Ms organization access сертификат что это
Перейти к содержимому

Ms organization access сертификат что это

  • автор:

Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления путем автоматической регистрации существующих устройств, управляемых Configuration Manager, в Intune.

В этом сценарии можно продолжать управлять Windows 10 устройствами с помощью Configuration Manager или выборочно перемещать рабочие нагрузки в Microsoft Intune по желанию. Дополнительные сведения о настройке рабочих нагрузок см. в разделе Совет по поддержке: Настройка рабочих нагрузок в совместно управляемой среде.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и выполнить все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время на поиск решения. Для этого выполните указанный ниже контрольный список вопросов по устранению неполадок.

  • У вас есть необходимые разрешения и роли для настройки совместного управления?
  • Какой вариант гибридного удостоверения Microsoft Entra вы выбрали?
  • Каков ваш текущий центр MDM?
  • Вы установили и настроили Microsoft Entra Connect?
  • Назначили ли вы лицензию на Microsoft Entra идентификатором P1 или P2 имени участника-пользователя, которое использовалось для настройки?
  • Назначили ли вы пользователям лицензии Intune ?
  • Настроили ли вы Microsoft Entra гибридное присоединение для управляемых илифедеративных доменов?
  • Настроили ли вы параметры агента клиента Configuration Manager для Microsoft Entra гибридного присоединения?
  • Вы настроили автоматическую регистрацию в клиенте Intune?
  • Вы включили совместное управление в Configuration Manager?

Большинство проблем возникают из-за того, что один или несколько из этих шагов не были выполнены. Если вы обнаружите, что шаг был пропущен или не был успешно завершен, проверка сведения о каждом шаге или ознакомьтесь со следующим руководством: Включение совместного управления для существующих Configuration Manager клиентов.

Используйте следующий файл журнала на Windows 10 устройствах для устранения проблем совместного управления на клиенте:

Устранение неполадок конфигурации гибридной Microsoft Entra

Если у вас возникли проблемы, влияющие на Microsoft Entra гибридное удостоверение или Microsoft Entra Connect, ознакомьтесь со следующими руководствами по устранению неполадок.

  • Устранение неполадок с установкой Microsoft Entra Connect
  • Устранение ошибок при синхронизации Microsoft Entra Connect
  • Устранение неполадок синхронизации хэша паролей с Microsoft Entra Connect Sync
  • Устранение неполадок Microsoft Entra простого единого входа
  • Устранение неполадок Microsoft Entra сквозной проверке подлинности
  • Устранение неполадок с единым входом в службы федерации Active Directory (AD FS)

Если возникают проблемы, влияющие на Microsoft Entra гибридное присоединение для управляемых или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок:

  • Устранение неполадок Microsoft Entra устройствах с гибридным присоединением
  • Устройства для устранения неполадок с помощью команды dsregcmd

Распространенные проблемы

Клиенты не получили политику из точки управления Configuration Manager, чтобы начать процесс регистрации с идентификатором Microsoft Entra и Intune.

Эта проблема возникает из-за проблемы в Configuration Manager, а не Intune. Для устранения таких проблем можно использовать файлы журнала клиента .

Установлен клиент Configuration Manager. Однако устройство не регистрируется с идентификатором Microsoft Entra и ошибки не отображаются.

Эта проблема обычно возникает из-за того, что параметры агента клиента Configuration Manager не настроены для направления клиентов на регистрацию.

Чтобы устранить эту проблему, убедитесь, что вы выполните действия, описанные в разделе Настройка параметров клиента для прямой регистрации клиентов с помощью Microsoft Entra id.

Клиент Configuration Manager установлен, и устройство успешно зарегистрировано с Microsoft Entra идентификатором. Однако устройство не регистрируется автоматически в Intune и ошибки не отображаются.

Эта проблема обычно возникает, если автоматическая регистрация неправильно настроена в клиенте Intune в разделе Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

Чтобы устранить эту проблему, выполните действия, описанные в разделе Настройка автоматической регистрации устройств в Intune.

Узел совместного управления не удается найти в разделе Администрирование > Облачные службы в консоли Configuration Manager

Эта проблема возникает, если версия Configuration Manager более ранняя, чем версия 1906.

Чтобы устранить эту проблему, обновите Configuration Manager до версии 1906 или более поздней.

Microsoft Entra устройства с гибридным присоединением не удается зарегистрировать и создать 0x8018002a ошибок

При возникновении этой проблемы вы также заметите следующие симптомы:

    Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:

Автоматическая регистрация MDM: сбой (неизвестный код ошибки Win32: 0x8018002a)

Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076. Из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает при принудительном применении многофакторной проверки подлинности (MFA). Это не позволяет агенту клиента Configuration Manager регистрировать устройство с помощью учетных данных пользователя, выполнившего вход.

Существует разница между включенным и принудительным MFA. Дополнительные сведения о различиях см. в разделе Microsoft Entra состояниях пользователей многофакторной проверки подлинности. Этот сценарий работает путем включения MFA, но без принудительного применения MFA.

Чтобы устранить эту проблему, используйте один из следующих методов:

  • Присвойте MFA значение Включено, но не Принудительно. Дополнительные сведения см. в разделе Настройка многофакторной проверки подлинности.
  • Временно отключите MFA во время регистрации в доверенных IP-адресах.

Не удается синхронизировать устройства после автоматической регистрации

Начиная с Configuration Manager версии 1906, совместно управляемое устройство под управлением Windows 10 версии 1803 или более поздней автоматически регистрируется в службе Microsoft Intune на основе маркеров Microsoft Entra устройств. Однако устройство не синхронизируется, и в разделе Параметры> Учетные записиДоступ к рабочей или учебной среде появляетсяследующее сообщение об ошибке>:

Синхронизация не была выполнена полностью, так как мы не смогли проверить ваши учетные данные. Выберите Синхронизировать, чтобы войти и повторить попытку.

Снимок экрана: сообщение синхронизации выполнено не полностью.

При возникновении этой проблемы в журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider регистрируется следующее сообщение об ошибке >Администратор войдите в Просмотр событий:

Сеанс MDM: не удалось получить маркер Microsoft Entra для маркера пользователя сеанса синхронизации: (неизвестный код ошибки Win32: 0xcaa2000c) Токен устройства: (неправильная функция).

Следующее сообщение об ошибке регистрируется в журнале> приложений и службMicrosoft>Windows>Microsoft Entra идентификатор>операционного журнала в Просмотр событий:

Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
Код: interaction_required
Описание: AADSTS50076. Из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение для доступа необходимо использовать многофакторную проверку подлинности.

Эта проблема возникает, когда MFA включена или принудительно или Microsoft Entra политики условного доступа, требующие MFA, применяются ко всем облачным приложениям. Это предотвращает связь пользователя с устройством на портале.

Снимок экрана: связь с пользователем запрещена.

Чтобы устранить эту проблему, используйте один из следующих методов:

  • Если многофакторная проверка подлинности включена или принудительно:
    • Установите для MFA значение Отключено. Дополнительные сведения см. в разделе Отключение устаревшей MFA для каждого пользователя.
    • Обход MFA с помощью доверенных IP-адресов.

    Устройство Microsoft Entra гибридного присоединения Windows 10 не удается зарегистрировать в Intune с ошибкой 0x800706D9 или 0x80180023

    При возникновении этой проблемы обычно отображается следующее сообщение об ошибке в разделе Журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор войдите в Просмотр событий:

    Регистрация MDM: сбой конфигурации клиента OMA-DM. RAWResult: (0x800706D9) Результат: (Неизвестный код ошибки Win32: 0x80180023).
    Регистрация MDM: сбой подготовки. Результат: (неизвестный код ошибки Win32: 0x80180023).
    Регистрация MDM: сбой (неизвестный код ошибки Win32: 0x80180023)
    Автоматическая регистрация MDM: учетные данные устройства (0x80180023), сбой (%2)
    Отмена регистрации MDM: ошибка при отправке оповещения об отмене регистрации на сервер. Результат: (неправильная функция.).
    Отмена регистрации MDM: не удалось изменить тип запуска dmwappushservice на запрос-start. Результат: (указанная служба не существует как установленная служба.)

    Эта проблема возникает, dmwappushservice если служба отсутствует на устройстве. Чтобы проверить, выполните команду services.msc , чтобы найти эту службу.

    Для устранения данной проблемы выполните следующие действия.

    1. На рабочем устройстве под управлением той же версии Windows 10, что и затронутое устройство, экспортируйте следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
    2. Войдите на затронутое устройство в качестве локального администратора, скопируйте REG-файл на затронутое устройство, а затем объедините его с локальным реестром.
    3. Перезапустите затронутого устройства.
    4. Удалите старую регистрацию Microsoft Entra, а затем обновите групповая политика.
    5. Перезапустите затронутого устройства еще раз. Устройство должно иметь возможность зарегистрировать с помощью идентификатора Microsoft Entra и автоматически зарегистрироваться в Intune.

    Microsoft Entra гибридное присоединение в управляемом домене завершается ошибкой 0x801c03f2

    При запуске dsregcmd /status из командной строки на устройстве вы увидите, что оно присоединено к домену, но не Microsoft Entra гибридное присоединение. В журналы >приложений и службрегистрируется следующее сообщение об ошибкеРегистрация> устройствпользователей Microsoft> Windows >Администратор в Просмотр событий:

    Эта проблема возникает в одной из следующих ситуаций:

    • Объект устройства отсутствует в идентификаторе Microsoft Entra.
    • Атрибут Usercertificate не содержит сертификат устройства в локальная служба Active Directory или идентификаторе Microsoft Entra.

    Чтобы Windows 10 регистрация устройства работала в управляемом домене, сначала необходимо синхронизировать объект устройства. Процесс регистрации выполняется следующим образом:

    • Устройство Windows 10 запускается в первый раз после присоединения к локальному домену.
    • Регистрация устройства активируется и создается запрос на сертификат.
    • При создании запроса открытый ключ сертификата публикуется в локальной службе AD для объекта устройства. При этом обновляется Usercertificate атрибут объектов устройства. В то же время подписанный запрос на регистрацию устройства отправляется Microsoft Entra id.
    • Регистрация завершается ошибкой, так как Microsoft Entra идентификатор не может пройти проверку подлинности объекта устройства или проверить подписанный запрос.
    • При следующем запуске цикла синхронизации он находит объект устройства с заполненным атрибутом Usercertificate и синхронизирует объект устройства с идентификатором Microsoft Entra.
    • При следующем запуске службы регистрации (она выполняется каждый час), устройство отправит новый запрос, подписанный закрытым ключом.
    • Azure проверяет подпись в запросе с помощью общедоступного сертификата, полученного из локального домена во время цикла синхронизации. Если Microsoft Entra идентификатор может проверить подпись в запросе, регистрация устройства будет выполнена успешно.

    Для устранения данной проблемы выполните следующие действия:

    1. В локальной среде AD убедитесь, что Usercertificate атрибут заполнен и имеет правильный сертификат.
    2. Проверьте объект внутреннего устройства и убедитесь, что Usercertificate атрибут существует и заполнен.
    3. Если сертификат отсутствует или кто-то удалил его из локальной службы AD (что, в свою очередь, удаляет сертификат из идентификатора Microsoft Entra), регистрация устройства завершается ошибкой. Чтобы устранить эту проблему, выполните следующие действия на клиентском устройстве:
      1. Откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

      dsregcmd /leave 

      Автоматическая регистрация устройства завершается сбоем с ошибкой 0x80280036

      При возникновении этой проблемы в журналы> приложений и службрегистрируетсяследующее сообщение об ошибке Регистрацияустройств> Microsoft >Windows>Администратор войдите в Просмотр событий:

      Сбой DeviceRegistrationApi::BeginJoin с кодом ошибки: 0x80280036

      Описание:
      Сбой инициализации запроса на присоединение с кодом выхода. TPM пытается выполнить команду, доступную только в режиме FIPS.

      Эта проблема возникает, если на микросхеме доверенного платформенного модуля на клиентском устройстве включен режим FIPS. Режим FIPS не поддерживается и не рекомендуется для регистрации устройств Azure. Дополнительные сведения см. в разделе Почему мы больше не рекомендуем использовать режим FIPS.

      Microsoft Entra гибридное соединение завершается сбоем с 0x80090016 ошибок

      Сбой гибридной Microsoft Entra регистрации устройства Windows 10, и появляется следующее сообщение об ошибке:

      Произошла ошибка. Подтвердите, что вы используете правильные сведения для входа и что организация использует эту функцию. Вы можете попытаться сделать это еще раз или обратиться к системному администратору с кодом ошибки 0x80090016

      Сообщение об ошибке 0x80090016 : Набор ключей не существует. Это означает, что при регистрации устройства не удалось сохранить ключ устройства, так как ключи доверенного платформенного модуля не были доступны.

      Эта проблема возникает, если Windows не является владельцем доверенного платформенного модуля. Начиная с Windows 10 операционная система автоматически инициализирует TPM и становится владельцем. Однако в случае сбоя этого процесса Windows не будет владельцем и приведет к проблеме.

      Чтобы устранить эту проблему, очистите TPM и перезапустите клиентское устройство. Чтобы очистить TPM, выполните следующие действия.

      1. Откройте приложение «Безопасность Windows».
      2. Выберите Безопасность устройства.
      3. Выберите Сведения о обработчике безопасности.
      4. Выберите Устранение неполадок обработчика безопасности.
      5. Щелкните Очистить TPM.

      • Очистка доверенного платформенного модуля может привести к потере данных. Вы потеряете все созданные ключи, связанные с TPM, и данные, защищенные этими ключами, такие как виртуальная интеллектуальная карта, ПИН-код входа или ключи BitLocker.
      • Если bitLocker включен на устройстве, убедитесь, что bitLocker отключен, прежде чем очищать доверенный платформенный модуль.
      • Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных TPM.

      Примечание. Во время перезапуска UEFI может предложить нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM. После завершения перезапуска TPM будет автоматически подготовлен к использованию Windows 10.

      После перезапуска устройства Microsoft Entra гибридное соединение должно быть успешным. Для проверки выполните dsregcmd /status команду в командной строке. Следующий результат указывает на успешное соединение:

      AzureAdJoined : YES DomainName : \

      Дополнительная информация

      Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

      • Устранение неполадок совместного управления: начальная загрузка с современной подготовкой
      • Устранение неполадок с рабочими нагрузками совместного управления

      Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях:

      • Общие сведения о совместном управлении Windows 10
      • начало работы: пути к совместному управлению
      • Краткие руководства по совместному управлению
      • Руководство. Включение функции совместного управления в существующих клиентах Configuration Manager

      Обратная связь

      Были ли сведения на этой странице полезными?

      Генерация запроса CSR в Microsoft OWA (Outlook Web Access)

      1. Используйте диспетчер служб Интернета.
      2. Щелкните правой кнопкой мыши сайт, на котором размещается ваш компонент OWA (по умолчанию это «Веб-сайт по умолчанию») и откройте его свойства.
      3. Выберите вкладку «Безопасность каталога» и нажмите «Сертификаты сервера». Вы увидите «Мастер сертификатов веб-серверов», нажмите «Далее».
      4. В диалоговом окне «Сертификат сервера» (ниже) выбирите «Создать новый сертификат», нажмите «Далее».
      5. В диалоговом окне «Задержка или немедленный запрос» выберите «Подготовьте запрос сейчас, но отправьте его позже», нажмите «Далее».
      6. Вам откроется диалоговое окно «Имя и безопасность». Дайте вашему новому сертификату имя, а также выберите уровень безопасности 2048, нажмите «Далее».
      7. В диалоговом окне «Информация о организации» (ниже) введите имя своей организации. Это должно быть юридическое название подтвержденное в документах, так как это имя, которое будет отображаться в вашем сертификате. Организационным подразделением может быть подразделение, подразделение или подразделение в вашей компании.
      8. В диалоговом окне «Общее имя» (ниже) вы должны ввести полное доменное имя нашего веб-сервера.

      Вы создали «запрос подписи сертификата», который понадобится при подаче заявления на получение сертификата.

      Чтобы сохранить закрытый ключ перейдите к привязке сертификатов в MMC

      • Выберите Запросы
      • Выбрать Все задачи
      • Выберите Экспорт

       DV OV EV WC SAN PRO CodeSign Email PDF Wi-Fi IoT ALL Купить сертификат

      NO russia - мы не осблуживаем резидентов из россии

      Copyright © 1997-2024 adgrafics

      Часто задаваемые вопросы об управлении устройствами Microsoft Entra

      Устройства с Windows 10 или более поздней версии, присоединенные к гибридной среде Microsoft Entra, не отображаются на устройствах USER. Используйте представление «Все устройства«. Вы также можете использовать командлет Get-MgDevice PowerShell.

      В списке устройств пользователей перечислены только следующие устройства:

      • Все личные устройства, которые не присоединены к гибридной среде Microsoft Entra.
      • Все устройства без Windows 10 и более поздней версии и без Windows Server 2016 и более поздней версии.
      • Все устройства не на платформе Windows.

      Как узнать состояние регистрации устройства клиента?

      Перейдите ко всем устройствам. Найдите устройство по его идентификатору. Посмотрите значение в столбце «Тип соединения». Иногда может оказаться, что выполнялся сброс или пересоздание образа устройства. Таким образом, важно также проверить состояние регистрации устройства на самом устройстве:

      • Для устройств с Windows 10 и более поздней версии и с Windows Server 2016 или более поздней версии запустите dsregcmd.exe /status .
      • Для версий ОС нижнего уровня запустите %programFiles%\Microsoft Workplace Join\autoworkplace.exe .

      Сведения об устранении неполадок можно найти в этих статьях:

      • Устранение неполадок с устройствами с помощью команды dsregcmd
      • Устранение неполадок с устройствами под управлением Windows 10 и Windows Server 2016 с гибридным подключением к Microsoft Entra
      • Устранение неполадок с устройствами нижнего уровня с гибридным присоединением к Microsoft Entra

      Локальные пользователи AD в моей организации разделены на два или более разных клиентов в идентификаторе Microsoft Entra. Получает ли windows PRT для каждого клиента на клиентском компьютере?

      Клиенты Windows получают PRT из идентификатора Microsoft Entra, если пользователь и устройство принадлежат одному клиенту. Пользователь не получит PRT для другого клиента, если устройство не зарегистрировано или пользователь не является членом. Если два пользователя клиента доверяют друг другу через доступ B2B, вы всегда можете создать межтенантный доступ B2B и доверять утверждениям устройств из домашнего клиента.

      Я вижу запись устройства в разделе сведений о пользователе, и я вижу состояние как зарегистрированное. Правильно ли оно настроено для применения условного доступа?

      Состояние соединения устройства, отображаемое идентификатором deviceID, должно соответствовать состоянию идентификатора Microsoft Entra и соответствовать любым критериям оценки условного доступа. См. дополнительные сведения о требовании использовать только управляемые устройства для доступа к облачным приложениям с помощью условного доступа.

      Почему пользователи видят сообщение об ошибке «Ваша организация удалила устройство» или «Ваша организация отключила устройство» на своих устройствах с Windows 10/11?

      На устройствах Windows 10/11, присоединенных или зарегистрированных в идентификаторе Microsoft Entra, пользователи выдают первичный маркер обновления (PRT), который включает единый вход. Действительность PRT зависит от действительности самого устройства. Пользователи видят это сообщение, если устройство удалено или отключено в идентификаторе Microsoft Entra, не инициируя действие с самого устройства. Устройство можно удалить или отключить в Microsoft Entra один из следующих сценариев:

      • Пользователь отключает устройство на портале «Мои приложения».
      • Администратор (или пользователь) удаляет или отключает устройство.
      • Только гибридное присоединение к Microsoft Entra: администратор удаляет подразделения устройств из синхронизации область что приводит к удалению устройств из идентификатора Microsoft Entra.
      • Только гибридное присоединение к Microsoft Entra: администратор отключает локальную учетную запись компьютера, что приводит к отключению устройства в идентификаторе Microsoft Entra.
      • Обновление Microsoft Entra Подключение до версии 1.4.xx.x. Общие сведения об исчезновении устройств в Microsoft Entra Подключение 1.4.xx.x и устройствах.

      Я отключил или удалил свое устройство, но локальное состояние на устройстве говорит, что оно по-прежнему зарегистрировано. Что делать?

      Это сделано намеренно. В этом случае у устройства нет доступа к ресурсам в облаке. Администраторы могут выполнять это действие для устаревших, потерянных или украденных устройств, чтобы предотвратить несанкционированный доступ. Если это действие было выполнено непреднамеренно, необходимо повторно включить или повторно зарегистрировать устройство, выполнив следующие действия.

        Если устройство было отключено в идентификаторе Microsoft Entra, администратор с достаточными привилегиями может включить его в Центре администрирования Microsoft Entra

      Примечание. Если вы синхронизируете устройства с помощью Microsoft Entra Подключение, гибридные устройства, присоединенные к Microsoft Entra, будут автоматически включены во время следующего цикла синхронизации. Таким образом, если необходимо отключить гибридное устройство, присоединенное к Microsoft Entra, необходимо отключить его из локальной ad

      1. Запустите командную строку от имени администратора.
      2. Введите dsregcmd.exe /debug /leave .
      3. Выйдите и войдите, чтобы активировать запланированную задачу, которая снова регистрирует устройство с идентификатором Microsoft Entra.

      Для версий ОС Windows нижнего уровня, присоединенных к гибридной среде Microsoft Entra, выполните следующие действия.

      1. Запустите командную строку от имени администратора.
      2. Введите «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l» .
      3. Введите «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j» .

      Для устройств Windows 10/11, присоединенных к Microsoft Entra, сделайте следующее:

      1. Запустите командную строку от имени администратора.
      2. Введите dsregcmd /forcerecovery (для выполнения этого действия требуются права администратора).
      3. Щелкните «Войти» в открывшемся диалоговом окне и продолжайте процесс входа.
      4. Выйдите и снова войдите на устройство, чтобы завершить восстановление.

      Для зарегистрированных устройств Windows 10/11 в Microsoft Entra выполните следующие действия:

      1. Откройте Настройки>Учетные записи>Доступ к рабочей или учебной учетной записи.
      2. Выберите учетную запись и щелкните Отключить.
      3. Щелкните «+ Подключить» и зарегистрируйте устройство еще раз, выполнив процесс входа.

      Почему отображаются повторяющиеся записи устройства?

      • Несколько попыток отсоединить, а затем присоединить одно и то же устройство с Windows 10 или более поздней версии либо с Windows Server 2016 или более поздней версии могут привести к появлению повторяющихся записей.
      • Каждый пользователь Windows, нажавший кнопку Добавить рабочую или учебную учетную запись, создает запись устройства с тем же именем.
      • Для версий ОС Windows нижнего уровня, присоединенных к локальному домену Azure Directory, с помощью автоматической регистрации для каждого пользователя домена, который входит в устройство, создается запись устройства с тем же именем.
      • Присоединенный к Microsoft Entra компьютер, на котором были выполнены очистка, повторная установка и повторное присоединение с тем же именем, будет отображен как еще одна запись с тем же именем устройства.

      Поддерживает ли регистрация устройств Windows 10/11 в идентификаторе Microsoft Entra ID в режиме FIPS?

      Регистрация устройств с Windows 10/11 поддерживается только для FIPS-совместимого доверенного платформенного модуля версии 2.0 и не поддерживается для версии 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить присоединение к Microsoft Entra или гибридное соединение Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.

      Почему пользователь по-прежнему может получить доступ к ресурсам с устройства, которое я отключил?

      С момента отключения устройства Microsoft Entra требуется до часа.

      Для зарегистрированного устройства рекомендуется очистить его, чтобы пользователи не смогли получить доступ к его ресурсам. Дополнительные сведения см. в статье Что такое регистрация устройств?.

      Почему не удается добавить более 3 учетных записей пользователей Microsoft Entra в одном сеансе пользователя на устройстве с Windows 10/11?

      Идентификатор Microsoft Entra добавил поддержку нескольких учетных записей Microsoft Entra, начиная с выпуска Windows 10 1803. Однако Windows 10/11 ограничивает количество учетных записей Microsoft Entra на устройстве до 3, чтобы ограничить размер запросов токенов и включить надежный единый вход .. После добавления 3 учетных записей пользователи видят ошибку для последующих учетных записей. В разделе «Дополнительная информация о проблеме» на экране ошибок приводится следующее сообщение с указанием причины: «Операция добавления учетной записи заблокирована, поскольку достигнут лимит учетных записей».

      Что такое сертификаты MS-Organization-Access, представленные на наших устройствах Windows 10/11?

      Сертификаты MS-Organization-Access выдаются службой регистрации устройств Microsoft Entra во время процесса регистрации устройства. Эти сертификаты выдаются всем типам соединений, поддерживаемым в Windows — присоединение к Microsoft Entra, гибридное присоединение Microsoft Entra и зарегистрированные устройства Microsoft Entra. После выдачи они используются в процессе проверки подлинности с устройства для запроса первичного маркера обновления (PRT). Для присоединенных к Microsoft Entra и гибридных устройств Microsoft Entra этот сертификат присутствует в локальном компьютере\Personal\Certificates, тогда как для зарегистрированных устройств Microsoft Entra сертификат присутствует в Current User\Personal\Certificates. Все сертификаты MS-Organization-Access имеют срок действия по умолчанию 10 лет, однако эти сертификаты удаляются из соответствующего хранилища сертификатов, если устройство не зарегистрировано из идентификатора Microsoft Entra. Любое непреднамеренное удаление этого сертификата приводит к сбоям проверки подлинности для пользователя и потребует повторной регистрации устройства в таких случаях.

      Вопросы и ответы о присоединении к Microsoft Entra

      Разделы справки отсоединить устройство, присоединенное к Microsoft Entra локально на устройстве?

      Для чистых устройств, присоединенных к Microsoft Entra, убедитесь, что у вас есть автономная учетная запись локального администратора или создайте ее. Вы не можете войти с помощью учетных данных пользователя Microsoft Entra. Затем перейдите в раздел Параметры>Учетные записи>Доступ к учетной записи места работы или учебного заведения. Выберите учетную запись и щелкните Отключить. Следуйте подсказкам и укажите учетные данные локального администратора. Перезапустите устройство, чтобы завершить процесс отсоединения.

      Могут ли мои пользователи входить на присоединенные к Microsoft Entra устройства, которые удалены или отключены в Microsoft Entra ID?

      Да. В Windows есть возможность кэширования имени пользователя и пароля, позволяющая пользователям, которые выполнили вход ранее, быстро получать доступ к рабочему столу даже без подключения к сети.

      Если устройство удаляется или отключено в идентификаторе Microsoft Entra ID, оно не известно устройству Windows. Таким образом, пользователи, которые выполнили вход ранее, по-прежнему могут получать доступ к рабочему столу с использованием кэшированного имени пользователя и пароля. Но если устройство удалено или отключено, у пользователей не будет доступа к ресурсам, которые защищены условным доступом на основе устройств.

      У пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

      Может ли отключенный или удаленный пользователь войти на устройство, присоединенное к Microsoft Entra?

      Да, но только в течение ограниченного времени. Если пользователь удаляется или отключается в идентификаторе Microsoft Entra ID, оно не сразу известно устройству Windows. Таким образом, у пользователей, которые выполнили вход ранее, есть доступ к рабочему столу с помощью кэшированного имени пользователя и пароля.

      Как правило, устройство получает сведения о состоянии пользователя менее чем через четыре часа. Затем Windows блокирует доступ этих пользователей к рабочему столу. При удалении или отключении пользователя в идентификаторе Microsoft Entra все маркеры отзываются. Таким образом, у него нет доступа к ресурсам.

      У удаленных или отключенных пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

      Может ли гостевой пользователь войти на устройство, присоединенное к Microsoft Entra?

      Нет, в настоящее время гостевые пользователи не могут войти на устройство, присоединенное к Microsoft Entra.

      Мои пользователи не могут искать принтеры на устройствах, присоединенных к Microsoft Entra. Как включить печать с таких устройств?

      Разделы справки подключиться к удаленному устройству, присоединенном к Microsoft Entra?

      Почему мои пользователи видят сообщение «Нет доступа»?

      Настроены ли определенные правила условного доступа, требующие определенного состояния устройства? Если устройство не соответствует критериям, пользователи заблокированы и видят это сообщение. Оцените правила политики условного доступа. Чтобы это сообщение не отображалось, устройство должно соответствовать критериям.

      Почему я получаю сообщение «имя пользователя или пароль неверный» для устройства, которое я только что присоединился к идентификатору Microsoft Entra?

      Ниже перечислены распространенные причины появления такого сообщения:

      • Ваши учетные данные недействительны.
      • Компьютер не может взаимодействовать с идентификатором Microsoft Entra. Наличие проблем с сетевым подключением.
      • Для использования федеративных имен для входа требуется, чтобы сервер федерации поддерживал включенные и доступные конечные точки WS-Trust.
      • Вы включили сквозную аутентификацию. Таким образом, при входе в систему необходимо изменить временный пароль.

      Как пользователи могут изменить временный или просроченный пароль на устройствах, присоединенных к Microsoft Entra?

      В настоящее время устройства, присоединенные к Microsoft Entra, не вынуждают пользователей изменять пароль на экране блокировки. Таким образом, пользователи с временными или истекшими паролями будут вынуждены изменять пароли только при доступе к приложению (для которого требуется маркер Microsoft Entra) после входа в Windows.

      Почему я вижу сообщение «Произошла ошибка», диалоговое окно при попытке присоединиться к компьютеру в Microsoft Entra?

      Эта ошибка возникает при настройке автоматической регистрации Microsoft Entra в Intune без надлежащей лицензии. Убедитесь, что пользователь, который пытается присоединиться к Microsoft Entra, имеет правильную лицензию Intune. Дополнительные сведения см. в статье Настройка регистрации для устройств Windows.

      Почему моя попытка присоединиться к Компьютеру в Microsoft Entra завершилась ошибкой, хотя я не получил никаких сведений об ошибке?

      Наиболее вероятная причина — вы вошли на устройство с помощью локальной встроенной учетной записи администратора. Создайте другую локальную учетную запись, прежде чем использовать присоединение к Microsoft Entra, чтобы завершить настройку.

      Что такое сертификаты MS-Organization-P2P-Access, представленные на наших устройствах Windows 10/11?

      Сертификаты MS-Organization-P2P-Access выдаются идентификатором Microsoft Entra для обоих устройств, присоединенных к Microsoft Entra, и гибридных устройств Microsoft Entra. Эти сертификаты используются для включения доверия между устройствами в одном и том же клиенте для сценариев удаленного рабочего стола. Один сертификат выдается устройству, а другой — пользователю. Сертификат устройства находится в папке Local Computer\Personal\Certificates и действителен в течение одного дня. Этот сертификат обновляется (выдав новый сертификат), если устройство по-прежнему активно в идентификаторе Microsoft Entra. Сертификат пользователя не является постоянным и действителен в течение одного часа, но он выдан по запросу, когда пользователь пытается сеанс удаленного рабочего стола на другое присоединенное устройство Microsoft Entra. Срок действия не продлевается. Оба эти сертификата выдаются с использованием сертификата MS-Organization-P2P-Access, который находится в папке Local Computer\AAD Token Issuer\Certificates . Этот сертификат выдан идентификатором Microsoft Entra во время регистрации устройства.

      Как отключить кэшированный вход в систему или срок действия входа в кэш пользователя на устройствах, присоединенных к Microsoft Entra?

      Невозможно отключить или истекать срок действия предыдущих кэшированных входов на устройствах, присоединенных к Microsoft Entra.

      Вопросы и ответы о гибридном присоединении Microsoft Entra

      Как отсоединить устройство с гибридным присоединением к Microsoft Entra локально на самом устройстве?

      Для гибридных устройств, присоединенных к Microsoft Entra, обязательно отключите автоматическую регистрацию в AD с помощью статьи о контролируемой проверке . Таким образом запланированная задача не зарегистрирует устройство снова. Затем запустите командную строку от имени администратора и введите dsregcmd.exe /debug /leave . Вместо этого можно выполнить следующую команду в качестве сценария на нескольких устройствах, чтобы отсоединить устройства в пакетном режиме.

      Где можно найти сведения об устранении неполадок для диагностики сбоев гибридного присоединения к Microsoft Entra?

      Сведения об устранении неполадок можно найти в этих статьях:

      • Устранение неполадок с устройствами под управлением Windows 10 и Windows Server 2016 с гибридным подключением к Microsoft Entra
      • Устранение неполадок с устройствами нижнего уровня с гибридным присоединением к Microsoft Entra

      Почему в списке устройств Microsoft Entra отображается повторяющаяся зарегистрированная запись Microsoft Entra для моего гибридного устройства Microsoft Entra 10/11 Microsoft Entra?

      Когда пользователи добавляют свои учетные записи в приложения на присоединенном к домену устройстве, они могут быть предложено добавить учетную запись в Windows? Если они введите «Да » в запросе, устройство регистрируется с помощью идентификатора Microsoft Entra. Тип доверия помечается как зарегистрированная в Microsoft Entra. После включения гибридного соединения Microsoft Entra в организации устройство также получает гибридное присоединение к Microsoft Entra. После этого для одного устройства будут отображаться два состояния устройства.

      В большинстве случаев гибридное соединение Microsoft Entra имеет приоритет над зарегистрированным состоянием Microsoft Entra, что приводит к тому, что устройство считается гибридным присоединенным к Microsoft Entra для любой проверки подлинности и оценки условного доступа. Однако иногда это двойное состояние может привести к недетерминированной оценке устройства и вызвать проблемы доступа. Настоятельно рекомендуется обновить до Windows 10 версии 1803 и выше, где мы автоматически очищаем зарегистрированное состояние Microsoft Entra. Узнайте, как избежать двух состояний или удалить их на компьютере с Windows 10.

      Почему у моих пользователей возникли проблемы с гибридными устройствами, присоединенными к Windows 10 Microsoft Entra, после изменения имени участника-пользователя?

      В настоящее время изменения имени участника-участника-участника не поддерживаются с гибридными устройствами, присоединенными к Microsoft Entra. Хотя пользователи могут войти на устройство и получить доступ к локальным приложениям, проверка подлинности с помощью идентификатора Microsoft Entra завершается ошибкой после изменения имени участника-пользователя. Таким образом, у пользователей возникают проблемы с единым входом и условным доступом на своих устройствах. В настоящее время необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически), чтобы устранить проблему.

      Изменения UPN поддерживаются начиная с Windows 10, обновление 2004, а также применимы к Windows 11. Пользователи на устройствах с этим обновлением не будут иметь никаких проблем после изменения имени участника-пользователя

      Требуется ли гибридное присоединенное к Windows 10/11 устройства Microsoft Entra для контроллера домена доступ к облачным ресурсам?

      Нет, за исключением случаев, когда пароль пользователя изменен. После завершения гибридного соединения Microsoft Entra с Windows 10/11, и пользователь выполнил вход по крайней мере один раз, устройство не требует прямой видимости контроллеру домена для доступа к облачным ресурсам. Windows 10/11 может получить единый вход в приложения Microsoft Entra из любого места с подключением к Интернету, за исключением случаев изменения пароля. Пользователи, выполняющие вход с помощью Windows Hello для бизнеса, продолжают получать единый вход в приложения Microsoft Entra даже после изменения пароля, даже если у них нет прямой видимости для контроллера домена.

      Что происходит, если пользователь изменяет пароль и пытается войти в систему на гибридном устройстве Microsoft Entra, присоединенном к Windows 10/11 за пределами корпоративной сети?

      Если пароль изменяется за пределами корпоративной сети (например, с помощью Microsoft Entra SSPR), пользователь войдите с помощью нового пароля. Для гибридных устройств, присоединенных к Microsoft Entra, локальная служба Active Directory является основным центром. Если устройство не имеет видимости контроллера домена, он не может проверить новый пароль. Поэтому пользователь должен установить подключение к контроллеру домена (через VPN или находясь в корпоративной сети), прежде чем он сможет войти на устройство с новым паролем. В противном случае они могут выполнять вход только с помощью старого пароля из-за возможности кэширования входа в Windows. Однако старый пароль недействителен идентификатором Microsoft Entra во время запросов маркеров и поэтому предотвращает единый вход и завершается сбоем любых политик условного доступа на основе устройств, пока пользователь не пройдет проверку подлинности с новым паролем в приложении или браузере. Эта проблема не возникает при использовании Windows Hello для бизнеса.

      Вопросы и ответы о регистрации Microsoft Entra

      Разделы справки удалить зарегистрированное состояние Microsoft Entra для устройства локально?

      • Для устройств, зарегистрированных в Windows 10/11 Microsoft Entra, перейдите к Параметры>Accounts>Access Work или School. Выберите учетную запись и щелкните Отключить. Регистрация устройства в Windows 10/11 выполняется для каждого профиля пользователя.
      • Для iOS и Android можно использовать приложение Microsoft Authenticator: войдите в раздел Параметры>Регистрация устройства и выберите Отменить регистрацию устройства.
      • Для macOS можно использовать приложение «Корпоративный портал Microsoft Intune», чтобы отменить регистрацию управления устройством и удалить все регистрации.

      Для устройств Windows 10 версии 2004 этот процесс можно автоматизировать с помощью средства удаления Workplace Join (WPJ)

      Это средство удаляет все учетные записи единого входа на устройстве. После выполнения этой операции все приложения теряют состояние единого входа, и регистрация устройством будет отменена в средствах управления (MDM) и в облаке. В следующий раз, когда приложение пытается войти в систему, пользователям будет предложено добавить учетную запись еще раз.

      Как заблокировать добавление дополнительных рабочих учетных записей (зарегистрированных в Microsoft Entra) на корпоративных устройствах с Windows 10/11?

      Включите следующий реестр, чтобы запретить пользователям добавлять другие рабочие учетные записи в присоединенный корпоративный домен, присоединенные к Microsoft Entra или гибридные устройства Windows 10/11. Эта политика также может использоваться для блокировки присоединенных к домену компьютеров от непреднамеренной регистрации Microsoft Entra с той же учетной записью пользователя.

      Можно ли зарегистрировать устройства BYOD на платформе Android или iOS?

      Да, но только с помощью службы регистрации устройств Azure и только для клиентов, использующих гибридное присоединение. Не поддерживается с локальной службой регистрации устройств в службах федерации Active Directory (AD FS).

      Как можно зарегистрировать устройство macOS?

      Выполните следующие шаги:

      1. Создайте политику соответствия.
      2. Определите политику условного доступа для устройств macOS

      Примечания:

      • Для доступа к ресурсам пользователям, включенным в политику условного доступа, нужна поддерживаемая версия Microsoft Office для macOS.
      • Во время первой попытки доступа пользователям предлагается зарегистрировать устройство с помощью корпоративного портала.

      Следующие шаги

      • Подробнее о зарегистрированных устройствах в Microsoft Entra
      • Подробнее о присоединенных к Microsoft Entra устройствах
      • Подробнее об устройствах, присоединенных к Microsoft Entra с помощью гибридного присоединения
      • Средство поиска ошибок (Майкрософт)

      Обратная связь

      Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see: https://aka.ms/ContentUserFeedback.

      Отправить и просмотреть отзыв по

      What is «ms-organization-access» certificate why is it showing up in thycotic

      I have been trying to fix an issue with our Thycotic Server for months now and can’t seem to find the help we have contacted both Microsoft and Thycotic support and both blame one another and me the customer never gets the problem solved. So I come to you Spiceheads before I just suggest we move to another password vault site.

      Every time I connect to our Thycotic server I get a security prompt asking me to «Select a certificate to authenticate yourself to (site name)» and the certificate listed has a long alphanumeric string and the issuer is «ms-organization-access».

      What is this certificate and how can I stop this from happening.

      Tag by Jordan (Thycotic)

      • local_offer Tagged Items
      • Jordan (Thycotic)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *