Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Acest articol ajută la identificarea și remedierea problemelor în dispozitivele care sunt afectate de vulnerabilitate care este descrisă în Microsoft Security Advisory ADV170012.

Acest proces se concentrează pe următoarele Windows Salutări pentru afaceri (WHFB) și scenarii de utilizare Azure AD (dai) oferite de Microsoft:

  • Azure AD unire

  • Hibrid Azure AD unire

  • Azure AD înregistrate

Mai multe informații

Identifica scenariul dvs. de utilizare dan

  1. Deschideți o fereastră Prompt de comandă.

  2. Obțineți starea dispozitivului executând următoarea comandă:

    dsregcmd.exe /status

  3. În rezultatele comenzii, examinați valorile de proprietăți care sunt listate în următorul tabel pentru a determina scenariul dvs. de utilizare dan.

    Proprietate

    Descrierea

    AzureAdJoined

    Indică dacă dispozitivul este asociat la Azure AD.

    EnterpriseJoined

    Indică dacă t că dispozitivul este asociat la AD FS. Aceasta face parte dintr-un scenariu de client pe local-doar în cazul în care Windows Salutări pentru afaceri este implementat și gestionat local.

    DomainJoined

    Indică dacă dispozitivul este asociat la un domeniu tradițională de Active Directory.

    WorkplaceJoined

    Indică dacă utilizatorul curent a adăugat un cont de birou sau la școală la profilul lor curentă. Aceasta este cunoscută ca Azure AD înregistrate. Această setare este ignorată de sistem, dacă dispozitivul este AzureAdJoined.

Hibrid Azure AD asociat

Dacă Dasunt DomainJoined și AzureAdJoined, dispozitivul este hibrid Azure AD asociat. De aceea, dispozitivul este asociat la Azure Active Directory și un domeniu tradițională de Active Directory.

Flux de lucru

Implementări și implementări pot varia în organizații. Am conceput următorul flux de lucru pentru a furniza instrumentele de care aveți nevoie pentru a dezvolta abonamentul intern pentru a diminua orice dispozitive afectate. Fluxul de lucru are următorii pași:

  1. Identifica dispozitivele afectate. Mediul dvs. pentru afectate trusted platformă module (TPMs), chei de căutare și dispozitive.

  2. Corecție dispozitivele afectate. Remedia efectele pe dispozitivele identificate urmând pașii specific unui scenariu care sunt listate în acest articol.

Notă privind golirea TPMs

Deoarece trusted platformă module sunt utilizate pentru a stoca secretele care sunt utilizate de diferite servicii și aplicații, golirea TPM poate avea impact neprevăzute sau negativă de afaceri. Înainte de golirea TPM orice, asigurați-vă că pentru a investiga și validarea că toate serviciile și aplicațiile care utilizează TPM susținută secretele au fost corect identificate şi pregătite pentru ștergere secretă şi recreare.

Cum se identifică dispozitivele afectate

Pentru a identifica TPMs afectate, consultați Microsoft Security Advisory ADV170012.

Modul de dispozitive de corecție afectate

Utilizați pașii următori pe dispozitivele afectate în funcţie de dan scenariu de utilizare.

  1. Asigurați-vă că un cont de administrator local valid există pe dispozitiv sau crearea unui cont de administrator local.

    Notă

    Este o practici recomandate pentru a verifica dacă funcționează contul de conectare la dispozitivul utilizând noul cont de administrator local și confirmați permisiunile corecte, deschideți un prompt de comandă privilegiat.

     

  2. Dacă aveți Sign in cu un cont Microsoft pe dispozitivul, accesați Setări > conturi > conturi de E-mail și aplicații și eliminare cont conectat.
    Eliminați contul conectat

  3. Instalați o actualizare de firmware pentru dispozitiv.

    Notă

    Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.

     

  4. Părăsiţi dispozitivul din Azure AD.

    Notă

    Asigurați-vă că cheia BitLocker este sigur copii de rezervă altundeva decât computerul local înainte de a continua.

    1. Accesați setări > sistem > despreși apoi faceți clic pe gestionare sau deconectați de la școală sau.

    2. Conectat la < AzureAD >și faceți clic pe Deconectare.

    3. Faceți clic pe Da când vi se solicită confirmarea.

    4. Faceți clic pe Deconectare atunci când vi se solicită să "Deconectare din organizație."
      Deconectați de la organizație

    5. Introduceți informațiile contului de administrator local pentru dispozitiv.

    6. Faceți clic pe repornire mai târziu.
      Reporniți mai târziu după deconectarea de la organizație

  5. Debifați TPM.

    Notă

    Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.


    Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.

    Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)
     

    1. Pentru a goli TPM, utilizați una dintre următoarele metode:

      • Utilizați Microsoft Management Console.

        1. Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.

        2. Faceți clic pe Ștergere TPM.
          Debifați TPM în MMC

      • Executați cmdletul Tpm clar.

    2. Faceți clic pe repornire.
      Reporniți după golirea TPM


      Notă Se poate solicita să debifați TPM la startup.

  6. După repornirea dispozitivului, faceți sign in pe dispozitiv, utilizând contul Administrator local.

  7. Reasocierea dispozitivul la Azure AD. Se poate solicita să configurați un PIN nou la următoarea conectare.

  1. Dacă ați făcut Sign utilizând un cont Microsoft pe dispozitivul dvs., accesați Setări > conturi > conturi de E-mail și aplicații și eliminare cont conectat.
    Eliminați contul conectat

  2. De la un prompt de comandă cu drepturi sporite, executaţi următoarea comandă:

    dsregcmd.exe /leave /debug

    Notă

    Ieșire comandă ar trebui să indice AzureADJoined: No.

     

  3. Instalați o actualizare de firmware pentru dispozitiv.

    Notă

    Notă Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.

  4. Debifați TPM.

    Notă

    Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.


    Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.

    Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)

     

    1. Pentru a goli TPM, utilizați una dintre următoarele metode:

      • Utilizați Microsoft Management Console.

        1. Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.

        2. Faceți clic pe Ștergere TPM.
          Debifați TPM în MMC

      • Executați cmdletul Tpm clar.

    2. Faceți clic pe repornire.
      Notă Se poate solicita să debifați TPM la startup.

Când pornește dispozitivul, Windows generează noi chei și se automat dispozitivul la Azure AD. În acest timp, este posibil să continuați să utilizați dispozitivul. Cu toate acestea, accesul la resurse, cum ar fi Microsoft Outlook, OneDrive și alte aplicații care necesită SSO sau politici de acces condițională poate fi limitat.

Notă Dacă utilizați un cont Microsoft, trebuie să știți parola.

  1. Instalați o actualizare de firmware pentru dispozitiv.

    Notă

    Urmaţi de orientare de OEM pentru a aplica actualizarea de firmware TPM. Consultaţi Pasul 4: "Se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.

     

  2. Eliminați contul de serviciu Azure AD.

    1. Accesați setări > conturi > școală sau Access, faceți clic pe contul de birou sau la școală și apoi faceți clic pe Deconectare.

    2. Faceți clic pe Da în cere să confirmați deconectat.

  3. Debifați TPM.

    Notă

    Golirea TPM va elimina toate cheile și secretele care sunt stocate pe dispozitivul dumneavoastră. Asigurați-vă că alte servicii care sunt utilizarea TPM se suspendă sau validate înainte de a continua.


    Windows 8 sau o versiune ulterioară: BitLocker este suspendat automat dacă utilizați oricare dintre cele două metode recomandate pentru golirea TPM dvs., mai jos.

    Windows 7: Suspendarea manuală a BitLocker este necesară înainte de a continua. (Vedeți mai multe informații despre suspendați BitLocker.)

     

    1. Pentru a goli TPM, utilizați una dintre următoarele metode:

      • Utilizați Microsoft Management Console.

        1. Apăsați Win + R, tastați tpm.msc și faceți clic pe OK.

        2. Faceți clic pe Ștergere TPM.

      • Executați cmdletul Tpm clar.

    2. Faceți clic pe repornire.


      Notă Se poate solicita să debifați dumneavoastră TPM la startup.

    3. Dacă ați folosit un cont Microsoft, care are un PIN, trebuie să faceți sign in pe dispozitivul utilizând parola.

    4. Adăugați contul de serviciu la dispozitivul.

      1. Accesați setări > conturi > școală sau acces şi faceţi clic pe Connect.
        Conectarea la locul de muncă sau school

      2. Introduceți contul de serviciu, și apoi faceți clic pe Următorul.
        Configurarea unui cont de birou sau la școală

      3. Introduceți contul de serviciu și parola, și apoi faceți clic pe Sign in.

      4. Dacă organizația dvs. are configurat Azure multi-factor Authentication pentru conectare la dispozitivele la Azure AD, furnizați al doilea factor înainte de a continua.

      5. Validarea că informațiile afișate este corectă și apoi pe Alăturați-vă. Ar trebui să vedeți următorul mesaj:

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×