Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

ملخص

يساعدك هذا المقال في تحديد ومعالجة المشاكل في الأجهزة التي تتأثر بمشكلة عدم الحصانة التي تم وصفها في ADV170012 النصائح الإرشادية للأمان ل Microsoft.

هذه العملية يركز التالي Windows مرحبا للعمل (وفب) و سيناريوهات الاستخدام الإعلان أزور (عاد) المقدمة من قبل Microsoft:

  • الصلة الإعلان azure

  • الصلة المختلط الإعلان Azure

  • تسجيل الإعلان azure

مزيد من المعلومات

تعريف السيناريو الخاص بك استخدام عاد

  1. فتح إطار موجه الأوامر.

  2. الحصول على حالة الجهاز بتشغيل الأمر التالي:dsregcmd.exe /status

  3. في إخراج الأمر، قم بفحص قيم الخصائص المسرودة في الجدول التالي لتحديد سيناريو استخدام عاد.

    الخاصية

    الوصف

    أزوريادجوينيد

    يشير إلى ما إذا كان الجهاز منضماً إلى الإعلان Azure

    انتيربريسيجوينيد

    يشير إلى ما إذا كان t الجهاز كان منضماً إلى إعلان خ. كان هذا جزءا من سيناريو العميل على أماكن العمل-فقط حيث Windows مرحبا لأعمال نشر وإدارة محلي.

    دومينجوينيد

    يشير إلى ما إذا كان الجهاز منضماً إلى "مجال الدليل النشط" التقليدية.

    ووركبلاسيجوينيد

    الإشارة إلى ما إذا كان المستخدم الحالي إضافة حساب العمل أو المدرسة إلى التشكيل الجانبي الحالي. يعرف هذا الإعلان Azure المسجلة. يتم تجاهل هذا الإعداد من قبل النظام إذا كان الجهاز أزوريدجوينيد.

وانضمت إلى الإعلان Azure المختلط

إذا كان دومينجوينيد وأزوريدجوينيد نعم، فسيكون المختلط انضمت إلى الإعلان Azure. لذلك، انضم إلى الجهاز للمجال Active Directory التقليدية وازور Active Directory.

سير العمل

قد تختلف عمليات النشر وتطبيقات عبر المؤسسات. تم تصميم سير العمل التالية لتوفير الأدوات التي تحتاجها لتطوير الخطة الداخلية الخاصة بك لتقليل أي الأجهزة المتأثرة. يحتوي سير العمل على الخطوات التالية:

  1. التعرف على الأجهزة المتأثرة. البيئة الخاصة بك للوحدات النمطية للنظام الأساسي الموثوق به (TPMs)، تتأثر مفاتيح البحث، والأجهزة.

  2. تصحيح الأجهزة المتأثرة. معالجة الآثار على الأجهزة المحددة عن طريق اتباع الخطوات الخاصة بسيناريو المسردة في هذه المقالة.

مذكرة بشأن مسح تقوم Tpm

لأن موثوق به وحدات البرنامج المستخدمة لتخزين الأسرار التي يستخدمها مختلف الخدمات والتطبيقات، مسح TPM أن التأثيرات الأعمال غير المتوقعة أو سالبة. قبل إلغاء أي TPM، يجب التأكد من التحقيق والتحقق من أن كافة الخدمات والتطبيقات التي تستخدم TPM مدعومة أسرار صحيح حددت وتحضيرها للحذف السري والترفيه.

كيفية التعرف على الأجهزة المتأثرة

لتحديد وحدات Tpm المتأثرة، راجع ADV170012 النصائح الإرشادية للأمان ل Microsoft.

كيفية تصحيح الأجهزة المتأثرة

استخدم الخطوات التالية على الأجهزة المتأثرة وفقا للسيناريو الخاص بك استخدام الإغراق.

  1. تأكد من أن حساب مسؤول محلي صالح موجود على الجهاز أو قم بإنشاء حساب مسؤول محلي.

    ملاحظة:

    من ممارسات الموصى بها للتحقق من أن الحساب يعمل عن طريق تسجيل الدخول إلى الجهاز باستخدام حساب المسؤول المحلي الجديد وتأكيد الأذونات الصحيحة عن طريق فتح موجه أوامر غير مقيد.

     

  2. إذا قمت تسجيل الدخول باستخدام حساب Microsoft على الجهاز، انتقل إلى إعدادات > حسابات > حسابات البريد الإلكتروني والتطبيقات وإزالة الحساب المتصل.إزالة الحساب المتصل

  3. قم بتثبيت تحديث البرامج ثابتة للجهاز.

    ملاحظة:

    اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.

     

  4. فصل الجهاز عن إعلان Azure.

    ملاحظة:

    تأكد من أن مفتاح تشغيل BitLocker هو أمن احتياطياً في مكان مختلف عن الكمبيوتر المحلي قبل المتابعة.

    1. اذهب إلى الإعدادات > النظام > حول، وثم انقر فوق إدارة أو قطع الاتصال من العمل أو المدرسة.

    2. انقر فوق متصل ب < أزورياد >ثم انقر فوق قطع الاتصال.

    3. انقر فوق نعم عند مطالبتك بالإعلام.

    4. انقر فوق قطع الاتصال عند مطالبتك إلى "قطع الاتصال بالمؤسسة." قطع الاتصال المؤسسة

    5. أدخل معلومات حساب المسؤول المحلي للجهاز.

    6. انقر فوق إعادة التشغيل لاحقاً. إعادة التشغيل لاحقاً بعد قطع الاتصال بالمؤسسة

  5. قم بمسح TPM.

    ملاحظة:

    يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.

    ويندوز 8 أو أحدث: يتم تعطيل BitLocker تلقائياً إذا كنت تستخدم أي من الطريقتين الموصى بها لمسح TPM، أدناه.

    ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)  

    1. لمسح TPM، استخدم إحدى الطرق التالية:

      • استخدام وحدة التحكم بالإدارة ل Microsoft.

        1. اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.

        2. انقر فوق مسح TPM.مسح TPM في MMC

      • قم بتشغيل cmdlet مسح Tpm.

    2. انقر فوق إعادة التشغيل.قم بإعادة تشغيل بعد مسح TPMملاحظة: قد تتم مطالبتك بمسح TPM عند بدء التشغيل.

  6. بعد إعادة تشغيل الجهاز أو تسجيل الدخول إلى الجهاز باستخدام حساب المسؤول المحلي.

  7. إعادة ضم الجهاز إلى إعلان Azure. قد تتم مطالبتك بإنشاء PIN جديد التالي تسجيل الدخول.

  1. في حالة تسجيل الدخول باستخدام حساب Microsoft على الجهاز، انتقل إلى إعدادات > حسابات > حسابات البريد الإلكتروني والتطبيقات وإزالة الحساب المتصل.إزالة الحساب المتصل

  2. من موجه أوامر غير مقيد، بتشغيل الأمر التالي:dsregcmd.exe /leave /debug

    ملاحظة:

    وينبغي الإشارة إلى إخراج الأمر أزوريدجوينيد: لا.

     

  3. قم بتثبيت تحديث البرامج ثابتة للجهاز.

    ملاحظة:

    ملاحظة اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.

  4. قم بمسح TPM.

    ملاحظة:

    يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.

    ويندوز 8 أو أحدث: يتم تعطيل BitLocker تلقائياً إذا كنت تستخدم أي من الطريقتين الموصى بها لمسح TPM، أدناه.

    ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)

     

    1. لمسح TPM، استخدم إحدى الطرق التالية:

      • استخدام وحدة التحكم بالإدارة ل Microsoft.

        1. اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.

        2. انقر فوق مسح TPM.مسح TPM في MMC

      • قم بتشغيل cmdlet مسح Tpm.

    2. انقر فوق إعادة التشغيل.ملاحظة: قد تتم مطالبتك بمسح TPM عند بدء التشغيل.

عند بدء تشغيل الجهاز، يقوم بإنشاء مفاتيح جديدة Windows وعادت الجهاز لإعلان Azure تلقائياً. خلال هذا الوقت، يمكنك متابعة استخدام الجهاز. ومع ذلك، الوصول إلى الموارد مثل Microsoft Outlook وأندريف والتطبيقات الأخرى التي تتطلب SSO أو نهج "الوصول الشرطي" قد تكون محدودة.

ملاحظة: إذا كنت تستخدم حساب Microsoft، يجب معرفة كلمة المرور.

  1. قم بتثبيت تحديث البرامج ثابتة للجهاز.

    ملاحظة:

    اتبع إرشادات الشركة المصنعة لتطبيق تحديث البرنامج الثابت TPM. راجع الخطوة 4: "تطبيق تحديثات البرامج الثابتة القابلة للتطبيق،" في ADV170012 النصائح الإرشادية للأمان ل Microsoft للحصول على معلومات حول كيفية الحصول على التحديث TPM من الشركة المصنعة.

     

  2. إزالة حساب العمل الإعلان Azure.

    1. اذهب إلى الإعدادات > حسابات > الوصول إلى العمل أو المدرسة، انقر فوق حساب العمل أو المدرسة، وانقر فوق قطع الاتصال.

    2. انقر فوق " نعم " في المطالبة لتأكيد قطع الاتصال.

  3. قم بمسح TPM.

    ملاحظة:

    يؤدي مسح TPM إلى إزالة كافة مفاتيح وأسرار المخزنة على الجهاز. تأكد من أن يتم تعليق الخدمات الأخرى التي تستخدم TPM أو منها قبل المتابعة.

    ويندوز 8 أو أحدث: يتم تعطيل BitLocker تلقائياً إذا كنت تستخدم أي من الطريقتين الموصى بها لمسح TPM، أدناه.

    ويندوز 7: مطلوب تعليق يدوي BitLocker قبل المتابعة. (راجع مزيد من المعلومات حول إيقاف BitLocker مؤقتاً.)

     

    1. لمسح TPM، استخدم إحدى الطرق التالية:

      • استخدام وحدة التحكم بالإدارة ل Microsoft.

        1. اضغط مفتاح Win + R اكتب tpm.msc ثم انقر فوق موافق.

        2. انقر فوق مسح TPM.

      • قم بتشغيل cmdlet مسح Tpm.

    2. انقر فوق إعادة التشغيل.ملاحظة: قد تتم مطالبتك بمسح TPM الخاص بك عند بدء التشغيل.

    3. إذا كنت تستخدم حساب Microsoft يحتوي على رقم PIN، يجب عليك تسجيل الدخول إلى الجهاز باستخدام كلمة المرور.

    4. إضافة حساب العمل إلى الجهاز.

      1. اذهب إلى الإعدادات > حسابات > الوصول إلى العمل أو المدرسة وانقر فوق اتصال.الاتصال بالعمل أو المدرسة

      2. أدخل حساب العمل الخاص بك ومن ثم انقر فوق التالي.قم بإعداد حساب العمل أو المدرسة

      3. أدخل حساب العمل الخاص بك وكلمة المرور ومن ثم انقر فوق تسجيل الدخول.

      4. إذا قامت المؤسسة تكوين "مصادقة" متعددة العوامل أزور لوصل أجهزة لإعلان Azure، توفر العامل الثاني قبل المتابعة.

      5. التحقق من أن المعلومات التي يتم عرضها بشكل صحيح ومن ثم انقر فوق الانضمام. يجب أن تظهر الرسالة التالية:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.