สรุป

บทความนี้ช่วยระบุ และแก้ไขปัญหาในอุปกรณ์ที่ได้รับผลกระทบ โดยช่องโหว่ที่ได้อธิบายไว้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft

กระบวนการนี้มุ่งเน้นต่อไปนี้ Windows สวัสดี สำหรับธุรกิจ (WHFB) และสถานการณ์การใช้งานโฆษณา Azure (AAD)ที่เสนอ โดย Microsoft:

  • รวมโฆษณา azure

  • รวมไฮบริดสลี Azure โฆษณา

  • Azure โฆษณาที่ลงทะเบียน

ข้อมูลเพิ่มเติม

ระบุสถานการณ์จำลองการใช้งานของคุณ AAD

  1. เปิดหน้าต่างพร้อมรับคำสั่ง

  2. เรียกดูสถานะอุปกรณ์ตามลำดับ โดยการเรียกใช้คำสั่งต่อไปนี้:dsregcmd.exe /status

  3. ในผลลัพธ์จากคำสั่ง ตรวจสอบค่าของคุณสมบัติที่มีอยู่ในตารางต่อไปนี้เพื่อกำหนดสถานการณ์จำลองการใช้งานของคุณ AAD

    คุณสมบัติ

    คำอธิบาย

    AzureAdJoined

    บ่งชี้ว่า อุปกรณ์ถูกเชื่อมต่อกับ Azure AD.

    EnterpriseJoined

    บ่งชี้ว่า t he อุปกรณ์ได้เข้าร่วมกับ FS โฆษณารับสมัครงาน นี่คือส่วนของสถานการณ์สมมติบนสถานเฉพาะลูกค้าที่ Windows สวัสดี สำหรับธุรกิจมีการปรับใช้ และจัดการในสถาน

    DomainJoined

    บ่งชี้ว่า อุปกรณ์ได้เข้าร่วมกับโดเมนของไดเรกทอรีที่ใช้งานอยู่เป็นแบบดั้งเดิม

    WorkplaceJoined

    ระบุว่า ผู้ใช้ปัจจุบันมีรวมบัญชีทำงาน หรือที่โรงเรียนของโพรไฟล์ปัจจุบัน ซึ่งเรียกว่าAzure โฆษณาลงทะเบียน การตั้งค่านี้จะถูกละเว้น โดยระบบถ้าอุปกรณ์เป็น AzureAdJoined

ไฮบริดสลีโฆษณา Azure เข้าร่วม

กรณีที่ DomainJoined และ AzureAdJoined คือใช่อุปกรณ์ดังกล่าวเชื่อมต่อ Azure AD ไฮบริดสลี ดังนั้น อุปกรณ์เชื่อมกับ Azure Active Directory และโดเมนของไดเรกทอรีที่ใช้งานอยู่เป็นแบบดั้งเดิม

ลำดับงาน

ปรับใช้และการทำงานอาจแตกต่างกันทั่วทั้งองค์กร เราได้ออกแบบเวิร์กโฟลว์เพื่อให้เครื่องมือที่คุณจำเป็นต้องพัฒนาแผนของคุณเองภายในเพื่อบรรเทาอุปกรณ์ที่ได้รับผลกระทบใดๆ ต่อไปนี้ ลำดับงานมีขั้นตอนต่าง ๆ ต่อไปนี้:

  1. ระบุอุปกรณ์ที่ได้รับผลกระทบ สภาพแวดล้อมของคุณสำหรับโมดูลแพลตฟอร์มที่เชื่อถือได้ (TPMs), ที่ได้รับผลกระทบคีย์ค้นหา และอุปกรณ์

  2. โปรแกรมแก้ไขอุปกรณ์ได้รับผลกระทบ แก้ไขลักษณะพิเศษบนอุปกรณ์ที่ระบุ โดยทำตามขั้นตอนในสถานการณ์เฉพาะที่แสดงไว้ในบทความนี้

หมายเหตุในการล้าง TPMs

เนื่องจากโมดูลแพลตฟอร์มที่จะใช้เพื่อจัดเก็บคำถามลับที่ใช้ โดยบริการต่าง ๆ และสามารถกำหนดให้โปรแกรมประยุกต์ ล้าง TPM ที่เชื่อถือได้ส่งผลกระทบทางธุรกิจเมตริกซ์ หรือค่าลบ ก่อนที่จะล้าง TPM ใด ๆ ให้แน่ใจว่าได้ตรวจสอบ และตรวจสอบว่า บริการและโปรแกรมประยุกต์ที่ใช้สำรองข้อมูล TPM ความลับทั้งหมดได้อย่างถูกต้องระบุ และเตรียมพร้อมสำหรับการสร้างและการลบเป็นความลับ

วิธีการระบุอุปกรณ์ที่ได้รับผลกระทบ

เมื่อต้องการระบุ TPMs ที่ได้รับผลกระทบ อ้างอิงถึงADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft

วิธีการใช้โปรแกรมแก้ไขอุปกรณ์ที่ได้รับผลกระทบ

ใช้ขั้นตอนต่อไปนี้บนอุปกรณ์ได้รับผลกระทบตามสถานการณ์จำลองการใช้งานของคุณ AAD

  1. ตรวจสอบให้แน่ใจว่า บัญชีผู้ดูแลท้องถิ่นที่ถูกต้องที่มีอยู่บนอุปกรณ์หรือสร้างบัญชีผู้ดูแลท้องถิ่น

    หมายเหตุ

    แนวทางปฏิบัติแนะนำเพื่อตรวจสอบว่า บัญชีผู้ใช้ทำงานลงชื่อเข้าใช้ไปยังอุปกรณ์โดยใช้บัญชีผู้ดูแลท้องถิ่นใหม่ และยืนยันสิทธิที่ถูกต้อง โดยการเปิดพร้อมท์คำสั่งได้

     

  2. หากคุณได้ลงชื่อเข้าใช้ด้วยบัญชี Microsoftบนอุปกรณ์ ให้ไปที่การตั้งค่า>บัญชี>บัญชีอีเมล & appและเอาบัญชีเชื่อมต่อกัน เอาบัญชีผู้ใช้เชื่อมต่อ

  3. ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว

    หมายเหตุ

    ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ

     

  4. Unjoin อุปกรณ์จากโฆษณา Azure

    หมายเหตุ

    ตรวจสอบให้แน่ใจว่า คีย์ BitLocker แน่นสำรองไว้ที่ใดที่หนึ่งนอกเหนือจากคอมพิวเตอร์เครื่องนี้ก่อนที่คุณดำเนินต่อ

    1. ไปที่การตั้งค่า>ระบบ>เกี่ยวกับและคลิกจัดการ หรือตัดการเชื่อมต่อจากการทำงานหรือที่โรงเรียน

    2. คลิกการเชื่อมต่อกับ< AzureAD >และคลิกเชื่อมต่อ

    3. คลิกใช่เมื่อคุณได้รับพร้อมท์สำหรับการยอมรับ

    4. คลิกเลิกการเชื่อมต่อเมื่อคุณได้รับพร้อมท์ให้ "เลิกการเชื่อมต่อจากองค์กร" ตัดการเชื่อมต่อจากองค์กร

    5. ป้อนข้อมูลบัญชีผู้ใช้ admin ภายในเครื่องสำหรับอุปกรณ์

    6. คลิเริ่มต้นใหม่ในภายหลัง เริ่มระบบใหม่หลังจากยกเลิกการเชื่อมจากองค์กรในภายหลัง

  5. ล้างข้อมูล TPM

    หมายเหตุ

    ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป

    Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่าง

    Windows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)  

    1. เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:

      • ใช้คอนโซลการจัดการของ Microsoft

        1. กด Win + R พิมพ์tpm.mscและคลิกตกลง

        2. คลิกล้างข้อมูล TPM ล้างข้อมูล TPM ใน MMC

      • เรียกใช้cmdlet ล้าง Tpm

    2. คลิกเริ่มใหม่ เริ่มระบบใหม่หลังจากการล้าง TPMหมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM เมื่อเริ่มต้น

  6. หลังจากรีสตาร์ทอุปกรณ์ เข้าสู่ระบบไปยังอุปกรณ์ โดยใช้บัญชีผู้ดูแลระบบภายในเครื่อง

  7. ข้อมูลอุปกรณ์เพื่อโฆษณา Azure คุณอาจได้รับพร้อมท์เพื่อตั้งค่า PIN ใหม่ ณถัดไปในการเข้าระบบ

  1. ถ้าคุณลงชื่อเข้าใช้ โดยใช้บัญชี Microsoftบนอุปกรณ์ของคุณ ให้ไปที่การตั้งค่า>บัญชี>บัญชีอีเมล & appและเอาบัญชีเชื่อมต่อกัน เอาบัญชีผู้ใช้เชื่อมต่อ

  2. จากพร้อมท์คำสั่ง เรียกใช้คำสั่งต่อไปนี้:dsregcmd.exe /leave /debug

    หมายเหตุ

    ผลลัพธ์จากคำสั่งควรบ่งชี้ถึง AzureADJoined:ไม่

     

  3. ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว

    หมายเหตุ

    หมายเหตุ ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ

  4. ล้างข้อมูล TPM

    หมายเหตุ

    ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป

    Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่าง

    Windows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)

     

    1. เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:

      • ใช้คอนโซลการจัดการของ Microsoft

        1. กด Win + R พิมพ์tpm.mscและคลิกตกลง

        2. คลิกล้างข้อมูล TPM ล้างข้อมูล TPM ใน MMC

      • เรียกใช้cmdlet ล้าง Tpm

    2. คลิกเริ่มใหม่หมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM เมื่อเริ่มต้น

เมื่ออุปกรณ์เริ่มต้น Windows สร้างคีย์ใหม่ และ rejoins อุปกรณ์เพื่อโฆษณา Azure โดยอัตโนมัติ ในระหว่างนี้ คุณอาจยังใช้อุปกรณ์ดังกล่าว อย่างไรก็ตาม เข้าถึงทรัพยากรต่าง ๆ เช่น Microsoft Outlook, OneDrive และโปรแกรมประยุกต์อื่น ๆ ที่ต้องใช้ SSO หรือนโยบายการเข้าถึงแบบมีเงื่อนไขอาจถูกจำกัดไว้

หมายเหตุ ถ้าคุณใช้บัญชี Microsoft คุณต้องทราบรหัสผ่าน

  1. ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว

    หมายเหตุ

    ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ

     

  2. เอาบัญชีผู้ใช้ทำงานโฆษณา Azure

    1. ไปที่การตั้งค่า>บัญชี>การเข้างานหรือที่โรงเรียนคลิกบัญชีผู้ใช้ของคุณทำงาน หรือที่โรงเรียน และจากนั้น คลิกเลิกการเชื่อมต่อ

    2. คลิกใช่ในพรอมต์เพื่อยืนยันการ disconnection

  3. ล้างข้อมูล TPM

    หมายเหตุ

    ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป

    Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่าง

    Windows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)

     

    1. เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:

      • ใช้คอนโซลการจัดการของ Microsoft

        1. กด Win + R พิมพ์tpm.mscและคลิกตกลง

        2. คลิกล้างข้อมูล TPM

      • เรียกใช้cmdlet ล้าง Tpm

    2. คลิกเริ่มใหม่หมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM ของคุณเมื่อเริ่มต้น

    3. ถ้าคุณใช้บัญชี Microsoft ที่มี PIN คุณจำเป็นต้องเข้าสู่ระบบไปยังอุปกรณ์ โดยใช้รหัสผ่าน

    4. เพิ่มบัญชีผู้ใช้ทำงานย้อนกลับไปยังอุปกรณ์

      1. ไปที่การตั้งค่า>บัญชี>การเข้างานหรือที่โรงเรียนคลิกเชื่อมต่อ การเชื่อมต่อทำงาน หรือที่โรงเรียน

      2. ป้อนบัญชีของคุณทำงาน และจากนั้น คลิกถัดไป ตั้งค่าบัญชีผู้ใช้ทำงาน หรือที่โรงเรียน

      3. ป้อนงานบัญชีและรหัสผ่านของคุณ แล้ว คลิ กลงชื่อเข้าใช้ใน

      4. ถ้าองค์กรของคุณได้กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัย Azure สำหรับการรวมอุปกรณ์เพื่อโฆษณา Azure มีปัจจัยสองก่อนที่คุณดำเนินต่อ

      5. ตรวจสอบว่า ข้อมูลที่แสดงไม่ถูกต้อง และจากนั้น คลิกเข้าร่วม คุณควรเห็นข้อความต่อไปนี้:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders