Risolvere i problemi di co-gestione: registrare automaticamente i dispositivi Configuration Manager gestiti in Intune

Questo articolo consente di comprendere e risolvere i problemi che possono verificarsi quando si configura la co-gestione registrando automaticamente i dispositivi Configuration Manager gestiti in Intune.

In questo scenario è possibile continuare a gestire Windows 10 dispositivi usando Configuration Manager oppure spostare selettivamente i carichi di lavoro in Microsoft Intune come si vuole. Per altre informazioni su come configurare i carichi di lavoro, vedere Suggerimento per il supporto: Configurazione dei carichi di lavoro in un ambiente co-gestito.

Prima di iniziare

Prima di iniziare la risoluzione dei problemi, è importante raccogliere alcune informazioni di base sul problema e assicurarsi di seguire tutti i passaggi di configurazione necessari. Consente di comprendere meglio il problema e ridurre il tempo necessario per trovare una soluzione. A tale scopo, seguire questo elenco di controllo delle domande di pre-risoluzione dei problemi:

La maggior parte dei problemi si verifica perché uno o più di questi passaggi non sono stati completati. Se un passaggio è stato ignorato o non è stato completato correttamente, controllare i dettagli di ogni passaggio oppure vedere l'esercitazione seguente: Abilitare la co-gestione per i client Configuration Manager esistenti.

Usare il file di log seguente nei dispositivi Windows 10 per risolvere i problemi di co-gestione nel client:

%WinDir%\CCM\logs\CoManagementHandler.log

Risoluzione dei problemi di configurazione ibrida Microsoft Entra

Se si verificano problemi che interessano Microsoft Entra'identità ibrida o Microsoft Entra Connect, vedere le guide alla risoluzione dei problemi seguenti:

Se si verificano problemi che interessano Microsoft Entra join ibrido per domini gestiti o domini federati, vedere le guide alla risoluzione dei problemi seguenti:

Problemi comuni

I client non hanno ricevuto i criteri da Configuration Manager punto di gestione per avviare il processo di registrazione con Microsoft Entra ID e Intune

Questo problema si verifica a causa di un problema in Configuration Manager e non Intune. È possibile usare i file di log client per risolvere tali problemi.

Il client Configuration Manager è installato. Tuttavia, il dispositivo non viene registrato con Microsoft Entra ID e non vengono visualizzati errori

Questo problema si verifica in genere perché le impostazioni dell'agente client Configuration Manager non sono configurate per indirizzare i client alla registrazione.

Per risolvere il problema, verificare di seguire la procedura descritta in Configurare le impostazioni client per indirizzare la registrazione dei client con Microsoft Entra ID.

Il client Configuration Manager viene installato e il dispositivo viene registrato correttamente con Microsoft Entra ID. Tuttavia, il dispositivo non viene registrato automaticamente in Intune e non vengono visualizzati errori

Questo problema si verifica in genere quando la registrazione automatica non è configurata correttamente nel tenant Intune in Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

Per risolvere il problema, seguire la procedura descritta in Configurare la registrazione automatica dei dispositivi in Intune.

Non è possibile individuare il nodo di co-gestione in Amministrazione > Servizi cloud nella console di Configuration Manager

Questo problema si verifica se la versione di Configuration Manager è precedente alla versione 1906.

Per risolvere il problema, aggiornare Configuration Manager alla versione 1906 o successiva.

Microsoft Entra i dispositivi aggiunti ibridi non riescono a registrare e generare errori 0x8018002a

Quando si verifica questo problema, si notano anche i sintomi seguenti:

  • Il messaggio di errore seguente viene registrato nei log delle applicazioni e dei> serviziMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione nel Visualizzatore eventi:

    Registrazione automatica MDM: non riuscita (codice errore Win32 sconosciuto: 0x8018002a)

  • Il messaggio di errore seguente viene registrato nei log >di applicazioni e serviziMicrosoft> Windows > Microsoft Entra ID >Registro operativo nel Visualizzatore eventi:

    Errore: 0xCAA2000C La richiesta richiede l'interazione dell'utente.
    Codice: interaction_required
    Descrizione: AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere.

Questo problema si verifica quando viene applicata l'autenticazione a più fattori (MFA). Impedisce all'agente client Configuration Manager di registrare il dispositivo usando le credenziali utente registrate.

Nota

Esiste una differenza tra l'abilitazione dell'autenticazione a più fattori e l'applicazione dell'autenticazione a più fattori. Per altre informazioni sulla differenza, vedere Microsoft Entra stati utente di autenticazione a più fattori. Questo scenario funziona con l'autenticazione a più fattori abilitata ma senza l'applicazione dell'autenticazione a più fattori.

Per risolvere il problema, usare uno dei metodi seguenti:

I dispositivi non riescono a eseguire la sincronizzazione dopo la registrazione automatica

A partire da Configuration Manager versione 1906, un dispositivo co-gestito che esegue Windows 10 versione 1803 o successiva si registra automaticamente nel servizio Microsoft Intune in base ai token del dispositivo Microsoft Entra. Tuttavia, il dispositivo non riesce a eseguire la sincronizzazione e viene visualizzato il messaggio di errore seguente in Impostazioni>Account di>accesso aziendale o dell'istituto di istruzione:

La sincronizzazione non ha avuto esito positivo perché non è stato possibile verificare le credenziali. Selezionare Sincronizza per accedere e riprovare.

Screenshot del messaggio Sincronizzazione non completato.

Quando si verifica questo problema, il messaggio di errore seguente viene registrato nei log delle applicazioni e dei> serviziMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione accedere al Visualizzatore eventi:

Sessione MDM: non è stato possibile ottenere Microsoft Entra token per la sessione di sincronizzazione Token utente: (Codice di errore Win32 sconosciuto: 0xcaa2000c) Token dispositivo: (funzione non corretta).

Il messaggio di errore seguente viene registrato nei log >di applicazioni e serviziMicrosoft> Windows > Microsoft Entra ID >Registro operativo nel Visualizzatore eventi:

Errore: 0xCAA2000C La richiesta richiede l'interazione dell'utente.
Codice: interaction_required
Descrizione: AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere.

Questo problema si verifica quando l'autenticazione a più fattori è abilitata o applicata oppure Microsoft Entra criteri di accesso condizionale che richiedono l'autenticazione a più fattori vengono applicati a tutte le app cloud. Impedisce l'associazione dell'utente al dispositivo nel portale.

Screenshot che mostra che l'associazione utente non è consentita.

Per risolvere il problema, usare uno dei metodi seguenti:

  • Se L'autenticazione a più fattori è abilitata o applicata:
  • Se vengono usati Microsoft Entra criteri di accesso condizionale, escludere l'app Microsoft Intune dai criteri che richiedono l'autenticazione a più fattori per consentire la sincronizzazione del dispositivo usando le credenziali utente.

Un dispositivo Windows 10 aggiunto Microsoft Entra ibrido non riesce a eseguire la registrazione in Intune con 0x800706D9 di errore o 0x80180023

Quando si verifica questo problema, viene in genere visualizzato il messaggio di erroreseguente nei registri> applicazioni e serviziMicrosoft> Windows >DeviceManagement-Enterprise-Diagnostic-Provider>Amministrazione accedere nel Visualizzatore eventi:

Registrazione MDM: configurazione client OMA-DM non riuscita. RAWResult: (0x800706D9) Risultato: (Codice di errore Win32 sconosciuto: 0x80180023).
Registrazione MDM: provisioning non riuscito. Risultato: (Codice di errore Win32 sconosciuto: 0x80180023).
Registrazione MDM: non riuscita (codice errore Win32 sconosciuto: 0x80180023)
Registrazione MDM automatica: credenziali del dispositivo (0x80180023), non riuscita (%2)
Registrazione MDM: errore durante l'invio dell'avviso di annullamento della registrazione al server. Risultato: (funzione non corretta).
Registrazione MDM: la modifica del tipo di avvio dmwappushservice in demand-start non è riuscita. Risultato: il servizio specificato non esiste come servizio installato.

Questo problema si verifica se il dmwappushservice servizio non è presente nel dispositivo. Per verificare, eseguire services.msc per cercare questo servizio.

Per correggere il problema, attenersi alla procedura seguente:

  1. In un dispositivo funzionante che esegue la stessa versione di Windows 10 del dispositivo interessato, esportare la chiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

  2. Accedere al dispositivo interessato come amministratore locale, copiare il file .reg nel dispositivo interessato e quindi unirlo al Registro di sistema locale.

  3. Riavviare il dispositivo interessato.

  4. Eliminare la registrazione Microsoft Entra precedente e quindi aggiornare Criteri di gruppo.

  5. Riavviare di nuovo il dispositivo interessato. Il dispositivo deve essere in grado di eseguire la registrazione con Microsoft Entra ID e registrarsi automaticamente in Intune.

Microsoft Entra join ibrido non riesce in un dominio gestito con errore 0x801c03f2

Quando si esegue dsregcmd /status da un prompt dei comandi nel dispositivo, è possibile notare che si tratta di un dominio aggiunto ma non Microsoft Entra aggiunto ibrido. Il messaggio di errore seguente viene registrato nei registri applicazioni e servizi>Registrazione> dispositivo utenteMicrosoft>Windows>Amministrazione accedere al Visualizzatore eventi:

Risposta del server: {"ErrorType":"DirectoryError","Message":"Il certificato utente con chiave pubblica non è stato trovato nell'oggetto dispositivo con ID <DeviceID>".

Questo problema si verifica in una delle situazioni seguenti:

  • L'oggetto dispositivo è mancante in Microsoft Entra ID.
  • L'attributo Usercertificate non ha il certificato del dispositivo nella Active Directory locale o nella Microsoft Entra ID.

Affinché Windows 10 registrazione del dispositivo funzioni in un dominio gestito, è necessario sincronizzare prima l'oggetto dispositivo. Il processo di registrazione funziona come segue:

  • Il dispositivo Windows 10 viene avviato per la prima volta dopo l'aggiunta al dominio locale.
  • La registrazione del dispositivo viene attivata e viene creata una richiesta di certificato.
  • Quando viene creata la richiesta, la chiave pubblica del certificato viene pubblicata nell'ad locale per l'oggetto dispositivo. In questo modo viene aggiornato l'attributo Usercertificate negli oggetti dispositivo. Allo stesso tempo, la richiesta di registrazione del dispositivo firmato viene inviata a Microsoft Entra ID.
  • La registrazione non riesce perché Microsoft Entra ID non è in grado di autenticare l'oggetto dispositivo o verificare la richiesta firmata.
  • La volta successiva in cui viene eseguito il ciclo di sincronizzazione, trova l'oggetto dispositivo con l'attributo Usercertificate popolato e sincronizza l'oggetto dispositivo con Microsoft Entra ID.
  • Alla successiva attivazione del servizio di registrazione (che viene eseguito ogni ora), il dispositivo invierà una nuova richiesta firmata dalla chiave privata.
  • Azure verifica la firma nella richiesta usando il certificato pubblico ricevuto dal dominio locale durante il ciclo di sincronizzazione. Se Microsoft Entra ID è in grado di verificare la firma nella richiesta, la registrazione del dispositivo ha esito positivo.

Per correggere il problema, attenersi alla seguente procedura:

  1. In Active Directory locale verificare che l'attributo Usercertificate sia popolato e che disponga del certificato corretto.

  2. Controllare l'oggetto dispositivo back-end e assicurarsi che l'attributo Usercertificate esista e sia popolato.

  3. Se il certificato è mancante o un utente ha eliminato il certificato da ACTIVE Directory locale (che a sua volta elimina il certificato da Microsoft Entra ID), la registrazione del dispositivo ha esito negativo. Per risolvere questo problema, eseguire le operazioni seguenti nel dispositivo client:

    1. Aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire il comando seguente:

      dsregcmd /leave
      
    2. Eseguire certlm.msc per aprire l'archivio certificati del computer locale.

    3. Assicurarsi che il certificato del computer emesso da MS-Organization-Access venga eliminato.

    4. Riavviare il dispositivo client per attivare una nuova registrazione del dispositivo.

    5. Dopo il riavvio del dispositivo, assicurarsi che la nuova chiave pubblica del certificato venga aggiornata nell'oggetto dispositivo in ACTIVE Directory locale. Se sono presenti più controller di dominio, assicurarsi che l'attributo venga replicato in tutti i controller di dominio.

    6. Attivare una sincronizzazione differenziale nel server Microsoft Entra Connect.

    7. Al termine della sincronizzazione, è possibile attivare la registrazione del dispositivo riavviando il client, eseguendo il comando o eseguendo l'attività pianificata Automatic-Device-Join in Workplace Join.After the sync is completed, you can trigger device registration by restarting the client, running the dsregcmd /debug command, or running the scheduled task Automatic-Device-Join under Workplace Join.

La registrazione automatica del dispositivo non riesce con errore 0x80280036

Quando si verifica questo problema, il messaggio di errore seguente viene registrato nei registri applicazioni e servizi>Registrazione> del dispositivo utentedi Microsoft>Windows>Amministrazione accedere al Visualizzatore eventi:

DeviceRegistrationApi::BeginJoin non riuscito con codice di errore: 0x80280036

Descrizione:
Inizializzazione della richiesta di join non riuscita con codice di uscita: il TPM sta tentando di eseguire un comando disponibile solo in modalità FIPS.

Questo problema si verifica se il chip TPM nel dispositivo client ha la modalità FIPS abilitata. La modalità FIPS non è supportata o consigliata per la registrazione dei dispositivi di Azure. Per altre informazioni, vedere Perché non è più consigliabile "modalità FIPS".

Microsoft Entra join ibrido non riesce con errore 0x80090016

La registrazione ibrida Microsoft Entra di un dispositivo Windows 10 non riesce e viene visualizzato il messaggio di errore seguente:

Si è verificato un problema. Verificare di utilizzare le informazioni di accesso corrette e che l'organizzazione utilizzi questa funzionalità. È possibile provare a eseguire di nuovo questa operazione o contattare l'amministratore di sistema con il codice di errore 0x80090016

Il messaggio di errore di 0x80090016 è Keyset non esiste. Ciò significa che la registrazione del dispositivo non è riuscita a salvare la chiave del dispositivo perché le chiavi TPM non erano accessibili.

Questo problema si verifica se Windows non è il proprietario del TPM. A partire da Windows 10, il sistema operativo inizializza e assume automaticamente la proprietà del TPM. Tuttavia, se questo processo non riesce, Windows non sarà il proprietario e genererà il problema.

Per risolvere questo problema, cancellare il TPM e riavviare il dispositivo client. Per cancellare il TPM, seguire questa procedura:

  1. Aprire l'app Sicurezza di Windows.

  2. Selezionare Sicurezza del dispositivo.

  3. Selezionare Dettagli processore di sicurezza.

  4. Selezionare Risoluzione dei problemi del processore di sicurezza.

  5. Fare clic su Cancella TPM.

    Importante

    Prima di cancellare il TPM, tenere presente quanto segue:

    • La cancellazione del TPM può causare la perdita di dati. Si perderanno tutte le chiavi create associate al TPM e i dati protetti da tali chiavi, ad esempio una smart card virtuale, un PIN di accesso o chiavi BitLocker.
    • Se BitLocker è abilitato nel dispositivo, assicurarsi di disabilitare BitLocker prima di cancellare il TPM.
    • Assicurarsi di disporre di un metodo di backup e ripristino per tutti i dati protetti o crittografati dal TPM.
  6. Riavviare il dispositivo quando richiesto.

    Nota

    Durante il riavvio, l'UEFI potrebbe chiedere di premere un pulsante per confermare che si vuole cancellare il TPM. Al termine del riavvio, il TPM verrà preparato automaticamente per l'uso da parte di Windows 10.

Dopo il riavvio del dispositivo, Microsoft Entra join ibrido deve avere esito positivo. Per verificare, eseguire il dsregcmd /status comando al prompt dei comandi. Il risultato seguente indica un join riuscito:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Per altre informazioni, vedere Risolvere i problemi relativi al TPM.

Ulteriori informazioni

Per altre informazioni sulla risoluzione dei problemi di co-gestione, vedere gli articoli seguenti:

Per altre informazioni su Intune e la co-gestione Configuration Manager, vedere gli articoli seguenti: