共同管理疑难解答：自动将现有Configuration Manager管理的设备注册到Intune

本文通过自动将现有Configuration Manager管理的设备注册到Intune，帮助你了解和排查在设置共同管理时可能遇到的问题。

在此方案中，可以使用Configuration Manager继续管理Windows 10设备，也可以根据需要有选择地将工作负载移动到Microsoft Intune。 有关如何配置工作负荷的详细信息，请参阅 支持提示：在共同管理的环境中配置工作负载。

准备工作

在开始故障排除之前，请务必收集有关该问题的一些基本信息，并确保遵循所有必需的配置步骤。 它可帮助你更好地了解问题并减少查找解决方案的时间。 为此，请按照以下故障排除前问题清单进行操作：

• 是否具有配置共同管理所需的 权限和角色 ？
• 你选择了哪个Microsoft Entra混合标识选项？
• 你当前的 MDM 机构是什么？
• 是否已安装和配置 Microsoft Entra Connect？
• 是否向用于配置的 UPN 分配了Microsoft Entra ID P1 或 P2 许可证？
• 是否向用户分配了Intune许可证？
• 是否为托管域或联合域配置了Microsoft Entra混合加入？
• 是否为Microsoft Entra混合联接配置了Configuration Manager客户端代理设置？
• 是否在Intune租户中配置了自动注册？
• 是否在 Configuration Manager 中启用了共同管理？

出现大多数问题的原因是其中一个或多个步骤未完成。 如果发现某个步骤已跳过或未成功完成，检查每个步骤的详细信息，或参阅以下教程：为现有Configuration Manager客户端启用共同管理。

在 Windows 10 设备上使用以下日志文件来排查客户端上的共同管理问题：

%WinDir%\CCM\logs\CoManagementHandler.log

排查混合Microsoft Entra配置问题

如果遇到影响Microsoft Entra混合标识或 Microsoft Entra Connect 的问题，请参阅以下故障排除指南：

• 排查Microsoft Entra Connect 安装问题
• 排查Microsoft Entra Connect 同步期间出现的错误
• 使用 Microsoft Entra Connect Sync 排查密码哈希同步问题
• 排查Microsoft Entra无缝单一登录问题
• 排查Microsoft Entra直通身份验证问题
• 排查Active Directory 联合身份验证服务的单一登录问题

如果遇到影响托管域或联合域Microsoft Entra混合加入的问题，请参阅以下故障排除指南：

• 混合联接设备Microsoft Entra故障排除
• 使用 dsregcmd 命令对设备进行故障排除

常见问题

客户端未从Configuration Manager管理点收到策略，无法通过 Microsoft Entra ID 和 Intune 启动注册过程

出现此问题的原因是Configuration Manager中的问题，而不是Intune。 可以使用 客户端日志文件 来排查此类问题。

已安装Configuration Manager客户端。 但是，设备未注册到 Microsoft Entra ID并且未看到任何错误

出现此问题的原因通常是，Configuration Manager客户端代理设置未配置为指示客户端进行注册。

若要解决此问题，请验证是否按照配置客户端设置中的步骤操作，以指示客户端向Microsoft Entra ID注册。

已安装 Configuration Manager 客户端，并且设备已成功注册到 Microsoft Entra ID。 但是，设备不会自动注册到 Intune并且未看到任何错误

当Intune租户中的自动注册在 Microsoft Entra ID Mobility (>MDM 和 MAM) >Microsoft Intune 下配置错误时，通常会发生此问题。

若要解决此问题，请按照配置要Intune的设备自动注册中的步骤操作。

无法在Configuration Manager控制台的“管理>云服务”下找到共同管理节点

如果 Configuration Manager 的版本早于版本 1906，则会出现此问题。

若要解决此问题，请将Configuration Manager更新到版本 1906 或更高版本。

Microsoft Entra混合联接的设备无法注册并生成错误0x8018002a

出现此问题时，还会注意到以下症状：

• 以下错误消息记录在应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>管理员日志事件查看器：

  自动 MDM 注册：失败 (未知 Win32 错误代码： 0x8018002a)

• 以下错误消息记录在应用程序和服务日志>Microsoft>Windows>Microsoft Entra ID>Operational 日志事件查看器：

  错误：0xCAA2000C 请求需要用户交互。
  代码：interaction_required
  说明：AADSTS50076：由于管理员进行了配置更改，或者你移动到了新位置，必须使用多重身份验证才能访问。

强制实施多重身份验证 (MFA) 时，会出现此问题。 它阻止Configuration Manager客户端代理使用登录的用户凭据注册设备。

若要解决此问题，请使用以下方法之一：

• 将 MFA 设置为“已启用”，但未设置为“强制”。 有关详细信息，请参阅 设置多重身份验证。
• 在 受信任的 IP 中注册期间暂时禁用 MFA。

自动注册后设备无法同步

从 Configuration Manager 版本 1906 开始，运行 Windows 10 版本 1803 或更高版本的共同托管设备会根据其Microsoft Entra设备令牌自动注册到Microsoft Intune服务。 但是，设备无法同步，你在“设置帐户>访问工作或学校”>中收到以下错误消息：

同步未完全成功，因为我们无法验证你的凭据。 选择“同步”以登录并重试。

发生此问题时，应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> 中记录以下错误消息管理员日志事件查看器：

MDM 会话：无法获取同步会话的Microsoft Entra令牌 用户令牌： (未知的 Win32 错误代码：0xcaa2000c) 设备令牌： (函数) 不正确。

以下错误消息记录在应用程序和服务日志>Microsoft>Windows>Microsoft Entra ID>Operational 日志事件查看器：

错误：0xCAA2000C 请求需要用户交互。
代码：interaction_required
说明：AADSTS50076：由于管理员进行了配置更改，或者你移动到了新位置，必须使用多重身份验证才能访问。

如果 MFA 已启用或强制实施，或Microsoft Entra要求 MFA 的条件访问策略应用于所有云应用，则会出现此问题。 它阻止用户与门户中的设备关联。

若要解决此问题，请使用以下方法之一：

• 如果 MFA 已启用或 强制实施：
  • 将 MFA 设置为 “已禁用”。 有关详细信息，请参阅 关闭旧版每用户 MFA。
  • 使用 受信任的 IP 绕过 MFA。
• 如果使用Microsoft Entra条件访问策略，请从要求 MFA 允许使用用户凭据进行设备同步的策略中排除Microsoft Intune应用。

Microsoft Entra混合联接Windows 10设备无法注册Intune，并出现错误0x800706D9或0x80180023

发生此问题时，通常会在应用程序和服务日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>管理员日志中看到以下错误消息事件查看器：

MDM 注册：OMA-DM 客户端配置失败。 RAWResult： (0x800706D9) 结果： (未知的 Win32 错误代码： 0x80180023) 。
MDM 注册：预配失败。 结果： (未知的 Win32 错误代码：0x80180023) 。
MDM 注册：失败 (未知 Win32 错误代码：0x80180023)
自动 MDM 注册：设备凭据 (0x80180023) ，失败 (%2)
MDM 取消注册：向服务器发送取消注册警报时出错。 结果： (function.) 不正确。
MDM 取消注册：将 dmwappushservice 启动类型更改为 demand-start 失败。 结果： (指定的服务不存在为已安装的服务。)

如果设备缺少服务， dmwappushservice 则会出现此问题。 若要验证，请运行 services.msc 以查找此服务。

若要解决此问题，请执行以下步骤：

1. 在运行与受影响设备相同版本的 Windows 10 的工作设备上，导出以下注册表项：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. 以本地管理员身份登录到受影响的设备，将 .reg 文件复制到受影响的设备，然后将其与本地注册表合并。

3. 重启受影响的设备。

4. 删除旧的Microsoft Entra注册，然后更新组策略。

5. 再次重启受影响的设备。 设备应能够注册Microsoft Entra ID并自动注册Intune。

Microsoft Entra混合加入在托管域中失败，0x801c03f2出现错误

从设备上的命令提示符运行dsregcmd /status时，可以看到它已加入域，但未Microsoft Entra混合联接。 应用程序和服务日志>Microsoft>Windows>用户设备注册>中记录了以下错误消息管理员登录事件查看器：

服务器响应为：{“ErrorType”：“DirectoryError”，“消息”：“在 ID <为 DeviceID> 的设备对象上找不到公钥用户证书”。

在下列情况之一中会出现此问题：

• Microsoft Entra ID中缺少设备对象。
• 属性Usercertificate在本地 Active Directory或Microsoft Entra ID中没有设备证书。

若要Windows 10设备注册才能在托管域中运行，必须先同步设备对象。 注册过程的工作方式如下：

• Windows 10设备加入本地域后首次启动。
• 将触发设备注册并创建证书请求。
• 创建请求后，证书的公钥将发布到设备对象的本地 AD 中。 这将更新 Usercertificate 设备对象上的 属性。 同时，已签名的设备注册请求将发送到Microsoft Entra ID。
• 注册失败，因为Microsoft Entra ID无法对设备对象进行身份验证或验证已签名的请求。
• 下次运行同步周期时，它会找到填充了 Usercertificate 属性的设备对象，并将设备对象同步到Microsoft Entra ID。
• 下次触发注册服务 (此服务) 每小时运行一次时，设备将发送由私钥签名的新请求。
• Azure 使用同步周期期间从本地域收到的公共证书来验证请求的签名。 如果Microsoft Entra ID可以验证请求的签名，则设备注册会成功。

要解决此问题，请遵循以下步骤：

1. 在本地 AD 中，请确保 Usercertificate 属性已填充并具有正确的证书。

2. 检查后端设备对象，并确保属性 Usercertificate 存在且已填充。

3. 如果证书缺失，或者有人从本地 AD 中删除了证书 (这反过来又从Microsoft Entra ID) 中删除了证书，则设备注册会失败。 若要解决此问题，请在客户端设备上执行以下操作：

   1. 打开提升的命令提示符窗口，然后运行以下命令：

      dsregcmd /leave
      

   2. 运行 certlm.msc 以打开本地计算机证书存储。

   3. 确保删除 MS-Organization-Access 颁发的计算机证书。

   4. 重启客户端设备以触发新的设备注册。

   5. 重启设备后，请确保在本地 AD 中的设备对象上更新新的证书公钥。 如果有多个域控制器，请确保将 属性复制到所有域控制器。

   6. 在 Microsoft Entra Connect 服务器上触发增量同步。

   7. 同步完成后，可以通过重启客户端、运行 dsregcmd /debug 命令或运行工作区加入下的计划任务“自动设备加入”来触发设备注册。

自动设备注册失败并出现错误0x80280036

发生此问题时，应用程序和服务日志>Microsoft>Windows>用户设备注册>中记录以下错误消息管理员登录事件查看器：

DeviceRegistrationApi：：BeginJoin 失败，错误代码为：0x80280036

说明:
联接请求的初始化失败并显示退出代码：TPM 尝试执行仅在 FIPS 模式下可用的命令。

如果客户端设备上的 TPM 芯片已启用 FIPS 模式，则会出现此问题。 Azure 设备注册不支持或不建议使用 FIPS 模式。 有关详细信息，请参阅为什么不再建议使用“FIPS 模式”。

Microsoft Entra混合联接失败并出现错误0x80090016

Windows 10设备的混合Microsoft Entra注册失败，并收到以下错误消息：

发生了错误。 确认你正在使用正确的登录信息，并且你的组织使用此功能。 可以尝试再次执行此操作，或者通过错误代码与系统管理员联系0x80090016

0x80090016的错误消息为 Keyset 不存在。 这意味着设备注册无法保存设备密钥，因为 TPM 密钥不可访问。

如果 Windows 不是 TPM 的所有者，则会出现此问题。 从 Windows 10 开始，操作系统会自动初始化并获取 TPM 的所有权。 但是，如果此过程失败，Windows 将不会是所有者，并且会导致此问题。

若要解决此问题，请清除 TPM 并重启客户端设备。 若要清除 TPM，请执行以下步骤：

1. 打开 Windows 安全应用。

2. 选择“ 设备安全性”。

3. 选择“ 安全处理器详细信息”。

4. 选择“ 安全处理器故障排除”。

5. 单击“ 清除 TPM”。

   重要

   在清除 TPM 之前，请注意以下事项：

   • 清除 TPM 可能会导致数据丢失。 将丢失与 TPM 关联的所有已创建密钥以及受这些密钥保护的数据，例如虚拟智能卡、登录 PIN 或 BitLocker 密钥。
   • 如果在设备上启用了 BitLocker，请确保在清除 TPM 之前禁用 BitLocker。
   • 确保对受 TPM 保护或加密的任何数据具有备份和恢复方法。

6. 出现提示时重启设备。

   注意

   在重启期间，UEFI 可能会提示你按按钮以确认要清除 TPM。 重启完成后，TPM 将自动准备好供Windows 10使用。

设备重启后，Microsoft Entra混合加入应成功。 若要验证，请在命令提示符下运行 dsregcmd /status 命令。 以下结果指示联接成功：

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

有关详细信息，请参阅 排查 TPM 问题。

更多信息

有关排查共同管理问题的详细信息，请参阅以下文章：

• 共同管理疑难解答：使用新式预配启动
• 排查共同管理工作负载问题

有关Intune和Configuration Manager共同管理的详细信息，请参阅以下文章：

• Windows 10共同管理概述
• 入门：共同管理的路径
• 共同管理的快速入门
• 教程：为现有 Configuration Manager 客户端启用共同管理