Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido
Questo articolo è applicabile solo ai dispositivi seguenti:
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Per Windows 10 o versioni successive e Windows Server 2016, vedere Risoluzione dei problemi relativi ai dispositivi Windows 10 e Windows Server 2016 aggiunti all'ambiente ibrido di Microsoft Entra.
Questo articolo presuppone che siano stati configurati dispositivi aggiunti a Microsoft Entra ibridi per supportare gli scenari seguenti:
- Accesso condizionale basato sul dispositivo
Questo articolo fornisce indicazioni sulla risoluzione di potenziali problemi.
Informazioni utili:
- Il join ibrido di Microsoft Entra per i dispositivi Windows di livello inferiore funziona in modo diverso rispetto a quello di Windows 10 o versione successiva. Molti clienti non si rendono conto di dover configurare AD FS (per i domini federati) o Seamless SSO (per i domini gestiti).
- L'accesso SSO facile non funziona in modalità di esplorazione privata nei browser Firefox e Microsoft Edge. Non funziona anche in Internet Explorer se il browser è in esecuzione in modalità protetta avanzata o se è abilitata la configurazione di sicurezza avanzata.
- Per i clienti con domini federati, se il punto di connessione del servizio (SCP) è stato configurato in modo che punti al nome di dominio gestito (ad esempio, contoso.onmicrosoft.com, anziché contoso.com), l'aggiunta ibrida a Microsoft Entra per i dispositivi Windows di livello inferiore non funziona.
- Lo stesso dispositivo fisico viene visualizzato più volte in Microsoft Entra ID quando più utenti di dominio accedono ai dispositivi aggiunti a Microsoft Entra ibrido di livello inferiore. Ad esempio: se jdoe e jharnett accedono a questo dispositivo, viene creata una registrazione separata (DeviceID) per ciascuno di questi utenti nella scheda di informazioni UTENTE.
- È anche possibile ottenere più voci per un dispositivo nella scheda delle informazioni sull'utente in seguito a una reinstallazione del sistema operativo o a una nuova registrazione manuale.
- La registrazione/aggiunta iniziale dei dispositivi è configurata in modo da eseguire un tentativo di accesso o blocco/sblocco. Potrebbero esserci 5 minuti di ritardo causati da un'attività dell'utilità di pianificazione.
- Verificare che l'aggiornamento KB4284842 sia installato in Windows 7 SP1 o Windows Server 2008 R2 SP1. Questo aggiornamento impedisce che si verifichino errori di autenticazione futuri a causa della perdita di accesso del cliente alle chiavi protette dopo la modifica della password.
- L'aggiunta ibrida a Microsoft Entra potrebbe non riuscire dopo che un utente ha modificato l'UPN, interrompendo il processo di autenticazione Seamless SSO. Durante il processo di aggiunta, si potrebbe notare che sta ancora inviando l'UPN precedente a Microsoft Entra ID, a meno che i cookie di sessione del browser non vengano cancellati o che l'utente si disconnetta esplicitamente e rimuova l'UPN precedente.
Passaggio 1: Recuperare lo stato della registrazione
Per verificare lo stato della registrazione
- Accedere con l'account utente che ha eseguito l'aggiunta ibrida a Microsoft Entra.
- Aprire il prompt dei comandi
- Digitare
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Questo comando consente di visualizzare una finestra di dialogo che fornisce dettagli relativi allo stato delle aggiunte.
Passaggio 2: Valutare lo stato di join ibrido di Microsoft Entra
Se il dispositivo non è stato aggiunto a Microsoft Entra ibrido, è possibile tentare di eseguire l'aggiunta ibrida a Microsoft Entra facendo clic sul pulsante "Partecipa". Se il tentativo di eseguire l'aggiunta ibrida di Microsoft Entra ha esito negativo, vengono visualizzati i dettagli sull'errore.
I problemi più comuni sono:
Problemi di AD FS o Microsoft Entra ID o Rete non configurati correttamente
- Autoworkplace.exe non è in grado di eseguire automaticamente l'autenticazione con Microsoft Entra ID o AD FS. Questo problema potrebbe essere causato dai servizi AD FS mancanti o non configurati correttamente (per i domini federati) o dall'accesso Single Sign-On facile di Microsoft Entra mancante o non configurato correttamente (per i domini gestiti) o da problemi di rete.
- L'autenticazione a più fattori (MFA) potrebbe essere abilitata/configurata per l'utente e WIAORMULTIAUTHN potrebbe non essere configurato sul server AD FS.
- È anche possibile che la pagina di individuazione dell'area di autenticazione principale sia in attesa dell'interazione dell'utente, impedendo ad autoworkplace.exe di richiedere automaticamente un token.
- Gli URL di AD FS e di Microsoft Entra potrebbero non essere presenti nell'area intranet di Internet Explorer sul client.
- I problemi di connettività di rete potrebbero impedire autoworkplace.exe di raggiungere AD FS o gli URL di Microsoft Entra.
- Autoworkplace.exe richiede che il client comunichi direttamente con il controller di dominio AD locale dell'organizzazione, il che significa che l'aggiunta a Microsoft Entra ibrido riesce solo quando il client è connesso alla rete intranet dell'organizzazione.
- Se l'organizzazione usa l'accesso Single Sign-On facile di Microsoft Entra,
https://autologon.microsoftazuread-sso.com
non è presente nelle impostazioni Intranet di Internet Explorer del dispositivo. - L'impostazione internet
Do not save encrypted pages to disk
è selezionata.
Non si è connessi come utente di dominio
Questo problema può verificarsi per diversi motivi:
- L'utente che ha eseguito l'accesso non è un utente di dominio, ad esempio è un utente locale. L'aggiunta ibrida di Microsoft Entra nei dispositivi di livello inferiore è supportata solo per gli utenti di dominio.
- Il client non riesce a connettersi a un controller di dominio.
Viene raggiunta una quota
Il servizio non risponde
È inoltre possibile trovare le informazioni sullo stato nel registro eventi in Registri applicazioni e servizi\Microsoft-Workplace Join
Le cause più comuni di un'aggiunta all'identità ibrida di Microsoft Entra non riuscita sono:
- Il computer non è connesso alla rete interna dell'organizzazione, né a una VPN con connessione al controller di dominio AD locale.
- Si è connessi al computer con un account computer locale.
- Problemi di configurazione del servizio:
- Il server AD FS non è configurato per supportare WIAORMULTIAUTHN.
- Nella foresta del computer non è presente alcun oggetto Punto di connessione del servizio che punti al nome di dominio verificato in Microsoft Entra ID
- Se invece il dominio è gestito, Seamless SSO non è stato configurato o non funziona.
- Un utente ha raggiunto il limite di dispositivi.