Ms organization access сертификат что это

Часто задаваемые вопросы об управлении устройствами Microsoft Entra

Устройства с Windows 10 или более поздней версии, присоединенные к гибридной среде Microsoft Entra, не отображаются на устройствах USER. Используйте представление «Все устройства«. Вы также можете использовать командлет Get-MgDevice PowerShell.

В списке устройств пользователей перечислены только следующие устройства:

• Все личные устройства, которые не присоединены к гибридной среде Microsoft Entra.
• Все устройства без Windows 10 и более поздней версии и без Windows Server 2016 и более поздней версии.
• Все устройства не на платформе Windows.

Как узнать состояние регистрации устройства клиента?

Перейдите ко всем устройствам. Найдите устройство по его идентификатору. Посмотрите значение в столбце «Тип соединения». Иногда может оказаться, что выполнялся сброс или пересоздание образа устройства. Таким образом, важно также проверить состояние регистрации устройства на самом устройстве:

• Для устройств с Windows 10 и более поздней версии и с Windows Server 2016 или более поздней версии запустите dsregcmd.exe /status .
• Для версий ОС нижнего уровня запустите %programFiles%\Microsoft Workplace Join\autoworkplace.exe .

Сведения об устранении неполадок можно найти в этих статьях:

• Устранение неполадок с устройствами с помощью команды dsregcmd
• Устранение неполадок с устройствами под управлением Windows 10 и Windows Server 2016 с гибридным подключением к Microsoft Entra
• Устранение неполадок с устройствами нижнего уровня с гибридным присоединением к Microsoft Entra

Локальные пользователи AD в моей организации разделены на два или более разных клиентов в идентификаторе Microsoft Entra. Получает ли windows PRT для каждого клиента на клиентском компьютере?

Клиенты Windows получают PRT из идентификатора Microsoft Entra, если пользователь и устройство принадлежат одному клиенту. Пользователь не получит PRT для другого клиента, если устройство не зарегистрировано или пользователь не является членом. Если два пользователя клиента доверяют друг другу через доступ B2B, вы всегда можете создать межтенантный доступ B2B и доверять утверждениям устройств из домашнего клиента.

Я вижу запись устройства в разделе сведений о пользователе, и я вижу состояние как зарегистрированное. Правильно ли оно настроено для применения условного доступа?

Состояние соединения устройства, отображаемое идентификатором deviceID, должно соответствовать состоянию идентификатора Microsoft Entra и соответствовать любым критериям оценки условного доступа. См. дополнительные сведения о требовании использовать только управляемые устройства для доступа к облачным приложениям с помощью условного доступа.

Почему пользователи видят сообщение об ошибке «Ваша организация удалила устройство» или «Ваша организация отключила устройство» на своих устройствах с Windows 10/11?

На устройствах Windows 10/11, присоединенных или зарегистрированных в идентификаторе Microsoft Entra, пользователи выдают первичный маркер обновления (PRT), который включает единый вход. Действительность PRT зависит от действительности самого устройства. Пользователи видят это сообщение, если устройство удалено или отключено в идентификаторе Microsoft Entra, не инициируя действие с самого устройства. Устройство можно удалить или отключить в Microsoft Entra один из следующих сценариев:

• Пользователь отключает устройство на портале «Мои приложения».
• Администратор (или пользователь) удаляет или отключает устройство.
• Только гибридное присоединение к Microsoft Entra: администратор удаляет подразделения устройств из синхронизации область что приводит к удалению устройств из идентификатора Microsoft Entra.
• Только гибридное присоединение к Microsoft Entra: администратор отключает локальную учетную запись компьютера, что приводит к отключению устройства в идентификаторе Microsoft Entra.
• Обновление Microsoft Entra Подключение до версии 1.4.xx.x. Общие сведения об исчезновении устройств в Microsoft Entra Подключение 1.4.xx.x и устройствах.

Я отключил или удалил свое устройство, но локальное состояние на устройстве говорит, что оно по-прежнему зарегистрировано. Что делать?

Это сделано намеренно. В этом случае у устройства нет доступа к ресурсам в облаке. Администраторы могут выполнять это действие для устаревших, потерянных или украденных устройств, чтобы предотвратить несанкционированный доступ. Если это действие было выполнено непреднамеренно, необходимо повторно включить или повторно зарегистрировать устройство, выполнив следующие действия.

Если устройство было отключено в идентификаторе Microsoft Entra, администратор с достаточными привилегиями может включить его в Центре администрирования Microsoft Entra

Примечание. Если вы синхронизируете устройства с помощью Microsoft Entra Подключение, гибридные устройства, присоединенные к Microsoft Entra, будут автоматически включены во время следующего цикла синхронизации. Таким образом, если необходимо отключить гибридное устройство, присоединенное к Microsoft Entra, необходимо отключить его из локальной ad

1. Запустите командную строку от имени администратора.
2. Введите dsregcmd.exe /debug /leave .
3. Выйдите и войдите, чтобы активировать запланированную задачу, которая снова регистрирует устройство с идентификатором Microsoft Entra.

Для версий ОС Windows нижнего уровня, присоединенных к гибридной среде Microsoft Entra, выполните следующие действия.

1. Запустите командную строку от имени администратора.
2. Введите «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l» .
3. Введите «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j» .

Для устройств Windows 10/11, присоединенных к Microsoft Entra, сделайте следующее:

1. Запустите командную строку от имени администратора.
2. Введите dsregcmd /forcerecovery (для выполнения этого действия требуются права администратора).
3. Щелкните «Войти» в открывшемся диалоговом окне и продолжайте процесс входа.
4. Выйдите и снова войдите на устройство, чтобы завершить восстановление.

Для зарегистрированных устройств Windows 10/11 в Microsoft Entra выполните следующие действия:

1. Откройте Настройки>Учетные записи>Доступ к рабочей или учебной учетной записи.
2. Выберите учетную запись и щелкните Отключить.
3. Щелкните «+ Подключить» и зарегистрируйте устройство еще раз, выполнив процесс входа.

Почему отображаются повторяющиеся записи устройства?

• Несколько попыток отсоединить, а затем присоединить одно и то же устройство с Windows 10 или более поздней версии либо с Windows Server 2016 или более поздней версии могут привести к появлению повторяющихся записей.
• Каждый пользователь Windows, нажавший кнопку Добавить рабочую или учебную учетную запись, создает запись устройства с тем же именем.
• Для версий ОС Windows нижнего уровня, присоединенных к локальному домену Azure Directory, с помощью автоматической регистрации для каждого пользователя домена, который входит в устройство, создается запись устройства с тем же именем.
• Присоединенный к Microsoft Entra компьютер, на котором были выполнены очистка, повторная установка и повторное присоединение с тем же именем, будет отображен как еще одна запись с тем же именем устройства.

Поддерживает ли регистрация устройств Windows 10/11 в идентификаторе Microsoft Entra ID в режиме FIPS?

Регистрация устройств с Windows 10/11 поддерживается только для FIPS-совместимого доверенного платформенного модуля версии 2.0 и не поддерживается для версии 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить присоединение к Microsoft Entra или гибридное соединение Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.

Почему пользователь по-прежнему может получить доступ к ресурсам с устройства, которое я отключил?

С момента отключения устройства Microsoft Entra требуется до часа.

Для зарегистрированного устройства рекомендуется очистить его, чтобы пользователи не смогли получить доступ к его ресурсам. Дополнительные сведения см. в статье Что такое регистрация устройств?.

Почему не удается добавить более 3 учетных записей пользователей Microsoft Entra в одном сеансе пользователя на устройстве с Windows 10/11?

Идентификатор Microsoft Entra добавил поддержку нескольких учетных записей Microsoft Entra, начиная с выпуска Windows 10 1803. Однако Windows 10/11 ограничивает количество учетных записей Microsoft Entra на устройстве до 3, чтобы ограничить размер запросов токенов и включить надежный единый вход .. После добавления 3 учетных записей пользователи видят ошибку для последующих учетных записей. В разделе «Дополнительная информация о проблеме» на экране ошибок приводится следующее сообщение с указанием причины: «Операция добавления учетной записи заблокирована, поскольку достигнут лимит учетных записей».

Что такое сертификаты MS-Organization-Access, представленные на наших устройствах Windows 10/11?

Сертификаты MS-Organization-Access выдаются службой регистрации устройств Microsoft Entra во время процесса регистрации устройства. Эти сертификаты выдаются всем типам соединений, поддерживаемым в Windows — присоединение к Microsoft Entra, гибридное присоединение Microsoft Entra и зарегистрированные устройства Microsoft Entra. После выдачи они используются в процессе проверки подлинности с устройства для запроса первичного маркера обновления (PRT). Для присоединенных к Microsoft Entra и гибридных устройств Microsoft Entra этот сертификат присутствует в локальном компьютере\Personal\Certificates, тогда как для зарегистрированных устройств Microsoft Entra сертификат присутствует в Current User\Personal\Certificates. Все сертификаты MS-Organization-Access имеют срок действия по умолчанию 10 лет, однако эти сертификаты удаляются из соответствующего хранилища сертификатов, если устройство не зарегистрировано из идентификатора Microsoft Entra. Любое непреднамеренное удаление этого сертификата приводит к сбоям проверки подлинности для пользователя и потребует повторной регистрации устройства в таких случаях.

Вопросы и ответы о присоединении к Microsoft Entra

Разделы справки отсоединить устройство, присоединенное к Microsoft Entra локально на устройстве?

Для чистых устройств, присоединенных к Microsoft Entra, убедитесь, что у вас есть автономная учетная запись локального администратора или создайте ее. Вы не можете войти с помощью учетных данных пользователя Microsoft Entra. Затем перейдите в раздел Параметры>Учетные записи>Доступ к учетной записи места работы или учебного заведения. Выберите учетную запись и щелкните Отключить. Следуйте подсказкам и укажите учетные данные локального администратора. Перезапустите устройство, чтобы завершить процесс отсоединения.

Могут ли мои пользователи входить на присоединенные к Microsoft Entra устройства, которые удалены или отключены в Microsoft Entra ID?

Да. В Windows есть возможность кэширования имени пользователя и пароля, позволяющая пользователям, которые выполнили вход ранее, быстро получать доступ к рабочему столу даже без подключения к сети.

Если устройство удаляется или отключено в идентификаторе Microsoft Entra ID, оно не известно устройству Windows. Таким образом, пользователи, которые выполнили вход ранее, по-прежнему могут получать доступ к рабочему столу с использованием кэшированного имени пользователя и пароля. Но если устройство удалено или отключено, у пользователей не будет доступа к ресурсам, которые защищены условным доступом на основе устройств.

У пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

Может ли отключенный или удаленный пользователь войти на устройство, присоединенное к Microsoft Entra?

Да, но только в течение ограниченного времени. Если пользователь удаляется или отключается в идентификаторе Microsoft Entra ID, оно не сразу известно устройству Windows. Таким образом, у пользователей, которые выполнили вход ранее, есть доступ к рабочему столу с помощью кэшированного имени пользователя и пароля.

Как правило, устройство получает сведения о состоянии пользователя менее чем через четыре часа. Затем Windows блокирует доступ этих пользователей к рабочему столу. При удалении или отключении пользователя в идентификаторе Microsoft Entra все маркеры отзываются. Таким образом, у него нет доступа к ресурсам.

У удаленных или отключенных пользователей, которые не выполнили вход ранее, нет доступа к устройству. Для них не включено кэширование имени пользователя и пароля.

Может ли гостевой пользователь войти на устройство, присоединенное к Microsoft Entra?

Нет, в настоящее время гостевые пользователи не могут войти на устройство, присоединенное к Microsoft Entra.

Мои пользователи не могут искать принтеры на устройствах, присоединенных к Microsoft Entra. Как включить печать с таких устройств?

Разделы справки подключиться к удаленному устройству, присоединенном к Microsoft Entra?

Почему мои пользователи видят сообщение «Нет доступа»?

Настроены ли определенные правила условного доступа, требующие определенного состояния устройства? Если устройство не соответствует критериям, пользователи заблокированы и видят это сообщение. Оцените правила политики условного доступа. Чтобы это сообщение не отображалось, устройство должно соответствовать критериям.

Почему я получаю сообщение «имя пользователя или пароль неверный» для устройства, которое я только что присоединился к идентификатору Microsoft Entra?

Ниже перечислены распространенные причины появления такого сообщения:

• Ваши учетные данные недействительны.
• Компьютер не может взаимодействовать с идентификатором Microsoft Entra. Наличие проблем с сетевым подключением.
• Для использования федеративных имен для входа требуется, чтобы сервер федерации поддерживал включенные и доступные конечные точки WS-Trust.
• Вы включили сквозную аутентификацию. Таким образом, при входе в систему необходимо изменить временный пароль.

Как пользователи могут изменить временный или просроченный пароль на устройствах, присоединенных к Microsoft Entra?

В настоящее время устройства, присоединенные к Microsoft Entra, не вынуждают пользователей изменять пароль на экране блокировки. Таким образом, пользователи с временными или истекшими паролями будут вынуждены изменять пароли только при доступе к приложению (для которого требуется маркер Microsoft Entra) после входа в Windows.

Почему я вижу сообщение «Произошла ошибка», диалоговое окно при попытке присоединиться к компьютеру в Microsoft Entra?

Эта ошибка возникает при настройке автоматической регистрации Microsoft Entra в Intune без надлежащей лицензии. Убедитесь, что пользователь, который пытается присоединиться к Microsoft Entra, имеет правильную лицензию Intune. Дополнительные сведения см. в статье Настройка регистрации для устройств Windows.

Почему моя попытка присоединиться к Компьютеру в Microsoft Entra завершилась ошибкой, хотя я не получил никаких сведений об ошибке?

Наиболее вероятная причина — вы вошли на устройство с помощью локальной встроенной учетной записи администратора. Создайте другую локальную учетную запись, прежде чем использовать присоединение к Microsoft Entra, чтобы завершить настройку.

Что такое сертификаты MS-Organization-P2P-Access, представленные на наших устройствах Windows 10/11?

Сертификаты MS-Organization-P2P-Access выдаются идентификатором Microsoft Entra для обоих устройств, присоединенных к Microsoft Entra, и гибридных устройств Microsoft Entra. Эти сертификаты используются для включения доверия между устройствами в одном и том же клиенте для сценариев удаленного рабочего стола. Один сертификат выдается устройству, а другой — пользователю. Сертификат устройства находится в папке Local Computer\Personal\Certificates и действителен в течение одного дня. Этот сертификат обновляется (выдав новый сертификат), если устройство по-прежнему активно в идентификаторе Microsoft Entra. Сертификат пользователя не является постоянным и действителен в течение одного часа, но он выдан по запросу, когда пользователь пытается сеанс удаленного рабочего стола на другое присоединенное устройство Microsoft Entra. Срок действия не продлевается. Оба эти сертификата выдаются с использованием сертификата MS-Organization-P2P-Access, который находится в папке Local Computer\AAD Token Issuer\Certificates . Этот сертификат выдан идентификатором Microsoft Entra во время регистрации устройства.

Как отключить кэшированный вход в систему или срок действия входа в кэш пользователя на устройствах, присоединенных к Microsoft Entra?

Невозможно отключить или истекать срок действия предыдущих кэшированных входов на устройствах, присоединенных к Microsoft Entra.

Вопросы и ответы о гибридном присоединении Microsoft Entra

Как отсоединить устройство с гибридным присоединением к Microsoft Entra локально на самом устройстве?

Для гибридных устройств, присоединенных к Microsoft Entra, обязательно отключите автоматическую регистрацию в AD с помощью статьи о контролируемой проверке . Таким образом запланированная задача не зарегистрирует устройство снова. Затем запустите командную строку от имени администратора и введите dsregcmd.exe /debug /leave . Вместо этого можно выполнить следующую команду в качестве сценария на нескольких устройствах, чтобы отсоединить устройства в пакетном режиме.

Где можно найти сведения об устранении неполадок для диагностики сбоев гибридного присоединения к Microsoft Entra?

Сведения об устранении неполадок можно найти в этих статьях:

• Устранение неполадок с устройствами под управлением Windows 10 и Windows Server 2016 с гибридным подключением к Microsoft Entra
• Устранение неполадок с устройствами нижнего уровня с гибридным присоединением к Microsoft Entra

Почему в списке устройств Microsoft Entra отображается повторяющаяся зарегистрированная запись Microsoft Entra для моего гибридного устройства Microsoft Entra 10/11 Microsoft Entra?

Когда пользователи добавляют свои учетные записи в приложения на присоединенном к домену устройстве, они могут быть предложено добавить учетную запись в Windows? Если они введите «Да » в запросе, устройство регистрируется с помощью идентификатора Microsoft Entra. Тип доверия помечается как зарегистрированная в Microsoft Entra. После включения гибридного соединения Microsoft Entra в организации устройство также получает гибридное присоединение к Microsoft Entra. После этого для одного устройства будут отображаться два состояния устройства.

В большинстве случаев гибридное соединение Microsoft Entra имеет приоритет над зарегистрированным состоянием Microsoft Entra, что приводит к тому, что устройство считается гибридным присоединенным к Microsoft Entra для любой проверки подлинности и оценки условного доступа. Однако иногда это двойное состояние может привести к недетерминированной оценке устройства и вызвать проблемы доступа. Настоятельно рекомендуется обновить до Windows 10 версии 1803 и выше, где мы автоматически очищаем зарегистрированное состояние Microsoft Entra. Узнайте, как избежать двух состояний или удалить их на компьютере с Windows 10.

Почему у моих пользователей возникли проблемы с гибридными устройствами, присоединенными к Windows 10 Microsoft Entra, после изменения имени участника-пользователя?

В настоящее время изменения имени участника-участника-участника не поддерживаются с гибридными устройствами, присоединенными к Microsoft Entra. Хотя пользователи могут войти на устройство и получить доступ к локальным приложениям, проверка подлинности с помощью идентификатора Microsoft Entra завершается ошибкой после изменения имени участника-пользователя. Таким образом, у пользователей возникают проблемы с единым входом и условным доступом на своих устройствах. В настоящее время необходимо отсоединить устройство от идентификатора Microsoft Entra (запустить dsregcmd /leave с повышенными привилегиями) и повторно присоединиться (происходит автоматически), чтобы устранить проблему.

Изменения UPN поддерживаются начиная с Windows 10, обновление 2004, а также применимы к Windows 11. Пользователи на устройствах с этим обновлением не будут иметь никаких проблем после изменения имени участника-пользователя

Требуется ли гибридное присоединенное к Windows 10/11 устройства Microsoft Entra для контроллера домена доступ к облачным ресурсам?

Нет, за исключением случаев, когда пароль пользователя изменен. После завершения гибридного соединения Microsoft Entra с Windows 10/11, и пользователь выполнил вход по крайней мере один раз, устройство не требует прямой видимости контроллеру домена для доступа к облачным ресурсам. Windows 10/11 может получить единый вход в приложения Microsoft Entra из любого места с подключением к Интернету, за исключением случаев изменения пароля. Пользователи, выполняющие вход с помощью Windows Hello для бизнеса, продолжают получать единый вход в приложения Microsoft Entra даже после изменения пароля, даже если у них нет прямой видимости для контроллера домена.

Что происходит, если пользователь изменяет пароль и пытается войти в систему на гибридном устройстве Microsoft Entra, присоединенном к Windows 10/11 за пределами корпоративной сети?

Если пароль изменяется за пределами корпоративной сети (например, с помощью Microsoft Entra SSPR), пользователь войдите с помощью нового пароля. Для гибридных устройств, присоединенных к Microsoft Entra, локальная служба Active Directory является основным центром. Если устройство не имеет видимости контроллера домена, он не может проверить новый пароль. Поэтому пользователь должен установить подключение к контроллеру домена (через VPN или находясь в корпоративной сети), прежде чем он сможет войти на устройство с новым паролем. В противном случае они могут выполнять вход только с помощью старого пароля из-за возможности кэширования входа в Windows. Однако старый пароль недействителен идентификатором Microsoft Entra во время запросов маркеров и поэтому предотвращает единый вход и завершается сбоем любых политик условного доступа на основе устройств, пока пользователь не пройдет проверку подлинности с новым паролем в приложении или браузере. Эта проблема не возникает при использовании Windows Hello для бизнеса.

Вопросы и ответы о регистрации Microsoft Entra

Разделы справки удалить зарегистрированное состояние Microsoft Entra для устройства локально?

• Для устройств, зарегистрированных в Windows 10/11 Microsoft Entra, перейдите к Параметры>Accounts>Access Work или School. Выберите учетную запись и щелкните Отключить. Регистрация устройства в Windows 10/11 выполняется для каждого профиля пользователя.
• Для iOS и Android можно использовать приложение Microsoft Authenticator: войдите в раздел Параметры>Регистрация устройства и выберите Отменить регистрацию устройства.
• Для macOS можно использовать приложение «Корпоративный портал Microsoft Intune», чтобы отменить регистрацию управления устройством и удалить все регистрации.

Для устройств Windows 10 версии 2004 этот процесс можно автоматизировать с помощью средства удаления Workplace Join (WPJ)

Это средство удаляет все учетные записи единого входа на устройстве. После выполнения этой операции все приложения теряют состояние единого входа, и регистрация устройством будет отменена в средствах управления (MDM) и в облаке. В следующий раз, когда приложение пытается войти в систему, пользователям будет предложено добавить учетную запись еще раз.

Как заблокировать добавление дополнительных рабочих учетных записей (зарегистрированных в Microsoft Entra) на корпоративных устройствах с Windows 10/11?

Включите следующий реестр, чтобы запретить пользователям добавлять другие рабочие учетные записи в присоединенный корпоративный домен, присоединенные к Microsoft Entra или гибридные устройства Windows 10/11. Эта политика также может использоваться для блокировки присоединенных к домену компьютеров от непреднамеренной регистрации Microsoft Entra с той же учетной записью пользователя.

Можно ли зарегистрировать устройства BYOD на платформе Android или iOS?

Да, но только с помощью службы регистрации устройств Azure и только для клиентов, использующих гибридное присоединение. Не поддерживается с локальной службой регистрации устройств в службах федерации Active Directory (AD FS).

Как можно зарегистрировать устройство macOS?

Выполните следующие шаги:

1. Создайте политику соответствия.
2. Определите политику условного доступа для устройств macOS

Примечания:

• Для доступа к ресурсам пользователям, включенным в политику условного доступа, нужна поддерживаемая версия Microsoft Office для macOS.
• Во время первой попытки доступа пользователям предлагается зарегистрировать устройство с помощью корпоративного портала.

Следующие шаги

• Подробнее о зарегистрированных устройствах в Microsoft Entra
• Подробнее о присоединенных к Microsoft Entra устройствах
• Подробнее об устройствах, присоединенных к Microsoft Entra с помощью гибридного присоединения
• Средство поиска ошибок (Майкрософт)

Microsoft Entra device management FAQ

Windows 10 or newer devices that are Microsoft Entra hybrid joined don’t show up under USER devices. Use the All devices view. You can also use a PowerShell Get-MgDevice cmdlet.

Only the following devices are listed under USER devices:

• All personal devices that aren’t Microsoft Entra hybrid joined.
• All non-Windows 10 or newer and Windows Server 2016 or later devices.
• All non-Windows devices.

How do I know what the device registration state of the client is?

Go to All devices. Search for the device by using the device ID. Check the value under the join type column. Sometimes, the device might be reset or reimaged. So it’s essential to also check the device registration state on the device:

• For Windows 10 or newer and Windows Server 2016 or later devices, run dsregcmd.exe /status .
• For down-level OS versions, run %programFiles%\Microsoft Workplace Join\autoworkplace.exe .

For troubleshooting information, see these articles:

• Troubleshooting devices using dsregcmd command
• Troubleshooting Microsoft Entra hybrid joined Windows 10 and Windows Server 2016 devices
• Troubleshooting Microsoft Entra hybrid joined down-level devices

My org on-premises AD users are split into two or more different tenants in Microsoft Entra ID. Do I get Windows PRT for each tenant on client machine?

Windows clients fetch the PRT from Microsoft Entra ID if the user and the device belong to the same tenant. User will not get PRT for another tenant if the device is not registered or user is not a member there. If two tenant users trust each other via B2B access you can always create cross tenant B2B access and trust device claims from your home tenant.

I see the device record under the USER info and I see the state as registered. Am I set up correctly to use Conditional Access?

The device join state, shown by deviceID, must match the state on Microsoft Entra ID and meet any evaluation criteria for Conditional Access. For more information, see Require managed devices for cloud app access with Conditional Access.

Why do my users see an error message saying «Your organization has deleted the device» or «Your organization has disabled the device» on their Windows 10/11 devices?

On Windows 10/11 devices joined or registered with Microsoft Entra ID, users are issued a Primary refresh token (PRT) which enables single sign-on. The validity of the PRT is based on the validity of the device itself. Users see this message if the device is either deleted or disabled in Microsoft Entra ID without initiating the action from the device itself. A device can be deleted or disabled in Microsoft Entra one of the following scenarios:

• User disables the device from the My Apps portal.
• An administrator (or user) deletes or disables the device.
• Microsoft Entra hybrid joined only: An administrator removes the devices OU out of sync scope resulting in the devices being deleted from Microsoft Entra ID.
• Microsoft Entra hybrid joined only: An administrator disables the computer account on premises, resulting in the device being disabled in Microsoft Entra ID.
• Upgrading Microsoft Entra Connect to the version 1.4.xx.x. Understanding Microsoft Entra Connect 1.4.xx.x and device disappearance.

I disabled or deleted my device, but the local state on the device says it’s still registered. What should I do?

This operation is by design. In this case, the device doesn’t have access to resources in the cloud. Administrators can perform this action for stale, lost, or stolen devices to prevent unauthorized access. If this action was performed unintentionally, you need to re-enable or re-register the device using the steps that follow:

If the device was disabled in Microsoft Entra ID, an administrator with sufficient privileges can enable it in the Microsoft Entra admin center

Note If you’re syncing devices using Microsoft Entra Connect, Microsoft Entra hybrid joined devices will be automatically re-enabled during the next sync cycle. So, if you need to disable a Microsoft Entra hybrid joined device, you need to disable it from your on-premises AD

1. Open the command prompt as an administrator.
2. Enter dsregcmd.exe /debug /leave .
3. Sign out and sign in to trigger the scheduled task that registers the device again with Microsoft Entra ID.

For down-level Windows OS versions that are Microsoft Entra hybrid joined, take the following steps:

1. Open the command prompt as an administrator.
2. Enter «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l» .
3. Enter «%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j» .

For Microsoft Entra joined devices Windows 10/11 devices, take the following steps:

1. Open the command prompt as an administrator
2. Enter dsregcmd /forcerecovery (You need to be an administrator to perform this action).
3. Click «Sign in» in the dialog that opens up and continue with the sign in process.
4. Sign out and sign in back to the device to complete the recovery.

For Microsoft Entra registered Windows 10/11 devices, take the following steps:

1. Go to Settings >Accounts >Access Work or School.
2. Select the account and select Disconnect.
3. Click on «+ Connect» and register the device again by going through the sign in process.

Why do I see duplicate device entries?

• For Windows 10 or newer and Windows Server 2016 or later, repeated tries to unjoin and rejoin the same device might cause duplicate entries.
• Each Windows user who uses Add Work or School Account creates a new device record with the same device name.
• For down-level Windows OS versions that are on-premises Azure Directory domain joined, automatic registration creates a new device record with the same device name for each domain user who signs in to the device.
• A Microsoft Entra joined machine that’s wiped, reinstalled, and rejoined with the same name shows up as another record with the same device name.

Does Windows 10/11 device registration in Microsoft Entra ID support TPMs in FIPS mode?

Windows 10/11 device registration is only supported for FIPS-compliant TPM 2.0 and not supported for TPM 1.2. If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Microsoft Entra join or Microsoft Entra hybrid join. Microsoft doesn’t provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Contact your hardware OEM for support.

Why can a user still access resources from a device I disabled?

It takes up to an hour for a revoke to be applied from the time the Microsoft Entra device is marked as disabled.

For enrolled devices, we recommend that you wipe the device to make sure users can’t access the resources. For more information, see What is device enrollment?.

I can’t add more than 3 Microsoft Entra user accounts under the same user session on a Windows 10/11 device, why?

Microsoft Entra ID added support for multiple Microsoft Entra accounts starting in Windows 10 1803 release. However, Windows 10/11 restricts the number of Microsoft Entra accounts on a device to 3 to limit the size of token requests and enable reliable single sign-on (SSO). Once 3 accounts have been added, users see an error for subsequent accounts. The Additional problem information on the error screen provides the following message indicating the reason — «Add account operation is blocked because account limit is reached».

What are the MS-Organization-Access certificates present on our Windows 10/11 devices?

The MS-Organization-Access certificates are issued by Microsoft Entra Device Registration Service during the device registration process. These certificates are issued to all join types supported on Windows — Microsoft Entra joined, Microsoft Entra hybrid joined and Microsoft Entra registered devices. Once issued, they’re used as part of the authentication process from the device to request a Primary Refresh Token (PRT). For Microsoft Entra joined and Microsoft Entra hybrid joined devices, this certificate is present in Local Computer\Personal\Certificates whereas for Microsoft Entra registered devices, certificate is present in Current User\Personal\Certificates. All MS-Organization-Access certificates have a default lifetime of 10 years, however these certificates are deleted from the corresponding certificate store when the device is unregistered from Microsoft Entra ID. Any inadvertent deletion of this certificate leads to authentication failures for the user, and will require re-registration of the device in such cases.

Microsoft Entra join FAQ

How do I unjoin a Microsoft Entra joined device locally on the device?

For pure Microsoft Entra joined devices, make sure you have an offline local administrator account or create one. You can’t sign in with any Microsoft Entra user credentials. Next, go to Settings > Accounts > Access Work or School. Select your account and select Disconnect. Follow the prompts and provide the local administrator credentials when prompted. Reboot the device to finish the unjoin process.

Can my users sign in to Microsoft Entra joined devices that are deleted or disabled in Microsoft Entra ID?

Yes. Windows has a cached username and password capability that allows users who signed in previously to access the desktop quickly even without network connectivity.

When a device is deleted or disabled in Microsoft Entra ID, it’s not known to the Windows device. So users who signed in previously continue to access the desktop with the cached username and password. But as the device is deleted or disabled, users can’t access any resources protected by device-based Conditional Access.

Users who didn’t sign in previously can’t access the device. There’s no cached username and password enabled for them.

Can a disabled or deleted user sign in to a Microsoft Entra joined device?

Yes, but only for a limited time. When a user is deleted or disabled in Microsoft Entra ID, it’s not immediately known to the Windows device. So users who signed in previously can access the desktop with the cached username and password.

Typically, the device is aware of the user state in less than four hours. Then Windows blocks those users’ access to the desktop. As the user is deleted or disabled in Microsoft Entra ID, all their tokens are revoked. So they can’t access any resources.

Deleted or disabled users who didn’t sign in previously can’t access a device. There’s no cached username and password enabled for them.

Can a guest user sign in to a Microsoft Entra joined device?

No, currently, guest users can’t sign in to a Microsoft Entra joined device.

My users can’t search printers from Microsoft Entra joined devices. How can I enable printing from those devices?

Organizations can choose to deploy Windows Server Hybrid Cloud Print with Pre-Authentication or Universal Print for their Microsoft Entra joined devices.

How do I connect to a remote Microsoft Entra joined device?

Why do my users see ‘You can’t get there from here’?

Did you configure certain Conditional Access rules to require a specific device state? If the device doesn’t meet the criteria, users are blocked, and they see that message. Evaluate the Conditional Access policy rules. Make sure the device meets the criteria to avoid the message.

Why do I get a ‘username or password is incorrect’ message for a device I just joined to Microsoft Entra ID?

Common reasons for this scenario are as follows:

• Your user credentials are no longer valid.
• Your computer can’t communicate with Microsoft Entra ID. Check for any network connectivity issues.
• Federated sign-ins require your federation server to support WS-Trust endpoints that are enabled and accessible.
• You enabled pass-through authentication. So your temporary password needs to be changed when you sign in.

How can users change their temporary or expired password on Microsoft Entra joined devices?

Currently, Microsoft Entra joined devices don’t force users to change password on the lock screen. So, users with temporary or expired passwords will be forced to change passwords only when they access an application (that requires a Microsoft Entra token) after they log in to Windows.

Why do I see the ‘Oops… an error occurred!’ dialog when I try to Microsoft Entra join my PC?

This error happens when you set up Microsoft Entra auto-enrollment with Intune without proper license assigned. Make sure that the user who tries to Microsoft Entra join has the correct Intune license assigned. For more information, see Set up enrollment for Windows devices.

Why did my attempt to Microsoft Entra join a PC fail, although I didn’t get any error information?

A likely cause is that you signed in to the device by using the local built-in administrator account. Create a different local account before you use Microsoft Entra join to finish the setup.

What are the MS-Organization-P2P-Access certificates present on our Windows 10/11 devices?

The MS-Organization-P2P-Access certificates are issued by Microsoft Entra ID to both, Microsoft Entra joined and Microsoft Entra hybrid joined devices. These certificates are used to enable trust between devices in the same tenant for remote desktop scenarios. One certificate is issued to the device and another is issued to the user. The device certificate is present in Local Computer\Personal\Certificates and is valid for one day. This certificate is renewed (by issuing a new certificate) if the device is still active in Microsoft Entra ID. The user certificate isn’t persistent and is valid for one hour, but it’s issued on-demand when a user attempts a remote desktop session to another Microsoft Entra joined device. It isn’t renewed on expiry. Both these certificates are issued using the MS-Organization-P2P-Access certificate present in the Local Computer\AAD Token Issuer\Certificates . This certificate is issued by Microsoft Entra ID during device registration.

How can we disable cached logon/expire the cache logon of the user on Microsoft Entra joined devices?

It isn’t possible to disable or expire previous cached logons on Microsoft Entra joined devices.

Microsoft Entra hybrid join FAQ

How do I unjoin a Microsoft Entra hybrid joined device locally on the device?

For Microsoft Entra hybrid joined devices, make sure to turn off automatic registration in AD using the Controlled validation article. Then the scheduled task won’t register the device again. Next, open a command prompt as an administrator and enter dsregcmd.exe /debug /leave . Or run this command as a script across several devices to unjoin in bulk.

Where can I find troubleshooting information to diagnose Microsoft Entra hybrid join failures?

For troubleshooting information, see these articles:

• Troubleshooting Microsoft Entra hybrid joined Windows 10 and Windows Server 2016 devices
• Troubleshooting Microsoft Entra hybrid joined down-level devices

Why do I see a duplicate Microsoft Entra registered record for my Windows 10/11 Microsoft Entra hybrid joined device in the Microsoft Entra devices list?

When your users add their accounts to apps on a domain-joined device, they might be prompted with Add account to Windows? If they enter Yes on the prompt, the device registers with Microsoft Entra ID. The trust type is marked as Microsoft Entra registered. After you enable Microsoft Entra hybrid join in your organization, the device also gets Microsoft Entra hybrid joined. Then two device states show up for the same device.

In most cases, Microsoft Entra hybrid join takes precedence over the Microsoft Entra registered state, resulting in your device being considered Microsoft Entra hybrid joined for any authentication and Conditional Access evaluation. However, sometimes, this dual state can result in a non-deterministic evaluation of the device and cause access issues. We strongly recommend upgrading to Windows 10 version 1803 and above where we automatically clean up the Microsoft Entra registered state. Learn how to avoid or clean up this dual state on the Windows 10 machine.

Why do my users have issues on Windows 10 Microsoft Entra hybrid joined devices after changing their UPN?

Currently UPN changes aren’t fully supported with Microsoft Entra hybrid joined devices. While users can sign in to the device and access their on-premises applications, authentication with Microsoft Entra ID fails after a UPN change. As a result, users have SSO and Conditional Access issues on their devices. At this time, you need to unjoin the device from Microsoft Entra ID (run «dsregcmd /leave» with elevated privileges) and rejoin (happens automatically) to resolve the issue.

UPN changes are supported with Windows 10 2004 update and also applicable to Windows 11. Users on devices with this update won’t have any issues after changing their UPNs

Do Windows 10/11 Microsoft Entra hybrid joined devices require line of sight to the domain controller to get access to cloud resources?

No, except when the user’s password is changed. After Windows 10/11 Microsoft Entra hybrid join is complete, and the user has signed in at least once, the device doesn’t require line of sight to the domain controller to access cloud resources. Windows 10/11 can get single sign-on to Microsoft Entra applications from anywhere with an internet connection, except when a password is changed. Users who sign in with Windows Hello for Business continue to get single sign-on to Microsoft Entra applications even after a password change, even if they don’t have line of sight to their domain controller.

What happens if a user changes their password and tries to sign in to their Windows 10/11 Microsoft Entra hybrid joined device outside the corporate network?

If a password is changed outside the corporate network (for example, by using Microsoft Entra SSPR), then the user sign-in with the new password fails. For Microsoft Entra hybrid joined devices, on-premises Active Directory is the primary authority. When a device doesn’t have line of sight to the domain controller, it’s unable to validate the new password. So, user needs to establish connection with the domain controller (either via VPN or being in the corporate network) before they’re able to sign in to the device with their new password. Otherwise, they can only sign in with their old password because of cached sign-in capability in Windows. However, the old password is invalidated by Microsoft Entra ID during token requests and hence, prevents single sign-on and fails any device-based Conditional Access policies until the user authenticates with their new password in an app or browser. This issue doesn’t occur if you use Windows Hello for Business.

Microsoft Entra register FAQ

How do I remove a Microsoft Entra registered state for a device locally?

• For Windows 10/11 Microsoft Entra registered devices, Go to Settings >Accounts >Access Work or School. Select your account and select Disconnect. Device registration is per user profile on Windows 10/11.
• For iOS and Android, you can use the Microsoft Authenticator application Settings >Device Registration and select Unregister device.
• For macOS, you can use the Microsoft Intune Company Portal application to unenroll the device from management and remove any registration.

For Windows 10 version 2004 and older, this process can be automated with the Workplace Join (WPJ) removal tool

This tool removes all SSO accounts on the device. After this operation, all applications will lose SSO state, and the device will be unenrolled from management tools (MDM) and unregistered from the cloud. The next time an application tries to sign in, users will be asked to add the account again.

How can I block users from adding more work accounts (Microsoft Entra registered) on my corporate Windows 10/11 devices?

Enable the following registry to block your users from adding other work accounts to your corporate domain joined, Microsoft Entra joined, or Microsoft Entra hybrid joined Windows 10/11 devices. This policy can also be used to block domain joined machines from inadvertently getting Microsoft Entra registered with the same user account.

Can I register Android or iOS BYOD devices?

Yes, but only with the Azure device registration service and for hybrid customers. It’s not supported with the on-premises device registration service in Active Directory Federation Services (AD FS).

How can I register a macOS device?

Take the following steps:

1. Create a compliance policy
2. Define a Conditional Access policy for macOS devices

Remarks:

• The users included in your Conditional Access policy need a supported version of Office for macOS to access resources.
• During the first access try, your users are prompted to enroll the device by using the company portal.

Next steps

• Learn more about Microsoft Entra registered devices
• Learn more about Microsoft Entra joined devices
• Learn more about Microsoft Entra hybrid joined devices
• The Microsoft Error Lookup Tool

Select a certificate prompt for one website?

Whenever I go to a certain website, I get a certificate prompt.

In Edge it says «Select a certificate for authentication»

In Firefox it says «User Identification Request. This site has requested that you identify yourself with a certificate:»

I’m then being given the choice to choose between MS-Organization-Access and WatchGuard Certificate Authority.

I can just press Cancel and the site will load fine. The m270 Firebox is on 12.8.0

Has anyone seen this issue before? I have this site running through a basic https packet filter with no security services enabled.

attach_file Attachment cert_question_-_Copy.jpg 21.5 KB

watdeehi

This person is a verified professional.
Verify your account to enable IT peers to see that you are a professional.
check Best Answer

Bojan Zajc

This person is a verified professional.
Verify your account to enable IT peers to see that you are a professional.
SI System Integration d.o.o. is an IT service provider.
ghost chili
2022-05-11T15:19:34Z check Best Answer

watdeehi wrote: The website works fine and it doesn’t seem to matter which option we choose, MS-Organization-Access, WatchGuard Certificate Authority, or simply press cancel. Either way we get to the login page which is an sftp web interface for a bank. So it works fine, I just wondered why the prompt. I thought it may be the site but then I test it on another firebox t-35 12.5.9 in a private window and that prompt never appears in either firefox or edge.

But you tested it from a different PC, I guess, one that does not have the certificates you were mentioning? When you set up a SFTP or SSH server, you can define multiple authentication methods, depending on the brand of SSH server you have. When a client than tries to connect, the server will try out all the allowed authentication types. In your case, the server allows authentication with a client side certificate, as well as username/password authentication.
So when you connect, the server will try to negotiate a certificate authentication first. If you don’t support it, it will just jump over to the next authentication method allowed, in your case User/Passwd. However, when you have placed certificates in the cert store under ‘personal certificates’, the browser will think that you support certificate authentication and that you have multiple certificates to chose from, when there are multiple ones. This is why you are asked, what cert you would like to use. However none of these certs are valid for the login process, so you (luckily) get the user/pass prompt presented. It could also say ‘authentication failed’ and stop trying. that would be a bit worse.

• local_offer Tagged Items
• watdeehi

What is «ms-organization-access» certificate why is it showing up in thycotic

I have been trying to fix an issue with our Thycotic Server for months now and can’t seem to find the help we have contacted both Microsoft and Thycotic support and both blame one another and me the customer never gets the problem solved. So I come to you Spiceheads before I just suggest we move to another password vault site.

Every time I connect to our Thycotic server I get a security prompt asking me to «Select a certificate to authenticate yourself to (site name)» and the certificate listed has a long alphanumeric string and the issuer is «ms-organization-access».

What is this certificate and how can I stop this from happening.

• local_offer Tagged Items
• Jordan (Thycotic)