สรุป
บทความนี้ช่วยระบุ และแก้ไขปัญหาในอุปกรณ์ที่ได้รับผลกระทบ โดยช่องโหว่ที่ได้อธิบายไว้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft
กระบวนการนี้มุ่งเน้นต่อไปนี้ Windows สวัสดี สำหรับธุรกิจ (WHFB) และสถานการณ์การใช้งานโฆษณา Azure (AAD)ที่เสนอ โดย Microsoft:
-
รวมโฆษณา azure
-
รวมไฮบริดสลี Azure โฆษณา
-
Azure โฆษณาที่ลงทะเบียน
ข้อมูลเพิ่มเติม
ระบุสถานการณ์จำลองการใช้งานของคุณ AAD
-
เปิดหน้าต่างพร้อมรับคำสั่ง
-
เรียกดูสถานะอุปกรณ์ตามลำดับ โดยการเรียกใช้คำสั่งต่อไปนี้:
dsregcmd.exe /status -
ในผลลัพธ์จากคำสั่ง ตรวจสอบค่าของคุณสมบัติที่มีอยู่ในตารางต่อไปนี้เพื่อกำหนดสถานการณ์จำลองการใช้งานของคุณ AAD
คุณสมบัติ
คำอธิบาย
AzureAdJoined
บ่งชี้ว่า อุปกรณ์ถูกเชื่อมต่อกับ Azure AD.
EnterpriseJoined
บ่งชี้ว่า t he อุปกรณ์ได้เข้าร่วมกับ FS โฆษณารับสมัครงาน นี่คือส่วนของสถานการณ์สมมติบนสถานเฉพาะลูกค้าที่ Windows สวัสดี สำหรับธุรกิจมีการปรับใช้ และจัดการในสถาน
DomainJoined
บ่งชี้ว่า อุปกรณ์ได้เข้าร่วมกับโดเมนของไดเรกทอรีที่ใช้งานอยู่เป็นแบบดั้งเดิม
WorkplaceJoined
ระบุว่า ผู้ใช้ปัจจุบันมีรวมบัญชีทำงาน หรือที่โรงเรียนของโพรไฟล์ปัจจุบัน ซึ่งเรียกว่าAzure โฆษณาลงทะเบียน การตั้งค่านี้จะถูกละเว้น โดยระบบถ้าอุปกรณ์เป็น AzureAdJoined
ไฮบริดสลีโฆษณา Azure เข้าร่วม
กรณีที่ DomainJoined และ AzureAdJoined คือใช่อุปกรณ์ดังกล่าวเชื่อมต่อ Azure AD ไฮบริดสลี ดังนั้น อุปกรณ์เชื่อมกับ Azure Active Directory และโดเมนของไดเรกทอรีที่ใช้งานอยู่เป็นแบบดั้งเดิม
ลำดับงาน
ปรับใช้และการทำงานอาจแตกต่างกันทั่วทั้งองค์กร เราได้ออกแบบเวิร์กโฟลว์เพื่อให้เครื่องมือที่คุณจำเป็นต้องพัฒนาแผนของคุณเองภายในเพื่อบรรเทาอุปกรณ์ที่ได้รับผลกระทบใดๆ ต่อไปนี้ ลำดับงานมีขั้นตอนต่าง ๆ ต่อไปนี้:
-
ระบุอุปกรณ์ที่ได้รับผลกระทบ สภาพแวดล้อมของคุณสำหรับโมดูลแพลตฟอร์มที่เชื่อถือได้ (TPMs), ที่ได้รับผลกระทบคีย์ค้นหา และอุปกรณ์
-
โปรแกรมแก้ไขอุปกรณ์ได้รับผลกระทบ แก้ไขลักษณะพิเศษบนอุปกรณ์ที่ระบุ โดยทำตามขั้นตอนในสถานการณ์เฉพาะที่แสดงไว้ในบทความนี้
หมายเหตุในการล้าง TPMs
เนื่องจากโมดูลแพลตฟอร์มที่จะใช้เพื่อจัดเก็บคำถามลับที่ใช้ โดยบริการต่าง ๆ และสามารถกำหนดให้โปรแกรมประยุกต์ ล้าง TPM ที่เชื่อถือได้ส่งผลกระทบทางธุรกิจเมตริกซ์ หรือค่าลบ ก่อนที่จะล้าง TPM ใด ๆ ให้แน่ใจว่าได้ตรวจสอบ และตรวจสอบว่า บริการและโปรแกรมประยุกต์ที่ใช้สำรองข้อมูล TPM ความลับทั้งหมดได้อย่างถูกต้องระบุ และเตรียมพร้อมสำหรับการสร้างและการลบเป็นความลับ
วิธีการระบุอุปกรณ์ที่ได้รับผลกระทบ
เมื่อต้องการระบุ TPMs ที่ได้รับผลกระทบ อ้างอิงถึงADV170012 คำแนะนำด้านความปลอดภัยของ Microsoft
วิธีการใช้โปรแกรมแก้ไขอุปกรณ์ที่ได้รับผลกระทบ
ใช้ขั้นตอนต่อไปนี้บนอุปกรณ์ได้รับผลกระทบตามสถานการณ์จำลองการใช้งานของคุณ AAD
-
ตรวจสอบให้แน่ใจว่า บัญชีผู้ดูแลท้องถิ่นที่ถูกต้องที่มีอยู่บนอุปกรณ์หรือสร้างบัญชีผู้ดูแลท้องถิ่น
หมายเหตุ
แนวทางปฏิบัติแนะนำเพื่อตรวจสอบว่า บัญชีผู้ใช้ทำงานลงชื่อเข้าใช้ไปยังอุปกรณ์โดยใช้บัญชีผู้ดูแลท้องถิ่นใหม่ และยืนยันสิทธิที่ถูกต้อง โดยการเปิดพร้อมท์คำสั่งได้
-
หากคุณได้ลงชื่อเข้าใช้ด้วยบัญชี Microsoftบนอุปกรณ์ ให้ไปที่การตั้งค่า>บัญชี>บัญชีอีเมล & appและเอาบัญชีเชื่อมต่อกัน
-
ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว
หมายเหตุ
ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ
-
Unjoin อุปกรณ์จากโฆษณา Azure
หมายเหตุ
ตรวจสอบให้แน่ใจว่า คีย์ BitLocker แน่นสำรองไว้ที่ใดที่หนึ่งนอกเหนือจากคอมพิวเตอร์เครื่องนี้ก่อนที่คุณดำเนินต่อ
-
ไปที่การตั้งค่า>ระบบ>เกี่ยวกับและคลิกจัดการ หรือตัดการเชื่อมต่อจากการทำงานหรือที่โรงเรียน
-
คลิกการเชื่อมต่อกับ< AzureAD >และคลิกเชื่อมต่อ
-
คลิกใช่เมื่อคุณได้รับพร้อมท์สำหรับการยอมรับ
-
คลิกเลิกการเชื่อมต่อเมื่อคุณได้รับพร้อมท์ให้ "เลิกการเชื่อมต่อจากองค์กร"
-
ป้อนข้อมูลบัญชีผู้ใช้ admin ภายในเครื่องสำหรับอุปกรณ์
-
คลิเริ่มต้นใหม่ในภายหลัง
-
-
ล้างข้อมูล TPM
หมายเหตุ
ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป
Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่างWindows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)
-
เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:
-
ใช้คอนโซลการจัดการของ Microsoft
-
กด Win + R พิมพ์tpm.mscและคลิกตกลง
-
คลิกล้างข้อมูล TPM
-
-
เรียกใช้cmdlet ล้าง Tpm
-
-
คลิกเริ่มใหม่
หมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM เมื่อเริ่มต้น
-
-
หลังจากรีสตาร์ทอุปกรณ์ เข้าสู่ระบบไปยังอุปกรณ์ โดยใช้บัญชีผู้ดูแลระบบภายในเครื่อง
-
ข้อมูลอุปกรณ์เพื่อโฆษณา Azure คุณอาจได้รับพร้อมท์เพื่อตั้งค่า PIN ใหม่ ณถัดไปในการเข้าระบบ
-
ถ้าคุณลงชื่อเข้าใช้ โดยใช้บัญชี Microsoftบนอุปกรณ์ของคุณ ให้ไปที่การตั้งค่า>บัญชี>บัญชีอีเมล & appและเอาบัญชีเชื่อมต่อกัน
-
จากพร้อมท์คำสั่ง เรียกใช้คำสั่งต่อไปนี้:
dsregcmd.exe /leave /debugหมายเหตุ
ผลลัพธ์จากคำสั่งควรบ่งชี้ถึง AzureADJoined:ไม่
-
ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว
หมายเหตุ
หมายเหตุ ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ
-
ล้างข้อมูล TPM
หมายเหตุ
ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป
Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่างWindows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)
-
เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:
-
ใช้คอนโซลการจัดการของ Microsoft
-
กด Win + R พิมพ์tpm.mscและคลิกตกลง
-
คลิกล้างข้อมูล TPM
-
-
เรียกใช้cmdlet ล้าง Tpm
-
-
คลิกเริ่มใหม่
หมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM เมื่อเริ่มต้น
-
เมื่ออุปกรณ์เริ่มต้น Windows สร้างคีย์ใหม่ และ rejoins อุปกรณ์เพื่อโฆษณา Azure โดยอัตโนมัติ ในระหว่างนี้ คุณอาจยังใช้อุปกรณ์ดังกล่าว อย่างไรก็ตาม เข้าถึงทรัพยากรต่าง ๆ เช่น Microsoft Outlook, OneDrive และโปรแกรมประยุกต์อื่น ๆ ที่ต้องใช้ SSO หรือนโยบายการเข้าถึงแบบมีเงื่อนไขอาจถูกจำกัดไว้
หมายเหตุ ถ้าคุณใช้บัญชี Microsoft คุณต้องทราบรหัสผ่าน
-
ติดตั้งการปรับปรุงเฟิร์มแวร์สำหรับอุปกรณ์ดังกล่าว
หมายเหตุ
ทำตามคำแนะนำของ OEM ของคุณสำหรับการใช้การปรับปรุงเฟิร์มแวร์ของ TPM ดูขั้นตอนที่ 4: "ใช้การปรับปรุงเฟิร์มแวร์ที่ใช้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ
-
เอาบัญชีผู้ใช้ทำงานโฆษณา Azure
-
ไปที่การตั้งค่า>บัญชี>การเข้างานหรือที่โรงเรียนคลิกบัญชีผู้ใช้ของคุณทำงาน หรือที่โรงเรียน และจากนั้น คลิกเลิกการเชื่อมต่อ
-
คลิกใช่ในพรอมต์เพื่อยืนยันการ disconnection
-
-
ล้างข้อมูล TPM
หมายเหตุ
ล้างข้อมูล TPM จะเอาคีย์และความลับที่เก็บไว้บนอุปกรณ์ของคุณทั้งหมด ตรวจสอบให้แน่ใจว่า บริการอื่น ๆ ที่กำลังใช้ TPM จะหยุดชั่วคราว หรือถูกตรวจสอบก่อนที่จะดำเนินการต่อไป
Windows 8 หรือรุ่นที่ใหม่กว่า: BitLocker จะถูกระงับชั่วคราวโดยอัตโนมัติถ้าคุณใช้อย่างใดอย่างหนึ่งในสองวิธีที่แนะนำสำหรับการล้างข้อมูล TPM ของคุณ ด้านล่างWindows 7: จำเป็นต้องใช้ดำเนินการระงับ BitLocker ด้วยตนเองก่อนที่จะดำเนินการต่อไป (ดูรายละเอียดเพิ่มเติมเกี่ยวกับการระงับ BitLocker)
-
เมื่อต้องการล้างข้อมูล TPM ใช้หนึ่งในวิธีต่อไปนี้:
-
ใช้คอนโซลการจัดการของ Microsoft
-
กด Win + R พิมพ์tpm.mscและคลิกตกลง
-
คลิกล้างข้อมูล TPM
-
-
เรียกใช้cmdlet ล้าง Tpm
-
-
คลิกเริ่มใหม่
หมายเหตุ คุณอาจได้รับพร้อมท์เพื่อล้างข้อมูล TPM ของคุณเมื่อเริ่มต้น -
ถ้าคุณใช้บัญชี Microsoft ที่มี PIN คุณจำเป็นต้องเข้าสู่ระบบไปยังอุปกรณ์ โดยใช้รหัสผ่าน
-
เพิ่มบัญชีผู้ใช้ทำงานย้อนกลับไปยังอุปกรณ์
-
ไปที่การตั้งค่า>บัญชี>การเข้างานหรือที่โรงเรียนคลิกเชื่อมต่อ
-
ป้อนบัญชีของคุณทำงาน และจากนั้น คลิกถัดไป
-
ป้อนงานบัญชีและรหัสผ่านของคุณ แล้ว คลิ กลงชื่อเข้าใช้ใน
-
ถ้าองค์กรของคุณได้กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัย Azure สำหรับการรวมอุปกรณ์เพื่อโฆษณา Azure มีปัจจัยสองก่อนที่คุณดำเนินต่อ
-
ตรวจสอบว่า ข้อมูลที่แสดงไม่ถูกต้อง และจากนั้น คลิกเข้าร่วม คุณควรเห็นข้อความต่อไปนี้:
You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-