Solucionar problemas de cogerenciamento: Bootstrap com provisionamento moderno

Este artigo ajuda você a entender e solucionar problemas que você pode encontrar ao configurar o cogerenciamento usando o caminho 2: inicializar o cliente do Configuration Manager com provisionamento moderno.

Esse cenário ocorre quando você tem novos dispositivos Windows 10 que ingressam na ID do Microsoft Entra e se registram automaticamente no Intune e, em seguida, instala o cliente do Configuration Manager para alcançar um estado de cogerenciamento.

Antes de começar

Antes de iniciar a solução de problemas, é importante coletar algumas informações básicas sobre o problema e seguir todas as etapas de configuração necessárias. Isso ajuda você a entender melhor o problema e reduzir o tempo para encontrar uma solução. Para fazer isso, siga esta lista de verificação de perguntas pré-solução de problemas:

• Qual opção de identidade híbrida do Microsoft Entra você selecionou?
• Qual é a sua autoridade atual de MDM?
• Você configurou o HTTP aprimorado?
• Você criou os serviços de nuvem no Azure?
• Você configurou o CMG (gateway de gerenciamento de nuvem)?
• Você configurou funções voltadas para o cliente para o tráfego do CMG?
• Você instalou o cliente do Configuration Manager no Intune?

A maioria dos problemas ocorre porque uma ou mais dessas etapas não foram concluídas. Se você achar que uma etapa foi ignorada ou não foi concluída com êxito, verifique os detalhes de cada etapa ou consulte o seguinte tutorial:

Tutorial: Habilitar o cogerenciamento para clientes provisionados modernos

Solução de problemas de configuração híbrida do Microsoft Entra

Se você estiver enfrentando problemas que afetam a identidade híbrida do Microsoft Entra ou o Microsoft Entra Connect, consulte os seguintes guias de solução de problemas:

• Solucionar problemas de instalação do Microsoft Entra Connect
• Solucionar erros durante a sincronização do Microsoft Entra Connect
• Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync
• Solucionar problemas de logon único contínuo do Microsoft Entra
• Solucionar problemas da autenticação de passagem do Microsoft Entra
• Solucionar problemas de logon único com os Serviços de Federação do Active Directory

Se você estiver enfrentando problemas que afetam o ingresso híbrido do Microsoft Entra para domínios gerenciados ou domínios federados, consulte os seguintes guias de solução de problemas:

• Solução de problemas de dispositivos ingressados no Microsoft Entra híbrido
• Solução de problemas de dispositivos usando o comando dsregcmd

Perguntas frequentes

Quais funções eu preciso para configurar o cogerenciamento?

Aqui estão as permissões e funções necessárias para configurar o cogerenciamento.

Qual log posso usar para validar cargas de trabalho e determinar de onde vêm as políticas e os aplicativos em um cenário de cogerenciamento?

Você pode usar o seguinte arquivo de log em dispositivos Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Como validar se meu serviço de nuvem tem um nome DNS exclusivo?

Para fazer isso, siga estas etapas:

1. Entre no portal do Azure, vá para Todos os Serviços>de Nuvem (Clássico) e clique em Adicionar.
2. No campo no nome DNS, insira um nome que você deseja usar.
3. Quando você tiver um nome disponível para uso, anote-o sem criá-lo no painel Serviço de Nuvem.
4. Crie um registro CNAME que mapeie seu domínio para <name.cloudapp.net> em servidores DNS internos e externos.

Onde posso encontrar o MSI de configuração do cliente do Configuration Manager?

Você pode encontrar o arquivo ccmsetup.msi na seguinte pasta no servidor do site do Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Como verificar a implantação do cliente do Configuration Manager do Intune para os dispositivos Windows 10 gerenciados?

Para verificar a implantação, siga estas etapas no dispositivo Windows 10:

1. Abra o Explorador de Arquivos e vá para %WinDir%\CCM\logs.
2. Abra o arquivo ADALOperationProvider.log com o CMTrace e procure Obtendo o token de ID do Microsoft Entra (usuário) e Obtendo o token de ID do Microsoft Entra (dispositivo) para verificar os tokens.
3. No CMTrace, abra o arquivo CoManagementHandler.log, procure O dispositivo já está registrado no MDM e o dispositivo provisionado para verificar o registro.
4. Abra o Painel de Controle, digite Configuration Manager na caixa de pesquisa e selecione-o.
5. Selecione a guia Geral e verifique o ponto de gerenciamento atribuído.
6. Selecione a guia Rede e verifique o ponto de gerenciamento baseado na Internet.

Problemas comuns

O Configuration Manager permite apenas um ponto de gerenciamento habilitado para HTTPS para clientes ingressados no Microsoft Entra

Esse problema ocorrerá se você usar a versão 1802 do branch atual do Configuration Manager ou uma versão anterior. Nessas versões, os pontos de gerenciamento habilitados para o CMG devem ser HTTPS. A partir da versão 1806, o ponto de gerenciamento pode ser HTTP.

Para corrigir o problema, atualize para o branch atual do Configuration Manager versão 1806 ou posterior.

Se os certificados PKI ainda são uma opção válida em vez de HTTP aprimorado

Os certificados PKI ainda são uma opção válida para você, mas têm os seguintes requisitos:

• Toda a comunicação com o cliente é feita por HTTPS.
• Você deve ter controle avançado da infraestrutura de assinatura.

Para obter mais informações, consulte HTTP aprimorado.

Não consigo encontrar a guia Comunicação do Computador Cliente na Configuração do Site

A partir da versão 1906 do branch atual do Configuration Manager, essa guia foi renomeada para Segurança de Comunicação.

A opção Usar certificados gerados pelo Configuration Manager para sistemas de sites HTTP está habilitada, mas nenhum certificado é recebido

O comportamento é esperado. Pode levar até 30 minutos para que o ponto de gerenciamento receba e configure o novo certificado do site. Você pode usar o seguinte log para rastrear, monitorar e verificar isso:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Os registros dos recursos e suas informações associadas da ID do Microsoft Entra não são criados no banco de dados do Configuration Manager

Quando você integra o site de Gerenciamento de Configuração à ID do Microsoft Entra, os recursos de usuário do Microsoft Entra não são descobertos ou preenchidos no banco de dados do Configuration Manager. Normalmente, você recebe o erro 0x87d00231 neste cenário.

Esse problema ocorre em uma das seguintes situações:

• Você não configurou com êxito as permissões de API para o registro do aplicativo no portal do Azure.
• A descoberta de usuário do Microsoft Entra não está habilitada ou configurada.

Para corrigir o problema, siga as etapas em Descoberta de usuário do Microsoft Entra para configurar permissões de API e Descoberta de usuário do Microsoft Entra. Você pode usar os seguintes logs para verificar os detalhes:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log no servidor do site
• %WinDir%\CCM\logs\CcmMessaging.log no cliente
• %WinDir%\CCM\logs\LocationServices.log no cliente

CoManagementHandler.log mostra o temporizador de inscrição na fila para disparar em...

O arquivo ADALOperationProvider.log nos dispositivos Windows mostra Obtendo o token de ID do Microsoft Entra (Usuário) e Obtendo o token de ID do Microsoft Entra (dispositivo). No entanto, o dispositivo não está registrado e a última linha em CoManagementHandler.log é Enfileiramento do temporizador de inscrição para disparar em....

Esse comportamento é esperado no Configuration Manager branch atual versão 1806 e versões posteriores. A partir da versão 1806, o registro automático não é imediato para todos os clientes. Esse comportamento ajuda a escalar melhor a inscrição para ambientes grandes. O Configuration Manager randomiza o registro com base no número de clientes. Por exemplo, se o seu ambiente tiver 100.000 clientes, a inscrição poderá ocorrer ao longo de vários dias.

Para monitorar o cogerenciamento, acesse Monitorando>o cogerenciamento no console do Configuration Manager.

Copiei o comando de instalação do cliente personalizado do console do Configuration Manager, mas o cliente do Configuration Manager não pode ser instalado

Esse problema ocorre em uma das seguintes situações:

• Os parâmetros de instalação no comando não estão em conformidade com os valores suportados.
• O comprimento da linha de comando é maior que 1.024 caracteres.

Para corrigir o problema, verifique se o comando atende ao requisito e se a linha de comando não tem mais de 1.024 caracteres.

O estado do agente do Configuration Manager não está íntegro no Intune

O Intune avalia o estado do agente do Configuration Manager com base nos ClientHealthLastSyncTime valores e ClientHealthStatus na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

O valor encontrado em ClientHealthStatus é uma combinação de vários sinalizadores que incluem:

• 1: Cliente instalado
• 2: Cliente cadastrado
• 4: Avaliação de saúde bem-sucedida
• 8: Erro de instalação ou atualização do cliente
• 16: Erro de comunicação com um ponto de gerenciamento

A seguir estão os valores comuns de ClientHealthStatus:

• 1: O cliente instalou, mas não se registrou
• 3: O cliente instalou e registrou, mas ainda não relatou uma avaliação de integridade bem-sucedida
• 5: Cliente instalado, não registrado no momento e enviado uma avaliação de integridade bem-sucedida (anteriormente)
• 7: Cliente saudável
• 23: O cliente estava íntegro, mas teve um erro de comunicação com um ponto de gerenciamento

Se o ClientHealthStatus valor for 7 (íntegro), o Intune considerará o cliente do Configuration Manager como íntegro se o ClientHealthLastSyncTime não tiver mais de 30 dias.

Se o ClientHealthStatus valor não for 7 (não íntegro), o Intune considerará o cliente do Configuration Manager como íntegro se não ClientHealthLastSyncTime tiver mais de 48 horas.

O ClientHealthLastSyncTime valor é atualizado pelo componente Notificação do Cliente do cliente Configuration Manager e o arquivo de log é CcmNotificationAgent.log.

Para solucionar esse problema, verifique o arquivo CcmNotificationAgent.log se ele ClientHealthLastSyncTime não estiver atualizado. Este é um exemplo:

Atualizando MDM_ConfigSetting.ClientHealthLastSyncTime com o valor 2019-04-01T21:42:51Z BgbAgent 02/04/2019 08:42:51 9476 (0x2504)

Se o ClientHealthLastSyncTime valor estiver atualizado, mas a hora do último check-in do agente do Configuration Manager for 01/02/1900 no Intune, isso significa que a carga de trabalho das políticas de conformidade do dispositivo é gerenciada pelo Configuration Manager. Nesse caso, alterne a carga de trabalho das políticas de conformidade para Intune ou Pilot Intune.

O ponto de conexão CMG é exibido como desconectado

O problema ocorre devido a um problema de permissões entre o sistema de sites remotos em que a função de ponto de conexão do CMG está instalada e o site primário.

O sistema de site remoto coleta o TrafficData relatório do CMG e, em seguida, envia os dados para o site primário por meio de mensagens de estado. Aqui está um trecho de log de exemplo de SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - mensagem de estado a ser enviada: ~~ProxyTrafficStateDetails< ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Como o sistema de site remoto também é um ponto de gerenciamento, essas mensagens de estado são movidas para uma caixa de saída que é acessada pelo MP File Dispatch Manager que envia os arquivos para o site primário. Aqui está um exemplo de trecho de log de mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~ Movendo 1 *. Arquivo(s) SMX de C:\SMS\MP\OUTBOXES\statemsg.box\ para \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Arquivo movido C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX para \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Quando há um problema de permissão, o MP File Dispatch Manager não pode acessar as caixas de entrada no site principal e registra o seguinte erro em mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERRO: Não é possível conectar à fonte da caixa de entrada, durma 30 segundos e tente novamente.

Para corrigir o problema, adicione a conta do computador do sistema de site remoto ao grupo Administradores Locais no site primário.

Os clientes não podem localizar o ponto de gerenciamento usando o CMG e você recebe o erro 403

Quando esse problema ocorre, o seguinte erro é registrado LocationServices.log no cliente:

[CCMHTTP] INFORMAÇÕES DE ERRO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Além disso, o seguinte erro é registrado SMS_Cloud_ProxyConnector.log no servidor de ponto de conexão CMG:

MessageID: <ID> RequestURI: https://< FQDN/>SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP / 1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Se o servidor de ponto de conexão do CMG tiver um certificado de autenticação de cliente válido, a causa mais possível será a falha na validação da CRL (Lista de Certificados Revogados) para o certificado. Se esse for o caso, você receberá o erro 0x87d0027e e o seguinte erro será registrado no log de eventos CAPI2:

A função de revogação não conseguiu verificar a revogação porque o servidor de revogação estava offline. 80092013

Além disso, se você habilitar o log detalhado definindo o valor do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registro como 1, as entradas de erro semelhantes às seguintes serão registradas SMS_Cloud_ProxyConnector.log:

Falha na compilação da cadeia cert: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Status da cadeia 0: RevocationStatusUnknown
Status da cadeia 1: OfflineRevocation
Falha na construção da cadeia cert: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Status da cadeia 0: RevocationStatusUnknown
Status da cadeia 1: OfflineRevocation
Não permitido cert: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Contagem de certificados filtrada com CA raiz permitida e tem chave privada: 0
Contagem de certificados filtrados com autenticação do cliente: 0

Recomendamos que, em vez de desabilitar automaticamente a verificação de CRL, primeiro verifique se ela funciona. No entanto, se você não conseguir fazer com que a verificação de CRL funcione corretamente, desabilite temporariamente a verificação de CRL para pontos de conexão CMG. Isso permite que um certificado de cliente seja selecionado sem executar a verificação de CRL e permite a comunicação com o ponto de gerenciamento.

Mais informações

Para obter mais informações sobre como solucionar problemas de cogerenciamento, consulte os seguintes artigos:

• Solucionar problemas de cogerenciamento: registrar automaticamente dispositivos gerenciados pelo Configuration Manager existentes no Intune
• Solucionar problemas de cargas de trabalho de cogerenciamento

Para obter mais informações sobre o cogerenciamento do Intune e do Configuration Manager, consulte os seguintes artigos:

• Visão geral do cogerenciamento do Windows 10
• Introdução: Caminhos para o cogerenciamento
• Guias de início rápido para cogerenciamento
• Tutorial: Habilitar o cogerenciamento para clientes existentes do Configuration Manager
• Como preparar dispositivos baseados na Internet para cogerenciamento