检查异常设备中的Applications and Services Logs -> Microsoft
-> Windows ->DeviceManagement-Enterprise-Diagnostic-Provider ->
Admin 日志看其中是否有事件ID为75(自动注册成功)和76(自动注册失败)的事件。
如果都没有,请在设备中使用对应的域账户登录,并在以管理员权限运行的cmd窗口中运行命令gpresult /h gpreport.html获取当前的组策略报告,打开生成的gpreport.html,全部展开,并搜索MDM的组策略是否已经成功下发。如果没有看到对应的MDM 组策略或组策略下发失败,那么需要先解决组策略下发的问题,可以尝试通过命令gpupdate /force 在设备侧强制刷新组策略。
如果可以看到Event ID为76的,那么需要根据具体的报错进行排查
常见的报错代码和解决方案,请参考官方文档:https://learn.microsoft.com/zh-cn/troubleshoot/mem/intune/device-enrollment/troubleshoot-windows-enrollment-errors。
设备中安装有和中国供应商开发的密码管理器,发票财务和U盾等和金融密码相关的三方软件
设备注册到Intune时报错800706BE\80010106或者在Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin日志中看到The remote procedure call failed (远程过程调用失败) , Details 中显示0x800706be。且设备application 日志中能看到有app crush (Event ID :1000 或1001)的日志记录,那么大概率与系统内安装了和中国供应商开发的密码管理器,发票财务和U盾等和金融密码相关的三方软件占用了Intune设备注册所需的端口有关。建议您从系统中卸载相关的三方软件(可能需要卸载多个或多次卸载),然后重启,再尝试重新注册。
注1:如果仍希望使用对应的三方应用,可以在设备成功注册到Intune后再重新安装对应的应用。
当前我们已知与Intune注册冲突的密码管理器,发票财务和U盾等和金融密码相关的三方软件应用有以下5个。
注2:以下只是当前我们已知的会影响Intune 注册的应用,不代表所有影响Intune 注册的应用。
o Password agent published by海泰方圆
o 财开心批量处理系统, published by 盟度知汇
o NISEC_SafeToolKit, published by 国家信息安全工程技术研究中心
设备之前曾尝试注册到Intune,那么建议清理注册表和证书然后再重新注册
根据之前的经验还可以尝试以管理员权限运行如下的Powershell 命令查看并删除包含'DiscoveryServiceFullURL'的注册表键值。此方法不一定能彻底删除,如果通过此方法清理后仍有问题,仍建议手动清理。
$Search='DiscoveryServiceFullURL'
Get-ChildItem "HKLM:SOFTWARE\Microsoft\Enrollments"| Where Property -like "*$Search*" | ft
Get-ChildItem "HKLM:SOFTWARE\Microsoft\Enrollments"| Where Property -like "*$Search*" | Remove-Item -Confirm
a)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
b)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\Status\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
c)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseResourceManager\Tracked\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
d)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxInstalled\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
e)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
f)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Accounts\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
g)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Logger\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
h)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Sessions\B84D17ED-xxx-xxxx-xxxx-30E42EA5FDFE
注3:对应标黄的ID为EnrollmentID,您可以在日志Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin中找到或在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments下遍寻所有的ID,找到哪个ID 有如下的信息(通常其他的ID 路径下的Key 比较少没,EnrollmentID 对应的那个路径,key会比较多)。
# 在日志Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin搜索EnrollmentID#
# 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments下找到对应的EnrollmentID#
打开运行 ->certlm.msc -> Personal ->Certificates ->删除颁发者是"Microsoft Intune MDM Device CA"的证书
4.3 正常情况下,组策略在设备上下发成功后,使用对应的已同步到Microsoft Entra ID 的本地AD 账户登录到设备后,注册过程将在后台启动。如希望快速验证,可以使用如下的方法手动开始enrollment进程。
https://learn.microsoft.com/zh-cn/sysinternals/downloads/psexec
b)使用PSExec来以SYSTEM身份启动cmd 窗口。
%windir%\system32\deviceenroller.exe /c /AutoEnrollMDM
无法获取设备的主刷新令牌(AzureAdPrt为空)
检查方法:使用本地AD账户登录设备,并在cmd 中运行dsregcmd /status,在SSO State 部分,检查AzureAdPrt是否为Yes。
最近遇到两个类似的问题,因为本地AD域名与Microsoft Entra ID 中验证的自定义域名不一致的问题,单独拿出来说一下。
比如本地AD域名为abc.local(如截图中红框所示位置), 但在Microsoft Entra ID 中验证的域名为abc.cn,那么就有可能会导致无法获取到AzureAdPrt,进而无法成功注册到Intune。
这种情况下,可以在本地AD中为在Microsoft Entra ID 中验证的自定义域名添加信任,然后找一个测试账户,将其UPN修改为在Microsoft Entra ID 中验证的自定义域名,之后可以登录自动同步周期(30分钟),或手动触发Microsoft Entra Connect增量同步(Powershell 命令Start-ADSyncSyncCycle -PolicyType Delta),将修改同步到Microsoft Entra ID。
搜索并打开Active Directory Domains and Truest ->Properties ->输入Microsoft Entra ID 中验证的自定义域名 -> Add -> OK
搜索并打开Active Directory Users and Computers (或在运中输入dsa.msc)->Users ->找到对应的测试用户->右键->Properties->Account->点击域名后缀的下拉箭头,更换后缀->OK
注4:根据我们的测试和其他工单的处理情况,此操作不会影响本地AD。
如果重启或注销后重新登录,等待一段时间后,设备仍无法自动注册到Intune,检查dsregcmd /status 输出中AzureAdPrt仍为No,可以尝试以管理员权限打开cmd ,然后运行dsregcmd /leave->运行完成后在Microsoft Entra ID 检查设备是否会被自动删除,如果没有,请手动删除对应的设备->重启设备->手动运行Microsoft Entra Connect 同步周期或等待下一个自动同步周期->等设备被同步到Microsoft Entra ID ->观察dsregcmd /status 输出中AzureAD PRT 是否能变为Yes,设备能否注册到Intune。
Azure云服务技术支持