопросы и ответы о гибридном присоединении Microsoft Entra

Как отсоединить устройство с гибридным присоединением к Microsoft Entra локально на самом устройстве?

Для гибридных устройств, присоединенных к Microsoft Entra, обязательно отключите автоматическую регистрацию в AD с помощью статьи о контролируемой проверке . Таким образом запланированная задача не зарегистрирует устройство снова. Затем запустите командную строку от имени администратора и введите dsregcmd.exe /debug /leave. Вместо этого можно выполнить следующую команду в качестве сценария на нескольких устройствах, чтобы отсоединить устройства в пакетном режиме.

Где можно найти сведения об устранении неполадок для диагностики сбоев гибридного присоединения к Microsoft Entra?

Почему в списке устройств Microsoft Entra отображается повторяющаяся зарегистрированная запись Microsoft Entra для моего гибридного устройства Microsoft Entra 10/11 Microsoft Entra?

Когда пользователи добавляют свои учетные записи в приложения на присоединенном к домену устройстве, они могут быть предложено добавить учетную запись в Windows? Если они введите "Да " в запросе, устройство регистрируется с помощью идентификатора Microsoft Entra. Тип доверия помечается как зарегистрированная в Microsoft Entra. После включения гибридного соединения Microsoft Entra в организации устройство также получает гибридное присоединение к Microsoft Entra. После этого для одного устройства будут отображаться два состояния устройства.

В большинстве случаев гибридное соединение Microsoft Entra имеет приоритет над зарегистрированным состоянием Microsoft Entra, что приводит к тому, что устройство считается гибридным присоединенным к Microsoft Entra для любой проверки подлинности и оценки условного доступа. Однако иногда это двойное состояние может привести к недетерминированной оценке устройства и вызвать проблемы с доступом. Настоятельно рекомендуется обновить до Windows 10 версии 1803 и выше, где мы автоматически очищаем зарегистрированное состояние Microsoft Entra. Узнайте, как избежать двух состояний или удалить их на компьютере с Windows 10.

Почему у моих пользователей возникли проблемы с гибридными устройствами, присоединенными к Windows 10 Microsoft Entra, после изменения имени участника-пользователя?

Изменения UPN поддерживаются начиная с Windows 10, обновление 2004, а также применимы к Windows 11. Пользователи на устройствах с этим обновлением не столкнутся с проблемами после изменения имени субъекта-пользователя (UPN)

Изменения имени участника-пользователя в более ранних версиях Windows 10 не полностью поддерживаются с гибридными устройствами, присоединенными к Microsoft Entra. Хотя пользователи могут войти на устройство и получить доступ к локальным приложениям, проверка подлинности с помощью идентификатора Microsoft Entra завершается ошибкой после изменения имени участника-пользователя. Таким образом, у пользователей возникают проблемы с единым входом и условным доступом на своих устройствах. Чтобы устранить проблему, необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически).

Требуется ли гибридное присоединенное к Windows 10/11 устройства Microsoft Entra для контроллера домена доступ к облачным ресурсам?

Нет, за исключением случаев, когда пароль пользователя изменен. После завершения гибридного соединения Microsoft Entra с Windows 10/11, и пользователь выполнил вход по крайней мере один раз, устройство не требует прямой видимости контроллеру домена для доступа к облачным ресурсам. Windows 10/11 может получить единый вход в приложения Microsoft Entra из любого места с подключением к Интернету, за исключением случаев изменения пароля. Пользователи, выполняющие вход с помощью Windows Hello для бизнеса, продолжают получать единый вход в приложения Microsoft Entra даже после изменения пароля, даже если у них нет прямой видимости для контроллера домена.

Что происходит, если пользователь изменяет пароль и пытается войти в систему на гибридном устройстве Microsoft Entra, присоединенном к Windows 10/11 за пределами корпоративной сети?

Если пароль изменяется за пределами корпоративной сети (например, с помощью Microsoft Entra SSPR), пользователь войдите с помощью нового пароля. Для гибридных устройств, присоединенных к Microsoft Entra, локальная служба Active Directory является основным центром. Если устройство не имеет видимости контроллера домена, он не может проверить новый пароль. Пользователь должен установить подключение к контроллеру домена (через VPN или в корпоративной сети), прежде чем он сможет войти на устройство с новым паролем. В противном случае они могут выполнять вход только с помощью старого пароля из-за возможности кэширования входа в Windows. Однако старый пароль недействителен идентификатором Microsoft Entra во время запросов маркеров и поэтому предотвращает единый вход и завершается сбоем любых политик условного доступа на основе устройств, пока пользователь не пройдет проверку подлинности с новым паролем в приложении или браузере. Эта проблема не возникает, если вы используете устройства, присоединенные к Microsoft Entra.

Вопросы и ответы о регистрации Microsoft Entra

Разделы справки удалить зарегистрированное состояние Microsoft Entra для устройства локально?

  • Для зарегистрированных устройств Windows 10/11 Microsoft Entra перейдите к учетным записям>параметров>доступа к рабочим или учебным заведениям. Выберите учетную запись и щелкните Отключить. Регистрация устройства в Windows 10/11 выполняется для каждого профиля пользователя.
  • Для iOS и Android можно использовать приложение Microsoft Authenticator: войдите в раздел Параметры>Регистрация устройства и выберите Отменить регистрацию устройства.
  • Для macOS можно использовать приложение "Корпоративный портал Microsoft Intune", чтобы отменить регистрацию управления устройством и удалить все регистрации.

Для Windows 10 версии 2004 и более ранних версий этот процесс можно автоматизировать с помощью средства удаления "Присоединение к рабочему месту" (WPJ).

Примечание.

Это средство удаляет все учетные записи единого входа на устройстве. После выполнения этой операции все приложения теряют состояние единого входа, и регистрация устройством будет отменена в средствах управления (MDM) и в облаке. В следующий раз, когда приложение пытается войти в систему, пользователям будет предложено добавить учетную запись еще раз.

Как заблокировать добавление дополнительных рабочих учетных записей (зарегистрированных в Microsoft Entra) на корпоративных устройствах с Windows 10/11?

Включите следующий реестр, чтобы запретить пользователям добавлять другие рабочие учетные записи в присоединенный корпоративный домен, присоединенные к Microsoft Entra или гибридные устройства Windows 10/11. Эта политика также может использоваться для блокировки присоединенных к домену компьютеров от непреднамеренной регистрации Microsoft Entra с той же учетной записью пользователя.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001