Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

摘要

本文章說明確定及修正受 Microsoft 資訊安全諮詢 ADV170012 中描述的弱點影響的裝置中的問題。

此過程重點介紹 Microsoft 提供的以下 Windows Hello for Business (WHFB) 和 Azure AD (AAD) 使用情況

  • 加入 Azure AD

  • 加入 Hybrid Azure AD

  • 註冊 Azure AD

其他相關資訊

 確定您的 AAD 使用情況 

  1. 開啟 [命令提示字元] 視窗。

  2. 透過執行以下命令獲取裝置狀態:dsregcmd.exe /status

  3. 在命令輸出中,檢查下表中列出的屬性值以確定您的 AAD 使用情況。

    內容

    描述

    AzureAdJoined

    表明裝置是否已加入 Azure AD.

    EnterpriseJoined

    表明裝置是否已加入 AD FS. 這是僅在內部部署的客戶方案的一部分,其中 Windows Hello for Business 是在內部部署和管理的。

    DomainJoined

    表明裝置是否已加入傳統的 Active Directory 網域。

    WorkplaceJoined

    表明當前使用者是否已將工作或學校帳戶新增至其當前設定檔。 這被稱為註冊 Azure AD。 如果裝置為  AzureAdJoined,則系統會忽略該設定。

已加入 Hybrid Azure AD

如果 DomainJoined 和 AzureAdJoined 為,則裝置為已加入 Hybrid Azure AD。 因此,裝置已加入 Azure Active Directory 和傳統的 Active Directory 網域。

工作流程

組織間的部署和實作可能有所不同。 我們設計了以下工作流程,提供您開發自己的內部計劃以減輕任何受影響裝置所需的工具。 此工作流程具有以下步驟:

  1. 識別受影響的裝置。 在您的環境中搜尋受影響的信賴平台模組 (TPM) 、金鑰和裝置。

  2. 修補受影響的裝置。 透過執行本文章中列出的特定方案步驟,修正 已識別裝置上的影響。

清除 TPM 的注意事項

由於 信賴平台模組用於儲存多個服務和應用程式所使用的密碼,清除 TPM 可能會產生意外或負面的業務影響。 在清除任何 TPM 之前,請務必調查並確認使用 TPM 支持密碼的所有服務和應用程式是否已被正確識別並準備好進行密碼刪除和重新建立。

如何識別受影響的裝置

若要識別受影響的 TPM,請參閱 Microsoft 資訊安全諮詢 ADV170012

如何修補受影響的裝置

根據您的 AAD 使用情況,在受影響裝置上執行以下步驟。

  1. 請確保裝置上存在有效的本機管理帳戶或建立本機管理帳戶

    注意

    建議的做法是透過使用新的本機管理帳戶登錄裝置來驗證 帳戶是否工作,以及透過打開提升權限的命令提示字元來確認 正確的權限。

     

  2. 如果您使用裝置上的 Microsoft 帳戶登錄,請前往設定 > 帳戶 > 電子郵件和應用程式帳戶,然後刪除已連接的帳戶。

  3. 為裝置安裝韌體更新。

    注意

    按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱步驟 4:  Microsoft 資訊安全諮詢 ADV170012  中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。

     

  4. 裝置退出 Azure AD。

    注意

    繼續之前,請確保您的 BitLocker 金鑰已安全備份在除本機 電腦之外的其他地方。

    1. 前往設定 > 系統 > 關於,然後按一下管理或從工作或學校斷開連接

    2. 按一下連接至<AzureAD>,然後按一下斷開連接

    3. 當出現提示要求確認時,按一下[是]

    4. 當系統提示您「從組織斷開連接」時,按一下斷開連接

    5. 輸入裝置的本機管理帳戶資訊。

    6. 按一下稍後重新啟動。

  5. 清除 TPM。

    注意

    清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。

    Windows 8 或更高版本: 如果您使用以下所建議的兩種方法之一 來清除 TPM,BitLocker 或自動暫停。

    Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。  

    1. 若要清除 TPM,使用下列方法之一:

      • 使用 Microsoft Management Console。

        1. 按 Win + R,輸入 tpm.msc ,然後按一下 OK

        2. 按一下清除 TPM

      • 執行 Clear-Tpm cmdlet

    2. 按一下 [重新啟動]注意:啟動時,系統可能會提示您清除 TPM。

  6. 裝置重新啟動後,透過使用本機管理帳戶登錄裝置。

  7. 將裝置重新加入 Azure AD。 下次登錄時,系統可能會提示您設定新的 PIN 碼。

  1. 如果您使用裝置上的 Microsoft 帳戶登錄,請前往設定 > 帳戶 > 電子郵件和應用程式帳戶,然後刪除已連接的帳戶。

  2. 在提升權限的命令提示字元中,執行下列命令:dsregcmd.exe /leave /debug

    注意

    命令輸出應表明 AzureADJoined:

     

  3. 為裝置安裝韌體更新。

    注意

    注意: 按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱步驟 4:  Microsoft 資訊安全諮詢 ADV170012  中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。

  4. 清除 TPM。

    注意

    清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。

    Windows 8 或更高版本: 如果您使用以下所建議的兩種方法之一 來清除 TPM,BitLocker 或自動暫停。

    Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。

     

    1. 若要清除 TPM,使用下列方法之一:

      • 使用 Microsoft Management Console。

        1. 按 Win + R,輸入 tpm.msc ,然後按一下 OK

        2. 按一下清除 TPM

      • 執行 Clear-Tpm cmdlet

    2. 按一下 [重新啟動]注意:啟動時,系統可能會提示您清除 TPM。

裝置啟動時,Windows 會生成新的金鑰並自動將裝置重新加入 Azure AD。 在此期間,您可以繼續使用裝置。 但是,存取 Microsoft Outlook、OneDrive 以及其他需要 SSO 或有條件存取原則的應用程式資源可能會受到限制。

注意:如果您使用 Microsoft 帳戶,您必須知道密碼。

  1. 為裝置安裝韌體更新。

    注意

    按照您的 OEM’ 指導來套用 TPM 韌體更新。 請參閱 步驟 4:  Microsoft 資訊安全諮詢 ADV170012  中的 「套用可用的韌體更新」 ,瞭解有關如何從 OEM 中獲取 TPM 更新的資訊。

     

  2. 刪除 Azure AD 工作帳戶。

    1. 前往設定 > 帳戶 > 存取工作或學校,按一下您的工作或學校帳戶,然後按一下斷開連接

    2. 在提示中按一下以確認斷開連接。

  3. 清除 TPM。

    注意

    清除 TPM 將會刪除您的裝置上儲存的所有金鑰和密碼。 繼續之前,請確保使用 TPM 的其他服務已暫停或得到確認。

    Windows 8 或更高版本: 如果您使用以下所建議的兩種方法之一 來清除 TPM,BitLocker 或自動暫停。

    Windows 7: 繼續之前需要手動暫停 BitLocker。 (參閱有關 暫停 BitLocker 的更多資訊。

     

    1. 若要清除 TPM,使用下列方法之一:

      • 使用 Microsoft Management Console。

        1. 按 Win + R,輸入 tpm.msc ,然後按一下 OK

        2. 按一下清除 TPM

      • 執行 Clear-Tpm cmdlet

    2. 按一下 [重新啟動]注意:啟動時,系統可能會提示您清除 TPM。

    3. 如果您使用具有  PIN 碼的 Microsoft 帳戶,您必須使用密碼來登錄裝置。

    4. 將工作帳戶新增回至裝置。

      1. 前往設定 > 帳戶 > 存取工作或學校,然後按一下連接

      2. 輸入您的工作帳戶,然後按一下下一步

      3. 輸入您的工作帳戶和密碼,然後按一下登錄

      4. 如果您的組織已為將裝置加入 Azure AD 設定了 Azure 多重要素驗證,請在繼續之前提供第二要素。

      5. 確認顯示的資訊是否正確,然後按一下加入。 您應該看到以下訊息:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。