Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Streszczenie

Ten artykuł pomaga zidentyfikować i rozwiązać problemy w urządzeniach, których dotyczy luka, który jest opisany w Microsoft Security Advisory ADV170012.

Proces ten koncentruje się na następujących Windows Hello Business (WHFB) i scenariusze użycia Azure AD (AAD) , oferowanych przez firmę Microsoft:

  • Azure AD sprzężenia

  • Sprzężenia hybrydowy Azure AD

  • AD azure zarejestrowany

Więcej informacji

Identyfikacji danego scenariusza użycia AAD

  1. Otwórz okno wiersza polecenia.

  2. Stan urządzenia można uzyskać, uruchamiając następujące polecenie:

    dsregcmd.exe /status

  3. W wynikach polecenia Sprawdź wartości właściwości, które są wymienione w poniższej tabeli, aby określić Twój scenariusz użycia AAD.

    Właściwość

    Opis

    AzureAdJoined

    Wskazuje, czy , urządzenie jest przyłączony do Azure AD.

    EnterpriseJoined

    Wskazuje, czy t on urządzenia jest dołączony do programu AD FS. Jest to część scenariusz w pomieszczeniach tylko klienta, gdzie Windows Hello dla firmy jest wdrażane i zarządzane lokalnie.

    DomainJoined

    Wskazuje, czy urządzenie jest przyłączony do tradycyjnych domeny usługi Active Directory.

    WorkplaceJoined

    Wskazuje, czy bieżący użytkownik dodał konta służbowego do bieżącego profilu. Jest to nazywane Azure AD zarejestrowany. To ustawienie jest ignorowane przez system, jeśli urządzenie jest AzureAdJoined.

Hybrydowe dołączył do Azure AD

Jeśli DomainJoined i AzureAdJoined są Tak, urządzenie jest hybrydowy Azure AD przyłączony. W związku z tym urządzenie jest dołączony do usługi Active Directory Azure i tradycyjnych domeny usługi Active Directory.

Przepływ pracy

Wdrożeń i implementacje mogą się różnić między różnymi organizacjami. Opracowaliśmy następujący obieg pracy o zapewnienie narzędzi, które są potrzebne do opracowania planu wewnętrznego złagodzić wszelkie dotyczy urządzeń. Przepływ pracy składa się z następujących kroków:

  1. Zidentyfikować dotyczy urządzeń. Wyszukiwanie, które w danym środowisku przez wpływ na moduły zaufanej platformy (TPM), klucze i urządzeń.

  2. Poprawka dotyczy urządzeń. Naprawienie skutków na urządzeniach zidentyfikowanych przez wykonanie kroków określonego scenariusza, które są wymienione w tym artykule.

Należy zwrócić uwagę na wyczyszczenie TPM

Ponieważ trusted platform modułów są używane do przechowywania haseł, które są używane przez różne usługi i aplikacje, wyczyszczenie modułu TPM może mieć skutki działalności nieprzewidziane lub ujemna. Przed wyczyszczeniem dowolnego modułu TPM, należy koniecznie poprawność że wszystkich usług i aplikacji, które używają kopii modułu TPM klucze tajne zostały prawidłowo zidentyfikowane i przygotowane do usunięcia tajne i rekreacja.

Jak zidentyfikować dotyczy urządzeń

Aby zidentyfikować dotkniętych TPM, zobacz Microsoft Security Advisory ADV170012.

Jak patch dotyczy urządzeń

Wykonaj następujące kroki na tych urządzeniach według danego scenariusza użycia AAD.

  1. Upewnij się, że konto administratora lokalnego prawidłowe istnieje na urządzeniu lub utworzyć konto administratora lokalnego.

    Uwaga

    Jest zaleca, aby sprawdzić, czy konto działa po zalogowaniu się na urządzenie przy użyciu nowego konta administratora lokalnego i potwierdzić poprawne uprawnienia, otwierając wiersz polecenia.

     

  2. Jeśli zalogowano się za pomocą konta Microsoft na urządzeniu, wybierz kolejno opcje Ustawienia > konta > konta E-mail i aplikację i Usuń połączonego konta.
    Usuwanie połączonego konta

  3. Zainstaluj aktualizację oprogramowania układowego dla urządzenia.

    Uwaga

    Wykonaj wskazówki producenta OEM dotyczące zastosowania aktualizacji oprogramowania sprzętowego modułu TPM. Zobacz krok 4: "Zastosuj aktualizacje oprogramowania układowego mające zastosowanie" w Microsoft Security Advisory ADV170012 , aby uzyskać informacje dotyczące sposobu uzyskiwania tej aktualizacji modułu TPM od producenta OEM.

     

  4. Odłącz urządzenie od Azure AD.

    Uwaga

    Upewnij się, że klucz funkcji BitLocker jest bezpiecznie kopii zapasowej gdzieś niż komputer lokalny przed kontynuowaniem.

    1. Wybierz kolejno opcje Ustawienia > System > informacje, a następnie kliknij Zarządzaj lub odłączenie się od pracy i w szkole.

    2. Kliknij przycisk Połączono z < AzureAD >, a następnie kliknij polecenie Rozłącz.

    3. Gdy zostanie wyświetlony monit o potwierdzenie, kliknij przycisk Tak .

    4. Kliknij przycisk Rozłącz , gdy zostanie wyświetlony monit o "Odłącz od organizacji."
      Odłącz od organizacji

    5. Wprowadź informacje o koncie administratora lokalnego dla urządzenia.

    6. Kliknij ponowne uruchomienie systemu później.
      Uruchom ponownie później, po odłączeniu od organizacji

  5. Wyczyść moduł TPM.

    Uwaga

    Wyczyszczenie modułu TPM spowoduje usunięcie wszystkich kluczy i haseł przechowywanych na urządzeniu. Upewnij się, że inne usługi, które są wykorzystując modułu TPM są zawieszone lub sprawdzania poprawności przed kontynuowaniem.


    Systemu Windows 8 lub nowszym: Funkcja BitLocker automatycznie jest zawieszone, jeśli używasz jednej z dwóch metod zalecanych do czyszczenia modułu TPM, poniżej.

    Systemu Windows 7: Ręczne zawieszenia funkcji BitLocker jest potrzebne przed kontynuowaniem. (Zobacz więcej informacji na temat zawieszenia funkcji BitLocker).
     

    1. Aby wyczyścić moduł TPM, użyj jednej z następujących metod:

      • Za pomocą Microsoft Management Console.

        1. Naciśnij klawisz Win + R, wpisz polecenie tpm.msc , a następnie kliknij przycisk OK.

        2. Kliknij przycisk Wyczyść moduł TPM.
          Wyczyść moduł TPM w konsoli programu MMC

      • Uruchom aplet polecenia modułu Tpm Clear.

    2. Kliknij przycisk Uruchom ponownie.
      Uruchom ponownie po wyczyszczeniu modułu TPM


      Uwaga Może zostać wyświetlony czyszczenia modułu TPM przy uruchamianiu.

  6. Po ponownym uruchomieniu urządzenia, zaloguj się do urządzenia przy użyciu konta administratora lokalnego.

  7. Ponownie dołączyć urządzenie do Azure AD. Może zostać wyświetlony monit zdefiniować nowy kod PIN przy następnym logowaniu się.

  1. Jeśli zalogowano się za pomocą konta Microsoft na urządzeniu wybierz kolejno opcje Ustawienia > konta > konta E-mail i aplikację i Usuń połączonego konta.
    Usuwanie połączonego konta

  2. Z wiersza polecenia Uruchom następujące polecenie:

    dsregcmd.exe /leave /debug

    Uwaga

    Dane wyjściowe polecenia należy wskazać AzureADJoined: nr.

     

  3. Zainstaluj aktualizację oprogramowania układowego dla urządzenia.

    Uwaga

    Uwaga: Wykonaj wskazówki producenta OEM dotyczące zastosowania aktualizacji oprogramowania sprzętowego modułu TPM. Zobacz krok 4: "Zastosuj aktualizacje oprogramowania układowego mające zastosowanie" w Microsoft Security Advisory ADV170012 , aby uzyskać informacje dotyczące sposobu uzyskiwania tej aktualizacji modułu TPM od producenta OEM.

  4. Wyczyść moduł TPM.

    Uwaga

    Wyczyszczenie modułu TPM spowoduje usunięcie wszystkich kluczy i haseł przechowywanych na urządzeniu. Upewnij się, że inne usługi, które są wykorzystując modułu TPM są zawieszone lub sprawdzania poprawności przed kontynuowaniem.


    Systemu Windows 8 lub nowszym: Funkcja BitLocker automatycznie jest zawieszone, jeśli używasz jednej z dwóch metod zalecanych do czyszczenia modułu TPM, poniżej.

    Systemu Windows 7: Ręczne zawieszenia funkcji BitLocker jest potrzebne przed kontynuowaniem. (Zobacz więcej informacji na temat zawieszenia funkcji BitLocker).

     

    1. Aby wyczyścić moduł TPM, użyj jednej z następujących metod:

      • Za pomocą Microsoft Management Console.

        1. Naciśnij klawisz Win + R, wpisz polecenie tpm.msc , a następnie kliknij przycisk OK.

        2. Kliknij przycisk Wyczyść moduł TPM.
          Wyczyść moduł TPM w konsoli programu MMC

      • Uruchom aplet polecenia modułu Tpm Clear.

    2. Kliknij przycisk Uruchom ponownie.
      Uwaga Może zostać wyświetlony czyszczenia modułu TPM przy uruchamianiu.

Podczas uruchamiania urządzenia, system Windows generuje nowe klucze i automatycznie przyłączy urządzenia do Azure AD. W tym czasie możesz kontynuować korzystanie z urządzenia. Jednak dostęp do zasobów, takich jak Microsoft Outlook, OneDrive i inne aplikacje, które wymagają rejestracji Jednokrotnej lub zasady dostępu warunkowego może być ograniczona.

Uwaga Jeśli używasz konta Microsoft, trzeba znać hasło.

  1. Zainstaluj aktualizację oprogramowania układowego dla urządzenia.

    Uwaga

    Wykonaj wskazówki producenta OEM dotyczące zastosowania aktualizacji oprogramowania sprzętowego modułu TPM. Zobacz krok 4: "Zastosuj aktualizacje oprogramowania układowego mające zastosowanie" w Microsoft Security Advisory ADV170012 , aby uzyskać informacje dotyczące sposobu uzyskiwania tej aktualizacji modułu TPM od producenta OEM.

     

  2. Usuń konto służbowe Azure AD.

    1. Wybierz kolejno opcje Ustawienia > konta > dostęp do pracy i w szkole, kliknij swoje konto pracy lub szkole, a następnie kliknij Rozłącz.

    2. W wierszu polecenia, aby potwierdzić odłączenie kliknij przycisk Tak .

  3. Wyczyść moduł TPM.

    Uwaga

    Wyczyszczenie modułu TPM spowoduje usunięcie wszystkich kluczy i haseł przechowywanych na urządzeniu. Upewnij się, że inne usługi, które są wykorzystując modułu TPM są zawieszone lub sprawdzania poprawności przed kontynuowaniem.


    Systemu Windows 8 lub nowszym: Funkcja BitLocker automatycznie jest zawieszone, jeśli używasz jednej z dwóch metod zalecanych do czyszczenia modułu TPM, poniżej.

    Systemu Windows 7: Ręczne zawieszenia funkcji BitLocker jest potrzebne przed kontynuowaniem. (Zobacz więcej informacji na temat zawieszenia funkcji BitLocker).

     

    1. Aby wyczyścić moduł TPM, użyj jednej z następujących metod:

      • Za pomocą Microsoft Management Console.

        1. Naciśnij klawisz Win + R, wpisz polecenie tpm.msc , a następnie kliknij przycisk OK.

        2. Kliknij przycisk Wyczyść moduł TPM.

      • Uruchom aplet polecenia modułu Tpm Clear.

    2. Kliknij przycisk Uruchom ponownie.


      Uwaga Może zostać wyświetlony monit aby wyczyścić moduł TPM przy uruchamianiu.

    3. Jeśli użyto konta Microsoft, które ma numer PIN, należy zalogować się do urządzenia przy użyciu hasła.

    4. Dodaj konto służbowe na urządzenie.

      1. Wybierz kolejno opcje Ustawienia > konta > dostęp do pracy i w szkole i kliknij przycisk Połącz.
        Podłącz do pracy lub szkoły

      2. Wprowadź konto służbowe, a następnie kliknij przycisk Dalej.
        Konfigurowanie konta służbowego

      3. Wprowadź konto służbowe i hasło, a następnie kliknij Zaloguj się.

      4. Jeśli w organizacji są skonfigurowane Azure wieloczynnikowe uwierzytelnianie dla przyłączania urządzeń do Azure AD, przed kontynuowaniem należy podać drugim czynnikiem.

      5. Sprawdź, czy informacje wyświetlane jest poprawny, a następnie kliknij Dołącz. Zobaczysz następujący komunikat:

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×