Решение за грешка 0x801c03ed при најавување со сметка на Microsoft

El грешка 0x801c03ed кога се обидувате да се придружите или регистрирате уред во ИД за најавување на Microsoft (порано Azure AD) или за време на распоредување на Windows Autopilot, не грижете се, може да стане голема главоболка. За жал, тоа е многу честа грешка при мешање Приклучувања на Azure AD, запишување во Intune и администраторски политики неправилно конфигуриран.

Во оваа статија ќе го анализираме кодот за грешка 0x801c03ed и, пред сè, Како да се дијагностицира и поправи дефектот чекор по чекор Од перспектива и на администраторот и на крајниот корисник, идејата е дека откако ќе го прочитате, ќе можете да го идентификувате изворот на проблемот и да го примените соодветното решение без да нагаѓате.

Што всушност значи грешката 0x801c03ed?

Кодот 0x801c03ed е поврзан со Грешки во регистрацијата и Microsoft Join ID, особено во сценаријата Windows Autopilot, Azure AD Join и Windows Hello for Business. Обично се појавува за време на Фаза на регистрација на AADE во Автопилот или кога корисникот се обидува да се придружи на уред од асистентот за поставување (OOBE) или од поставките на Windows.

Техничкиот опис на Microsoft за 0x801c03ed е доста опширен. Грешката може да укажува, меѓу другото, дека Мултифакторската автентикација е задолжителна за операцијата „ProvisionKey“ и не е завршена., тоа Токенот недостасува во заглавието за авторизација.дека одредени објекти не можеа да се прочитаат, дека барањето испратено до серверот беше неважечко или дека Корисникот нема дозвола да го поврзе уредот со ИД за најавување на Microsoft.

Во сценарија за крајни корисници, истата грешка се преведува во пораки како „Нешто тргна наопаку“ или „Политиката на администраторот не дозволува корисникот да се придружи на уред“Со други зборови, серверот одговара дека, според конфигурацијата на закупецот, тој корисник не може да се придружи на уреди или има некаков проблем со автентикацијата или објектот на уредот во директориумот.

Во контекст на Автопилот на WindowsЗаписите покажуваат нешто како «AutoPilotManager не успеа за време на фазата на регистрација на уредот AADEnroll. HRESULT = 0x801C03ED», јасно ставајќи до знаење дека грешката се јавува во времето на автентикација/регистрација на уредот во Azure AD за време на OOBE.

Главни причини за грешка 0x801c03ed

Овој код за грешка нема една единствена причина. Всушност, може да се должи на неколку услови што треба да се проверат еден по еден за да се избегне преоптоварување. Најчестите причини зошто се појавува 0x801c03ed за време на автопилот или приклучување кон Azure AD Тие се следниве:

Прво на сите, многу е вообичаено да постои Администраторска политика што ги спречува корисниците да приклучат уреди на Microsoft Entra IDВо пракса, ова значи дека конфигурацијата на уредот на закупецот е поставена така што ниту еден корисник (или само одредена група) не може да регистрира нови уреди, а корисникот што се обидува да се придружи на уредот не го исполнува тој критериум.

Друга типична причина е поврзана со самата автентикација: Мултифакторската автентикација (MFA) не е извршена кога е потребна за операцијата ProvisionKeyТокенот за пристап испратен во заглавието Authorization на барањето или недостасува, е неважечки или е истечен. Во овие случаи, серверот го отфрла барањето и враќа грешка 0x801c03ed.

Исто така, може да се случи тоа HTTP барањето испратено до серверот е во неточен формат или содржи нечитливи објекти.Ова се рефлектира во пораките на серверот што укажуваат дека барањето е неважечко, дека се појавила грешка при автентикација или дека некој објект поврзан со уредот или корисникот недостасува или е недостапен.

Во средини каде што се користат претходно спарени или синхронизирани уреди, друга многу честа причина е тоа што Очекуваниот објект на уредот во ID-то на Microsoft Enter не постои или не се совпаѓа со хардверскиот хеш или идентификаторите што ги испраќа клиентот. Ова се случува, на пример, кога компјутерот претходно бил синхронизиран како хибрид, потоа форматиран и се обидувате да го користите Autopilot без да ги исчистите старите објекти.

Врска помеѓу 0x801c03ed и Windows Autopilot

Грешката 0x801c03ed се гледа доста често во распоредувањата на Автоматски пилот на Windows за време на фазата на регистрација на AADENrollВо овие сценарија, уредот е обезбеден од профил на Autopilot поврзан со хардверски хеш кој претходно е увезен во Intune.

Кога процесот на подготвено искуство (OOBE) не работи како што треба, едно од првите нешта што треба да се провери е дали Дали уредот успешно примил профил за автопилот и каква конфигурација содржи тој профил?Во зависност од клиентската верзија на Windows, постојат различни алатки за проверка на таа задача, но концептот е ист: проверете дали компјутерот е правилно идентификуван и дека конфигурацијата покажува кон она што го сакаме.

Важно е да се разбере дека Увезувањето на уред со автопилот креира објект на уред во Azure ADОвој објект делува како сидро за групата на која ѝ припаѓа и за профилот Autopilot. Ако овој објект е отстранет од директориумот, деактивиран или оштетен, компјутерот може да почне да создава грешки како што е 0x801c03ed за време на обидот за приклучување бидејќи серверот не може да го пронајде уредот со очекуваните идентификатори.

Постојат документирани случаи каде што, при преглед на логовите на автопилотот, се појавуваат пораки како што се следниве: "Грешка при автентикација", "Подкод": "Уредот не е пронајден", "Порака": "Не е пронајден уред со очекуваните идентификатори на уред" и статусен код HTTP 400 вратен од серверот. Во вакви ситуации, проблемот обично се решава. Отстранување на стариот уред за автопилот, бришење на претходниот објект синхронизиран со Azure AD и повторно импортирање на хардверскиот хаш од компјутерот за да се регенерираат потребните објекти.

Многу распоредувања исто така нагласуваат дека ако објектот на уредот креиран од Autopilot во Azure AD случајно се избрише, Правилниот начин да се поправи ова е да се отстрани хардверскиот хеш на Intune и повторно да се увезе.Не обидувајте се да го „присилите“ спојувањето од клиентот, бидејќи тоа води до грешки во спојувањето како што е 0x801c03ed.

Прегледување на настани и нивно дијагностицирање со Прегледувачот на настани

Кога грешката се појавува за време на Автопилот или за време на приклучувањето кон Microsoft Entra ID, добра практика е да отидете директно на Логовите на ModernDeployment и Autopilot во Прегледувач на настани во Windows за да добиете подетални информации за тоа што не успева.

Во Прегледувачот на настани, можете да ја видите рутата Дневници на апликации и услуги > Microsoft > Windows > ModernDeployment-Diagnostics-Provider > АвтопилотОвој дневник евидентира различни настани што ја одразуваат секоја фаза од процесот на запишување и приклучување. Кога ќе се појави 0x801c03ed, тоа обично е придружено со настани како што се „AutoPilotManager не успеа за време на фазата на запишување на уредот AADEnroll“ и точниот HRESULT.

Овие настани можат да вклучуваат информации за пораката вратена од серверот, HTTP статусот (на пример, 400 со детали AuthenticationError, DeviceNotFound) и идентификатор на активност (ID на активност или TraceId) Ова ви овозможува да го поврзете она што го гледате на клиентската страна со она што се појавува во логовите на услугата во облак. Овие информации се непроценливи за администратор кој сака подлабоко да навлезе во анализата.

Ако грешката е поврзана со кориснички дозволи, токени или политики, во настаните може да се видат и пораки како што се следниве «Политиката на администраторот не дозволува корисникот да се придружи на уред»Ова јасно става до знаење дека проблемот не е во опремата, туку во конфигурацијата на закупецот или сметката што се користи за автентикација.

Во секој случај, Прегледувачот на настани станува клучна алатка за разликување помеѓу Проблем со профилот на автопилотот, конфликт на уреди, грешка во токен или премногу рестриктивна политика за приклучување.

Дозволи за приклучување на Microsoft: Внесете администраторски ID и политика

Еден од најчестите извори на грешката 0x801c03ed е Поставки за тоа кој може да ги поврзе уредите со ИД за најавување на Microsoft во рамките на закупецот. Ако оваа политика е неправилно дефинирана, серверот директно ќе го одбие приклучувањето на уредот дури и ако сè друго е точно.

Во Microsoft Entra ID постои поставка наречена „Корисниците можат да приклучат уреди на Azure AD“До оваа поставка е достапен од делот Уреди и поставки. Ако оваа поставка е поставена на „Ништо“, ниту еден корисник нема да може да се придружи на уред и може да се соочи со кодот за грешка 0x801c03ed придружен со пораки што укажуваат дека политиката на администраторот не дозволува приклучување на уред.

За да се спречи ова блокирање, администраторот мора да ја прегледа оваа поставка и да ја постави на „Сите“ или „Избрани“, вклучувајќи го соодветниот корисник или групаНа овој начин, наменетите корисници ќе можат да го поврзат уредот со Entra ID без да се појави оваа грешка поради едноставен проблем со дозволите.

Повторно увезете хаширање на хардвер и управувајте со уредите во Автопилот

Друг клучен пристап за решавање на проблеми поврзани со 0x801c03ed, особено во распоредувањата на автопилот, е да се разгледа како Тие ги импортираа уредите и начинот на кој нивните објекти се управуваат во Intune и Azure AD.Кога има грешки во DeviceNotFound или недоследности помеѓу клиентот и облакот, решението обично вклучува чистење и повторно импортирање.

Во Intune, при увоз на уред Autopilot со неговиот хардверски хаш, Објектот на уредот се генерира автоматски во Azure AD.Овој објект се користи како референца за вклучување на уредот во групи, примена на соодветниот профил на Autopilot и управување со неговиот животен циклус. Ако овој објект е случајно избришан, деактивиран или погрешно ракуван, тој го прекинува синџирот што му овозможува на серверот да го препознае уредот за време на фазата на приклучување.

Кога ќе се открие дека објектот на уредот повеќе не постои или е погрешно порамнет, на администраторите обично им се советува да Отстранете го уредот од листата на автопилот во Intune и повторно увезете го хардверскиот хеш.Овој процес го пресоздава објектот во Azure AD и овозможува компјутерот правилно да се реинсталира, елиминирајќи ја грешката 0x801c03ed при следниот обид.

За управување со овие елементи, од Административен центар на Microsoft Intune Можете да отидете во делот Уреди, потоа во Windows, потоа во Windows Enrollment и конечно во Уреди. Оттаму можете Избришете ги логовите на Autopilot и повторно вчитајте ја CSV-датотеката со хашовите на опремата што сакате да ја управувате преку овој систем.

Понатаму, важно е да се внимава да не се избрише или оневозможи невнимателно објектот на уредот Azure AD поврзан со компјутер управуван од Autopilot. Многу проблеми со спојување и грешки како 0x801c03ed произлегуваат од ова. ја прекина таа врска мислејќи дека не е важно, кога всушност тоа е основа уредот да го добие својот профил и правилно да се додели на групите што му одговараат.

Други поврзани кодови за грешки во истиот контекст

Заедно со 0x801c03ed, постои прилично обемна колекција на кодови што се јавуваат во слични ситуации, особено за време на регистрацијата на Windows Hello for Business, TPM операциите и приклучувањето кон Microsoft Entra ID. Нивното познавање помага да се подобро да се разбере околината во која се појавува 0x801c03ed и да се исклучат други проблеми.

• Кодовите 0x80090005 (NTE_BAD_DATA), 0x8009000F и 0x80090011 Ова се однесува на ситуации каде што контејнерот или криптографскиот клуч веќе постои, не може да се најде или е оштетен. Во многу од овие случаи, препорачаното решение е да се исклучи уредот од Microsoft Entra ID и повторно да се поврзе, што наметнува повторно создавање на клучеви и контејнери.
• Кодот 0x80090029 Ова покажува дека TPM не е конфигуриран. За да го решите ова, најавете се со администраторска сметка и отворете ја конзолата. tpm.msc Од менито „Старт“, во панелот „Дејства“, изберете ја опцијата „Подготовка на TPM“. Ова дејство го иницијализира и стартува модулот за безбедна платформа потребен за операции како што е Windows Hello for Business.
• Грешката 0x8009002A (NTE_NO_MEMORY) Ова укажува на недоволна меморија за да се заврши операцијата. Во овој случај, се препорачува да ги затворите сите програми што трошат меморија и да се обидете повторно - поедноставно решение кое често се занемарува.
• Други кодови како што се 0x80090031 (NTE_AUTHENTICATION_IGNORED) Тие вклучуваат решенија како што се рестартирање на уредот и, доколку проблемот продолжи, ресетирање на TPM или извршување команди како Clear-TPM, кои ја бришат состојбата на безбедносниот модул за да овозможат нова конфигурација.

Грешки во токени, сертификати и атестирања

Во Windows Hello for Business опкружувањето и неговата интеграција со Microsoft Entra ID, постојат неколку ситуации каде што проблемите не произлегуваат толку од политиката колку од валидност на вклучените токени и сертификатиНеколку од нив можат да се идентификуваат од листата на кодови.

Грешката 0x801C03EA Ова покажува дека серверот не можел да го автентицира корисникот или уредот и предлага да се провери дали токенот е валиден и дали корисникот има дозвола да регистрира клучеви на Windows Hello for Business. 0x801C044D Ова покажува дека токенот за авторизација не го содржи идентификаторот на уредот, што често се решава со враќање на Исклучете го уредот од вашиот Microsoft ID и повторно поврзете го. за повторно да се генерира точен контекст за автентикација.

Потоа, тука се и грешките во атестирањето, како што се 0x801C03EE (грешка во потврдата) или сертификација, како 0x801C0010 y 0x801C03EFшто укажуваат дека сертификатот AIK е неважечки, недоверлив или повеќе не е важечки. Во овие сценарија, обично се препорачува Одјави се и најави се повторноОва наметнува серија обнови и проверки, па дури и замена на одредени компоненти ако проблемот продолжи.

Други кодови како што се 0x801C03E9 y 0x801C03EB Тие значат дека пораката за одговор на серверот е неважечка или дека HTTP статусот на одговорот е неточен, па затоа обично станува збор за минливи грешки во услугата кои се ублажуваат со одјавување и повторно најавување или повторување на процесот на приклучување по неколку минути.

Дополнително, има пораки што укажуваат дека корисничкиот токен не може да се добие или акредитивите не се примени, повторно препорачувајќи одјавување. проверете ја мрежната поврзаност и осигурајте се дека акредитивите се точни, бидејќи без валиден токен регистрацијата или операцијата на приклучување не може да се заврши.

Кодови, ПИН-кодови и методи за најавување специфични за корисникот

Во контекст на најавување, особено кога тоа вклучува Windows Здраво, Исто така, постојат кодови кои, иако не се 0x801c03ed, работат во рамките на истиот екосистем на безбедносни и автентични проблеми. Нивното разбирање помага да се дијагностицирање на меѓусебно поврзани проблеми.

На пример, постојат грешки кои наведуваат дека ПИН-от или одредена опција за најавување се привремено недостапни.Овие пораки се придружени со кодот 0xC00000BB. Во овие случаи, пораката појаснува дека контролерот на целниот домен не го поддржува методот на најавување, честопати затоа што услугата KDC нема соодветен сертификат или клиентот не може да го потврди CRL-от на сертификатот. Решението вклучува користење на алтернативен метод на најавување и преглед на инфраструктурата на сертификатот.

Друг интересен случај е оној поврзан со сметка за префрлување на кориснички токен, каде што се предлага да се избришат датотеките на токен-агентот од веб-менаџерот на сметки во патеката %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Accounts\*.*\ и рестартирајте го компјутерот. Ова чистење ја принудува регенерацијата на корисничките токени и може да ги реши постојаните проблеми со автентикација.

Понатаму, постојат кодови кои едноставно укажуваат дека Корисникот откажа интерактивен дијалог прозорецИако изгледаат тривијални, во некои текови на поставување (како што е креирање PIN за Windows Hello или прифаќање услови за користење) откажувањето на поле може да го остави процесот во полувременска состојба, што потоа резултира со грешки во регистрацијата или приклучувањето.

Во специфичниот контекст на корисници кои се обидуваат да инсталираат или активираат Windows 11 со академски или корпоративни акредитиви и наидуваат на грешка 0x801c03ed, целосната порака обично вклучува детали како што се „Код за грешка на серверот: 801c03ed“ и „Политиката на администраторот не дозволува корисникот... да се придружи на уредот“Ова ја зајакнува идејата дека потеклото лежи во политиката, а не во уредот.

Практични чекори за администратори во случај на грешка 0x801c03ed

Со целата теорија на маса, корисно е да се заклучи серија од специфични дејства што администраторот може да ги преземе Кога ќе се соочите со грешка 0x801c03ed во Autopilot или Microsoft Join ID средина.

1. Прегледајте го Конфигурација „Корисниците можат да приклучат уреди на Azure AD“ Во Microsoft, одете во ID > Devices > Device Settings (Идентификација > Уреди > Поставки на уредот), осигурувајќи се дека не е поставено на „None“ (Ништо). Идеално, во зависност од вашата ситуација, поставете го на „All“ (Сите) или „Selected“ (Избрани) и додадете ги корисничките сметки што треба да можат да се приклучат на уреди, особено ако работите со администратори кои го тестираат Autopilot (Автоматскиот пилот).
2. Проверете дали засегнатиот уред има правилно доделен профил на автопилот и активен објект на уредот во Azure ADОд порталот Intune, можете да проверите дали хардверскиот хеш е наведен во уредите на Autopilot и дали поврзаниот објект Azure AD е активен. Ако се чини оневозможен, можете да го реактивирате. Ако е избришан, ќе треба да го отстраните хардверскиот хеш од листата и повторно да го увезете.
3. Целосно отстранете го уредот Autopilot и избришете ги сите стари референци синхронизирани со Azure AD. и повторно додадете го чистиот хардверски хаш. Ова чистење обично ги решава конфликтите на идентификаторите.
4. Доколку организацијата бара МФА за одредени операции, Потребно е да се потврди дека корисникот правилно го пополнува вториот фактор. Дополнително, важно е да се осигурате дека барањата за токени не се блокирани од мрежни проблеми, заштитни ѕидови или прокси-сервери што би можеле да ги оштетат заглавјата за автентикација.

За крајниот корисник кој нема администраторски привилегии, препораките обично се сведуваат на Одјавете се и повторно најавете се, проверете ја вашата мрежна конекција и, пред сè, контактирајте го ИТ одделот за да потврдите дека вашата сметка е овластена за поврзување уреди и дека не е достигната максималната граница на поврзани уреди.

Со добро контролирани сите овие фактори - политики за приклучување, објекти на уреди во Azure AD, правилно доделени профили на Autopilot, валидни токени и, кога е соодветно, завршен MFA - шансите за гледање на кодот 0x801c03ed при распоредувања или регистрации на нови уреди Тие се значително намалени, овозможувајќи им и на администраторите и на корисниците да се фокусираат на работа со своите тимови, наместо да се мачат со помошникот за стартување.