Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Tóm tắt

Bài viết này giúp xác định và khắc phục sự cố thiết bị bị ảnh hưởng bởi lỗ hổng bảo mật được mô tả trong Microsoft Security ADV170012 tư vấn.

Quá trình này tập trung vào các sau Windows Hello cho doanh nghiệp (WHFB) và các trường hợp sử dụng Azure AD (AAD) của Microsoft:

  • Tham gia quảng cáo azure

  • Tham gia lai Azure AD

  • Azure AD đăng ký

Thông tin

Xác định các trường hợp của bạn sử dụng AAD

  1. Mở cửa sổ dấu nhắc lệnh.

  2. Nhận trạng thái thiết bị bằng cách chạy lệnh sau:

    dsregcmd.exe /status

  3. Trong kết quả của lệnh kiểm tra giá trị của thuộc tính được liệt kê trong bảng sau để xác định các trường hợp sử dụng AAD của bạn.

    Thuộc tính

    Mô tả

    AzureAdJoined

    Chỉ định thiết bị được tham gia vào Azure AD.

    EnterpriseJoined

    Chỉ ra liệu t thiết bị được kết nối với AD FS. Đây là một phần của một trường hợp khách hàng trên cơ sở-chỉ khi Windows Hello dành cho doanh nghiệp được triển khai và quản lý tại chỗ.

    DomainJoined

    Chỉ định thiết bị được kết nối với truyền thống hoạt động thư mục tên miền.

    WorkplaceJoined

    Chỉ định người dùng hiện tại đã thêm tài khoản làm việc hay trường tiểu sử hiện tại của họ. Điều này được gọi là Azure AD đăng ký. Thiết đặt này sẽ bị bỏ qua bởi hệ thống nếu thiết bị AzureAdJoined.

Kết nối Azure AD

Nếu DomainJoined và AzureAdJoined thì thiết là kết nối Azure AD. Do đó, thiết bị được kết nối với một Azure Active Directory và truyền thống Active Directory miền.

Luồng công việc

Triển khai và triển khai có thể thay đổi toàn bộ tổ chức. Chúng tôi thiết kế luồng công việc sau đây cung cấp các công cụ mà bạn cần để xây dựng kế hoạch nội bộ để giảm thiểu bất kỳ thiết bị bị ảnh hưởng. Công việc có các bước sau:

  1. Xác định thiết bị bị ảnh hưởng. Tìm kiếm môi trường của bạn cho ảnh hưởng đáng tin cậy nền tảng mô-đun (TPMs), khoá và thiết bị.

  2. Nối thiết bị bị ảnh hưởng. Khắc phục các hiệu ứng trên thiết bị được xác định bằng cách làm theo các bước cụ thể kịch bản được liệt kê trong bài viết này.

Chú ý làm sạch TPMs

Vì tin cậy nền tảng mô-đun được sử dụng để lưu trữ bí mật được sử dụng các dịch vụ và ứng dụng, xóa TPM có tác động kinh doanh bất ngờ tiêu cực. Trước khi xóa bất kỳ TPM, đảm bảo và xác nhận rằng tất cả các dịch vụ và ứng dụng sử dụng hỗ trợ TPM bí mật đã được đúng cách xác định và chuẩn bị xóa bí mật và giải trí.

Làm thế nào để xác định thiết bị bị ảnh hưởng

Để xác định TPMs bị ảnh hưởng, là Microsoft Security ADV170012 tư vấn.

Làm thế nào để vá thiết bị bị ảnh hưởng

Sử dụng các bước sau trên thiết bị bị ảnh hưởng theo trường hợp sử dụng AAD của bạn.

  1. Đảm bảo rằng tài khoản hợp lệ quản trị viên cục bộ tồn tại trên thiết bị hoặc tạo một tài khoản quản trị viên cục bộ.

    Lưu ý

    Đó là một thực tế được khuyến nghị để xác minh rằng tài khoản đang hoạt động bằng cách đăng nhập vào thiết bị bằng cách sử dụng tài khoản quản trị viên cục bộ mới và xác nhận quyền phù hợp bằng cách mở một dấu nhắc lệnh nâng cao.

     

  2. Nếu bạn đã đăng nhập bằng tài khoản Microsoft trên điện thoại, hãy cài đặt > tài khoản > tài khoản Email và ứng dụng và loại bỏ các tài khoản được kết nối.
    Xoá tài khoản được kết nối

  3. Cài đặt bản cập nhật phần mềm cho thiết bị.

    Lưu ý

    Làm theo hướng dẫn của OEM áp dụng bản cập nhật phần mềm TPM. Xem Bước 4: "Áp dụng bản Cập Nhật áp dụng phần mềm" trong Microsoft Security ADV170012 tư vấn thông tin về cách tải bản Cập Nhật TPM từ OEM.

     

  4. Unjoin thiết bị từ Azure.

    Lưu ý

    Đảm bảo rằng khóa BitLocker an toàn sao lưu ở một nơi khác với máy tính trước khi tiếp tục.

    1. Đi tới cài đặt > hệ thống > về, và sau đó bấm quản lý hoặc ngắt kết nối hoạt động hoặc trường.

    2. Bấm kết nối đến < AzureAD >và nhấp vào ngắt kết nối.

    3. Bấm khi bạn được nhắc nhập thừa nhận.

    4. Nhấp vào ngắt kết nối khi bạn được nhắc "Ngắt kết nối từ tổ chức."
      Ngắt kết nối khỏi tổ chức

    5. Nhập thông tin tài khoản quản trị viên cục bộ cho thiết bị.

    6. Bấm khởi động lại sau.
      Khởi động lại sau khi ngắt kết nối từ tổ chức

  5. Xoá TPM.

    Lưu ý

    Xoá TPM sẽ loại bỏ tất cả các phím và bí mật được lưu trữ trên thiết bị của bạn. Đảm bảo rằng các dịch vụ đang sử dụng TPM treo hoặc xác nhận trước khi tiếp tục.


    Windows 8 hoặc mới hơn: BitLocker tự động bị tạm ngưng nếu bạn sử dụng một trong hai phương pháp được khuyến nghị cho việc xoá TPM của bạn bên dưới.

    Windows 7: Hướng dẫn sử dụng treo BitLocker cần trước khi tiếp tục. (Xem thêm thông tin về đình chỉ BitLocker.)
     

    1. Để xoá TPM, sử dụng một trong các phương pháp sau:

    2. Bấm khởi động lại.
      Khởi động lại sau khi xoá TPM


      Lưu ý Bạn có thể được nhắc xoá TPM khi khởi động.

  6. Sau khi thiết bị khởi động lại, đăng nhập vào thiết bị bằng cách sử dụng tài khoản quản trị viên cục bộ.

  7. Kết nối lại điện thoại Azure AD. Bạn có thể được nhắc để thiết lập mã PIN mới ở phần tiếp theo đăng nhập.

  1. Nếu bạn đăng nhập bằng tài khoản Microsoft trên điện thoại, hãy cài đặt > tài khoản > tài khoản Email và ứng dụng và loại bỏ các tài khoản được kết nối.
    Xoá tài khoản được kết nối

  2. Từ dấu nhắc lệnh nâng cao, hãy chạy lệnh sau:

    dsregcmd.exe /leave /debug

    Lưu ý

    Đầu ra của lệnh sẽ cho biết AzureADJoined: không.

     

  3. Cài đặt bản cập nhật phần mềm cho thiết bị.

    Lưu ý

    Chú ý Làm theo hướng dẫn của OEM áp dụng bản cập nhật phần mềm TPM. Xem Bước 4: "Áp dụng bản Cập Nhật áp dụng phần mềm" trong Microsoft Security ADV170012 tư vấn thông tin về cách tải bản Cập Nhật TPM từ OEM.

  4. Xoá TPM.

    Lưu ý

    Xoá TPM sẽ loại bỏ tất cả các phím và bí mật được lưu trữ trên thiết bị của bạn. Đảm bảo rằng các dịch vụ đang sử dụng TPM treo hoặc xác nhận trước khi tiếp tục.


    Windows 8 hoặc mới hơn: BitLocker tự động bị tạm ngưng nếu bạn sử dụng một trong hai phương pháp được khuyến nghị cho việc xoá TPM của bạn bên dưới.

    Windows 7: Hướng dẫn sử dụng treo BitLocker cần trước khi tiếp tục. (Xem thêm thông tin về đình chỉ BitLocker.)

     

    1. Để xoá TPM, sử dụng một trong các phương pháp sau:

    2. Bấm khởi động lại.
      Lưu ý Bạn có thể được nhắc xoá TPM khi khởi động.

Khi thiết bị khởi động, Windows tạo khoá mới và tự động rejoins điện thoại Azure AD. Trong thời gian này, bạn có thể tiếp tục sử dụng thiết bị. Tuy nhiên, truy cập vào tài nguyên như Microsoft Outlook, OneDrive và các ứng dụng yêu cầu SSO hoặc chính sách điều kiện truy cập có giới hạn.

Lưu ý Nếu bạn sử dụng tài khoản Microsoft, bạn phải biết mật khẩu.

  1. Cài đặt bản cập nhật phần mềm cho thiết bị.

    Lưu ý

    Làm theo hướng dẫn của OEM áp dụng bản cập nhật phần mềm TPM. Xem Bước 4: "Áp dụng bản Cập Nhật áp dụng phần mềm" trong Microsoft Security ADV170012 tư vấn thông tin về cách tải bản Cập Nhật TPM từ OEM.

     

  2. Xoá tài khoản Azure AD làm việc.

    1. Đi tới cài đặt > tài khoản > công việc truy cập hoặc trường, bấm vào tài khoản của bạn làm việc hay trường rồi sau đó bấm ngắt kết nối.

    2. Bấm vào trong lời nhắc xác nhận ngắt kết nối.

  3. Xoá TPM.

    Lưu ý

    Xoá TPM sẽ loại bỏ tất cả các phím và bí mật được lưu trữ trên thiết bị của bạn. Đảm bảo rằng các dịch vụ đang sử dụng TPM treo hoặc xác nhận trước khi tiếp tục.


    Windows 8 hoặc mới hơn: BitLocker tự động bị tạm ngưng nếu bạn sử dụng một trong hai phương pháp được khuyến nghị cho việc xoá TPM của bạn bên dưới.

    Windows 7: Hướng dẫn sử dụng treo BitLocker cần trước khi tiếp tục. (Xem thêm thông tin về đình chỉ BitLocker.)

     

    1. Để xoá TPM, sử dụng một trong các phương pháp sau:

    2. Bấm khởi động lại.


      Lưu ý Bạn có thể được nhắc xoá TPM của bạn khi khởi động.

    3. Nếu bạn sử dụng tài khoản Microsoft có mã PIN, bạn phải đăng nhập vào thiết bị bằng cách sử dụng mật khẩu.

    4. Thêm tài khoản hoạt động trở lại thiết bị.

      1. Đi tới cài đặt > tài khoản > công việc truy cập hoặc trường và bấm kết nối.
        Kết nối để làm việc hay trường học

      2. Nhập tài khoản công việc của bạn và sau đó nhấp vào tiếp theo.
        Thiết lập tài khoản làm việc hay trường học

      3. Nhập hoạt động tài khoản và mật khẩu của bạn, và sau đó bấm đăng nhập.

      4. Nếu tổ chức của bạn đã cấu hình xác thực nhiều yếu tố Azure đã tham gia thiết bị quảng cáo Azure, cung cấp các yếu tố thứ hai trước khi tiếp tục.

      5. Xác nhận rằng thông tin được hiển thị là chính xác, và sau đó bấm kết nối. Bạn sẽ thấy thông báo sau:

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×