Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Обзор

В этой статье помогает определить и устранить неполадки устройства, которые подвержены уязвимости, описанной в Рекомендации ADV170012 безопасности корпорации Майкрософт.

Этот процесс фокусируется на следующем Windows Hello для бизнеса (WHFB) и сценарии использования Azure AD (AAD) , предлагаемых корпорацией Майкрософт:

  • Соединения azure AD

  • Соединения гибридный Azure AD

  • Зарегистрирован azure AD

Дополнительные сведения

Идентифицировать ваш сценарий использования AAD

  1. Откройте окно командной строки.

  2. Получите состояние устройства, выполнив следующую команду:

    dsregcmd.exe /status

  3. В выходных данных команды проверьте значения свойств, перечисленных в следующей таблице, чтобы определить ваш сценарий использования AAD.

    Свойство

    Описание

    AzureAdJoined

    Указывает, является ли устройство входит в Azure AD.

    EnterpriseJoined

    Указывает, является ли t устройство он присоединен к AD FS. Это является частью сценария клиента на помещений только где Windows Hello для бизнеса развертывается и управляются на предприятии.

    DomainJoined

    Указывает, является ли устройство присоединен к традиционным домена Active Directory.

    WorkplaceJoined

    Указывают ли текущий пользователь добавлен в свой текущий профиль учетной работы или школы. Это называется Azure AD зарегистрирован. Этот параметр игнорируется системой, если это устройство является AzureAdJoined.

Соединенные гибридный Azure AD

Если Да, DomainJoined и AzureAdJoined, устройство является гибридный объединенных Azure AD. Таким образом устройство присоединяется к Azure Active Directory и традиционных домена Active Directory.

Рабочий процесс

Развертывания и реализации могут различаться в разных организациях. Мы разработали следующий рабочий процесс предоставлять средства, необходимые для разработки внутреннего плана по снижению соответствующих устройств. Рабочий процесс состоит из следующих шагов.

  1. Определение уязвимых устройств. Среду для особой доверенным платформенным модулей (доверенными платформенными модулями), ключи поиска и устройств.

  2. Исправление, затрагиваемых устройств. Исправить эффекты на определенных устройствах по шагам отдельных сценариев, описанных в этой статье.

Обратите внимание на удаление доверенных платформенных модулях

Так как доверенные модули платформы позволяют хранить секретные данные, которые используются различными службами и приложениями, очистка модуля TPM могут иметь бизнес непредвиденные или отрицательные последствия. Перед очисткой любой доверенный платформенный модуль, убедитесь, что для изучения и проверки, всех служб и приложений, использующих доверенный платформенный модуль резервного секреты были правильно определены и подготовлен секретный удаления и отдых.

Определение уязвимых устройств

Чтобы определить затронутые доверенными платформенными модулями, обратитесь к ADV170012 рекомендации безопасности Microsoft.

Как исправить затрагиваемых устройств

На соответствующих устройствах согласно сценарию использования AAD, выполните следующие действия.

  1. Убедитесь в том, что существует допустимое локальную учетную запись администратора на устройстве или Создать учетную запись локального администратора.

    Примечание

    Это рекомендуется для убедитесь, что учетная запись работает вход на устройстве с помощью учетной записи локального администратора и подтверждения разрешения, откройте командную строку с повышенными правами.

     

  2. Если выполнен вход с использованием учетной записи Майкрософт на устройстве, перейдите на страницу настройки > учетные записи > учетные записи электронной почты и приложений и удаление подключенной учетной записью.
    Удаление учетной записи подключения

  3. Обновление микропрограммного обеспечения устройства.

    Примечание

    Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.

     

  4. Отсоединить устройство от Azure AD.

    Примечание

    Убедитесь, что ключ BitLocker безопасного резервного копирования где-нибудь не с локального компьютера перед продолжением.

    1. Откройте настройки > Система > о, а затем нажмите Управление или отключиться от работы или школы.

    2. Нажмите кнопку подключения < AzureAD >и нажмите кнопку Отключить.

    3. Для подтверждения нажмите кнопку Да .

    4. Нажмите кнопку Отключить , когда появится «Отключить из организации».
      Отключиться от организации

    5. Введите данные учетной записи локального администратора для устройства.

    6. Нажмите кнопку Перезагрузить позже.
      Перезагрузить позже, после отключения от организации

  5. Очистить доверенный платформенный модуль.

    Примечание

    Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.


    Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.

    Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)
     

    1. Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:

      • Использование консоли управления Microsoft.

        1. Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.

        2. Нажмите кнопку Очистить доверенный платформенный модуль.
          Очистить доверенный платформенный модуль в консоли MMC

      • Выполните очистку Tpm командлета.

    2. Нажмите кнопку перезагрузить.
      Перезапустить после очистки доверенного платформенного МОДУЛЯ


      Примечание. Может быть предложено очистить доверенный платформенный модуль при запуске.

  6. После перезагрузки устройство вход устройства с помощью учетной записи локального администратора.

  7. Повторного присоединения устройства для Azure AD. Может быть предложено установить новый ПИН-код при следующем входе на.

  1. Если вы выполнили вход с использованием учетной записи Майкрософт на устройстве, перейдите на страницу настройки > учетные записи > учетные записи электронной почты и приложений и удаление подключенной учетной записью.
    Удаление учетной записи подключения

  2. Из командной строки с повышенными привилегиями выполните следующую команду:

    dsregcmd.exe /leave /debug

    Примечание

    Выходные данные команды следует указать AzureADJoined: Нет.

     

  3. Обновление микропрограммного обеспечения устройства.

    Примечание

    Примечание Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.

  4. Очистить доверенный платформенный модуль.

    Примечание

    Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.


    Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.

    Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)

     

    1. Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:

      • Использование консоли управления Microsoft.

        1. Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.

        2. Нажмите кнопку Очистить доверенный платформенный модуль.
          Очистить доверенный платформенный модуль в консоли MMC

      • Выполните очистку Tpm командлета.

    2. Нажмите кнопку перезагрузить.
      Примечание. Может быть предложено очистить доверенный платформенный модуль при запуске.

При запуске устройства Windows создает новые ключи и автоматически присоединится устройства для Azure AD. В течение этого времени могут продолжать использовать устройство. Тем не менее, доступ к ресурсам, таким как Microsoft Outlook, OneDrive и других приложений, требующих единого входа или политики условного доступа могут быть ограничены.

Примечание. При использовании учетной записи Microsoft, необходимо знать пароль.

  1. Обновление микропрограммного обеспечения устройства.

    Примечание

    Следуйте указаниям изготовителя вычислительной Техники для применения обновления встроенного по доверенного платформенного МОДУЛЯ. См. шаг 4: «Применять обновления микропрограммного» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.

     

  2. Удаление учетной записи рабочих Azure AD.

    1. Откройте настройки > учетные записи > доступ к работе и в школе, выберите учетную запись работы или школы и выберите команду Отключить.

    2. Щелкните Да для подтверждения отключения.

  3. Очистить доверенный платформенный модуль.

    Примечание

    Очистка TPM будут удалены все ключи и секретные данные, которые хранятся на устройстве. Убедитесь в том, приостановлено или проверяться перед продолжением других служб, использующих доверенный платформенный модуль.


    Windows 8 или более поздней версии: BitLocker автоматически приостанавливается, если вы используете один из рекомендуемых способов очистки TPM, ниже.

    Windows 7: Перед продолжением необходимо вручную приостановки BitLocker. (Дополнительные сведения о приостановке BitLocker см.)

     

    1. Чтобы очистить доверенный платформенный модуль, используйте один из следующих методов:

      • Использование консоли управления Microsoft.

        1. Нажмите клавишу Win + R, введите tpm.msc и нажмите кнопку ОК.

        2. Нажмите кнопку Очистить доверенный платформенный модуль.

      • Выполните очистку Tpm командлета.

    2. Нажмите кнопку перезагрузить.


      Примечание. Может быть предложено очистить доверенный платформенный модуль при запуске.

    3. При использовании учетной записи Майкрософт с ПИН-кодом, необходимо войти в устройство с помощью пароля.

    4. Добавьте счет работы устройства.

      1. Откройте настройки > учетные записи > доступ к работе и в школе и нажмите кнопку Подключить.
        Подключиться к работе или школе

      2. Введите учетную запись рабочих и нажмите кнопку Далее.
        Настройка учетной записи рабочих или школы

      3. Рабочей учетной записи и пароль и нажмите кнопку Вход.

      4. Если в организации настроена Azure многофакторную проверку подлинности для присоединения устройства к Azure AD, обеспечивают второй фактор, прежде чем продолжить.

      5. Проверьте правильность отображаемые сведения и нажмите кнопку соединения. Вы увидите следующее сообщение:

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×