ملخص
يساعدك هذا المقال في تحديد ومعالجة المشاكل في الأجهزة التي تتأثر بمشكلة عدم الحصانة التي تم وصفها في ADV170012 النصائح الإرشادية للأمان ل Microsoft.
هذه العملية يركز التالي Windows مرحبا للعمل (وفب) و سيناريوهات الاستخدام الإعلان أزور (عاد) المقدمة من قبل Microsoft:
-
الصلة الإعلان azure
-
الصلة المختلط الإعلان Azure
-
تسجيل الإعلان azure
مزيد من المعلومات
تعريف السيناريو الخاص بك استخدام عاد
-
فتح إطار موجه الأوامر.
-
الحصول على حالة الجهاز بتشغيل الأمر التالي:dsregcmd.exe /status
-
في إخراج الأمر، قم بفحص قيم الخصائص المسرودة في الجدول التالي لتحديد سيناريو استخدام عاد.
الخاصية
الوصف
أزوريادجوينيد
يشير إلى ما إذا كان الجهاز منضماً إلى الإعلان Azure
انتيربريسيجوينيد
يشير إلى ما إذا كان t الجهاز كان منضماً إلى إعلان خ. كان هذا جزءا من سيناريو العميل على أماكن العمل-فقط حيث Windows مرحبا لأعمال نشر وإدارة محلي.
دومينجوينيد
يشير إلى ما إذا كان الجهاز منضماً إلى "مجال الدليل النشط" التقليدية.
ووركبلاسيجوينيد
الإشارة إلى ما إذا كان المستخدم الحالي إضافة حساب العمل أو المدرسة إلى التشكيل الجانبي الحالي. يعرف هذا الإعلان Azure المسجلة. يتم تجاهل هذا الإعداد من قبل النظام إذا كان الجهاز أزوريدجوينيد.
وانضمت إلى الإعلان Azure المختلط
إذا كان دومينجوينيد وأزوريدجوينيد نعم، فسيكون المختلط انضمت إلى الإعلان Azure. لذلك، انضم إلى الجهاز للمجال Active Directory التقليدية وازور Active Directory.
سير العمل
قد تختلف عمليات النشر وتطبيقات عبر المؤسسات. تم تصميم سير العمل التالية لتوفير الأدوات التي تحتاجها لتطوير الخطة الداخلية الخاصة بك لتقليل أي الأجهزة المتأثرة. يحتوي سير العمل على الخطوات التالية:
-
التعرف على الأجهزة المتأثرة. البيئة الخاصة بك للوحدات النمطية للنظام الأساسي الموثوق به (TPMs)، تتأثر مفاتيح البحث، والأجهزة.
-
تصحيح الأجهزة المتأثرة. معالجة الآثار على الأجهزة المحددة عن طريق اتباع الخطوات الخاصة بسيناريو المسردة في هذه المقالة.
مذكرة بشأن مسح تقوم Tpm
لأن موثوق به وحدات البرنامج المستخدمة لتخزين الأسرار التي يستخدمها مختلف الخدمات والتطبيقات، مسح TPM أن التأثيرات الأعمال غير المتوقعة أو سالبة. قبل إلغاء أي TPM، يجب التأكد من التحقيق والتحقق من أن كافة الخدمات والتطبيقات التي تستخدم TPM مدعومة أسرار صحيح حددت وتحضيرها للحذف السري والترفيه.
كيفية التعرف على الأجهزة المتأثرة
لتحديد وحدات Tpm المتأثرة، راجع ADV170012 النصائح الإرشادية للأمان ل Microsoft.
كيفية تصحيح الأجهزة المتأثرة
استخدم الخطوات التالية على الأجهزة المتأثرة وفقا للسيناريو الخاص بك استخدام الإغراق.
-
تأكد من أن حساب مسؤول محلي صالح موجود على الجهاز أو قم بإنشاء حساب مسؤول محلي.
ملاحظة:
من ممارسات الموصى بها للتحقق من أن الحساب يعمل عن طريق تسجيل الدخول إلى الجهاز باستخدام حساب المسؤول المحلي الجديد وتأكيد الأذونات الصحيحة عن طريق فتح موجه أوامر غير مقيد.
-
إذا قمت تسجيل الدخول باستخدام حساب Microsoft على الجهاز، انتقل إلى إعدادات > حسابات > حسابات البريد الإلكتروني والتطبيقات وإزالة الحساب المتصل.
-
قم بتثبيت تحديث البرامج ثابتة للجهاز.
ملاحظة:
اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.
-
فصل الجهاز عن إعلان Azure.
ملاحظة:
تأكد من أن مفتاح تشغيل BitLocker هو أمن احتياطياً في مكان مختلف عن الكمبيوتر المحلي قبل المتابعة.
-
اذهب إلى الإعدادات > النظام > حول، وثم انقر فوق إدارة أو قطع الاتصال من العمل أو المدرسة.
-
انقر فوق متصل ب < أزورياد >ثم انقر فوق قطع الاتصال.
-
انقر فوق نعم عند مطالبتك بالإعلام.
-
انقر فوق قطع الاتصال عند مطالبتك إلى "قطع الاتصال بالمؤسسة."
-
أدخل معلومات حساب المسؤول المحلي للجهاز.
-
انقر فوق إعادة التشغيل لاحقاً.
-
-
قم بمسح TPM.
ملاحظة:
يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.
ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)
-
لمسح TPM، استخدم إحدى الطرق التالية:
-
استخدام وحدة التحكم بالإدارة ل Microsoft.
-
اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.
-
انقر فوق مسح TPM.
-
-
قم بتشغيل cmdlet مسح Tpm.
-
-
انقر فوق إعادة التشغيل.
ملاحظة: قد تتم مطالبتك بمسح TPM عند بدء التشغيل.
-
-
بعد إعادة تشغيل الجهاز أو تسجيل الدخول إلى الجهاز باستخدام حساب المسؤول المحلي.
-
إعادة ضم الجهاز إلى إعلان Azure. قد تتم مطالبتك بإنشاء PIN جديد التالي تسجيل الدخول.
-
في حالة تسجيل الدخول باستخدام حساب Microsoft على الجهاز، انتقل إلى إعدادات > حسابات > حسابات البريد الإلكتروني والتطبيقات وإزالة الحساب المتصل.
-
من موجه أوامر غير مقيد، بتشغيل الأمر التالي:dsregcmd.exe /leave /debug
ملاحظة:
وينبغي الإشارة إلى إخراج الأمر أزوريدجوينيد: لا.
-
قم بتثبيت تحديث البرامج ثابتة للجهاز.
ملاحظة:
ملاحظة اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.
-
قم بمسح TPM.
ملاحظة:
يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.
ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)
-
لمسح TPM، استخدم إحدى الطرق التالية:
-
استخدام وحدة التحكم بالإدارة ل Microsoft.
-
اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.
-
انقر فوق مسح TPM.
-
-
قم بتشغيل cmdlet مسح Tpm.
-
-
انقر فوق إعادة التشغيل.
ملاحظة: قد تتم مطالبتك بمسح TPM عند بدء التشغيل.
-
عند بدء تشغيل الجهاز، يقوم بإنشاء مفاتيح جديدة Windows وعادت الجهاز لإعلان Azure تلقائياً. خلال هذا الوقت، يمكنك متابعة استخدام الجهاز. ومع ذلك، الوصول إلى الموارد مثل Microsoft Outlook وأندريف والتطبيقات الأخرى التي تتطلب SSO أو نهج "الوصول الشرطي" قد تكون محدودة.
ملاحظة: إذا كنت تستخدم حساب Microsoft، يجب معرفة كلمة المرور.
-
قم بتثبيت تحديث البرامج ثابتة للجهاز.
ملاحظة:
اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.
-
إزالة حساب العمل الإعلان Azure.
-
اذهب إلى الإعدادات > حسابات > الوصول إلى العمل أو المدرسة، انقر فوق حساب العمل أو المدرسة، وانقر فوق قطع الاتصال.
-
انقر فوق " نعم " في المطالبة لتأكيد قطع الاتصال.
-
-
قم بمسح TPM.
ملاحظة:
يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.
ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)
-
لمسح TPM، استخدم إحدى الطرق التالية:
-
استخدام وحدة التحكم بالإدارة ل Microsoft.
-
اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.
-
انقر فوق مسح TPM.
-
-
قم بتشغيل cmdlet مسح Tpm.
-
-
انقر فوق إعادة التشغيل.
ملاحظة: قد تتم مطالبتك بمسح TPM الخاص بك عند بدء التشغيل. -
إذا كنت تستخدم حساب Microsoft يحتوي على رقم PIN، يجب عليك تسجيل الدخول إلى الجهاز باستخدام كلمة المرور.
-
إضافة حساب العمل إلى الجهاز.
-
اذهب إلى الإعدادات > حسابات > الوصول إلى العمل أو المدرسة وانقر فوق اتصال.
-
أدخل حساب العمل الخاص بك ومن ثم انقر فوق التالي.
-
أدخل حساب العمل الخاص بك وكلمة المرور ومن ثم انقر فوق تسجيل الدخول.
-
إذا قامت المؤسسة تكوين "مصادقة" متعددة العوامل أزور لوصل أجهزة لإعلان Azure، توفر العامل الثاني قبل المتابعة.
-
التحقق من أن المعلومات التي يتم عرضها بشكل صحيح ومن ثم انقر فوق الانضمام. يجب أن تظهر الرسالة التالية:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-