解决预配错误

云电脑预配期间可能会出现以下错误。

云电脑使用服务连接点（SCP）来发现Microsoft Entra 租户信息。 必须为计划将云电脑加入的每个林使用 Microsoft Entra Connect 配置 SCP。

如果 SCP 配置不存在，或者无法使用声明的虚拟网络发现，则预配将失败。

若要详细了解 SCP 以及如何对其进行配置，请参阅 Microsoft Entra 文档。

向标识团队确认所有目标林都存在 SCP。

如果关联的 Azure 网络连接（ANC）不正常，则会阻止云电脑预配。

ANC 每隔六小时刷新一次。 预配失败（如果预配正在进行时 ANC 刷新失败）。

确保 ANC 正常运行，然后重试预配。

Windows 365 预配了云电脑，但未根据用户分配的 Windows 365 许可证接收的内容分配完整的 OS 存储。 因此，用户看不到或使用分配的完整存储。

重试预配。

Windows 365 未能将云电脑加入本地 Active Directory（AD）域。 许多因素可能会导致此失败。

• 请确保关联的 ANC 中的 AD 域、组织单位（OU）和凭据是正确的。
• 确保域加入用户有足够的权限来执行域加入。
• 确保虚拟网络和子网能够正确到达域控制器。

JsonADDomainExtension 是用于执行此域加入的 Azure 函数。 确保此域加入成功所需的所有内容都已到位。

将 Azure 虚拟机（VM）附加到配置的虚拟网络，并使用提供的凭据执行域加入。

Windows 365 不会为客户执行任何Microsoft Entra 混合联接功能。 Microsoft必须配置 Entra 混合联接，并正常运行作为云电脑的先决条件。

如果预配由于Microsoft Entra 混合联接而失败，则可能是因为 AD 同步服务中配置的同步周期不足。 确保Microsoft Entra Connect 配置为每隔 30 分钟同步 AD 计算机对象，不超过 60 分钟。 如果 Microsoft Entra 对象在 90 分钟内未显示，此步骤将超时。

另一个需要考虑的因素是本地 AD 复制时间。 确保将用于 Windows 365 的域控制器复制得足够快，以便在此 5 小时内将其转换为 Microsoft Entra ID。

如果你的组织使用 Active Directory 联合身份验证服务 （ADFS），则此注册过程已经过优化，并且可能会导致云电脑预配的完成速度可能比 Microsoft Entra Connect 同步更快。

检查 AD 对象是否：

• 显示在正确的 OU 中。
• 预配超时之前，已成功同步到 Microsoft Entra ID。

Windows 365 在 Intune 中执行基于设备的移动设备管理（MDM）注册。

如果 Intune 注册失败，请确保：

• 所有必需的 Intune 终结点都可用于云电脑的虚拟网络。
• 租户没有 MDM 注册限制。 自定义和默认策略允许 Windows 企业设备注册。
• Intune 租户处于活动状态且正常运行。
• 如果使用 Intune 和 Configuration Manager 共同管理云电脑，请确保云电脑 OU 不是客户端推送安装的目标。 而是从 Intune 部署 Configuration Manager 代理。 有关详细信息，请参阅 Configuration Manager 中的客户端安装方法。

尝试使用测试设备或 VM 进行 Intune 注册。

预配正在进行时，有人删除了用户的 Windows 365 许可证。

确保用户具有与之关联的有效许可证。

Windows 365 预配了云电脑，但未根据用户设置策略定义授予用户本地管理员权限。 因此，用户不会是其云电脑上的管理员。 因此，它们无法进行系统级更改或在系统级上下文上安装应用。

重试预配或创建新的用户设置策略。

Windows 365 预配了云电脑。 但是，它未将云电脑配置为在针对远程 VM 上运行进行优化的模式下使用 Microsoft Teams。 此优化不会安装 Microsoft Teams 及其所有组件。 它仅设置在云电脑上安装 Microsoft Teams 时生效的配置。 如果未设置此优化，并且Microsoft在此设备上安装 Teams，Microsoft Teams 不会在针对远程连接的优化模式下运行。

重试预配。

向 ANC 提供子网时，请确保有足够的 IP 地址。

每个云电脑预配过程都使用范围中提供的 IP 地址之一。

如果预配失败，则总共重试了三次。 每次分配新的 vNic 和 IP 地址。 这些 IP 地址以小时为单位释放，但如果地址空间太窄，则此分配可能会导致问题。

检查虚拟网络中的可用 IP 地址，并确保重试过程有足够的 IP 才能成功。

预配正在进行时，有人删除了预配策略。

确保预配策略可用，并分配给正确的用户组。

Windows 365 使用客户提供的虚拟网络从云电脑引入到客户的虚拟网络中执行 vNic 引入。 有时，企业实施 Azure Policy 来限制某些 Azure 对象的创建。 确保没有任何 Azure 策略可能会限制 Windows 365 代表你创建 Azure 对象。

在Azure 门户中查看策略，并查找阻止 Windows 365 服务预配云电脑的任何策略事件。

Windows 365 预配了云电脑，但未隐藏关闭并重启开始菜单中的图标。 因此，用户会看到关闭并重启开始菜单中的图标。 如果用户通过选择关闭图标结束其云电脑连接，则可能需要从云电脑门户重启云电脑，然后再再次连接。

重试预配或创建设备配置策略以 隐藏关闭按钮 并 隐藏重启按钮。

如果云电脑预配用户界面（UI）中未列出特定区域，但在 Windows 365 要求文档中列出，Windows 365 可能会在新区域中扩展。 如果网络基础结构位于此类区域，请选择“ 新建支持请求 ”以开具用于评估的支持票证。

Windows 365 预配了云电脑，但未配置时区重定向。 因此，当连接到其云电脑时，用户不会看到其本地时间反映。 相反，他们会看到标准 UTC 时间。

重试预配或创建配置了“允许时区重定向组策略”的组策略对象。 若要了解有关策略的详细信息，请下载 组策略设置参考电子表格。

预配正在进行时，有人删除了关联的用户。

确保分配的用户帐户有效。

Windows 365 预配了云电脑，但未禁用内置 Windows 重置选项。 因此，用户可以在“设置”下手动触发内置 Windows 重置选项。 云电脑永远不会成功完成重置，这使得云电脑不可用。

重试预配。

Windows 365 预配了云电脑，但无法基于Microsoft安全标准阻止所有高风险端口。 Windows 365 禁用用于管理资源或不安全/未加密数据传输的高风险端口，并且默认情况下不应向 Internet 公开。

如果收到此错误，需要考虑的一些因素包括：

• 有时，企业会实现一个 Intune 组策略，该策略默认启用其中一个端口。
• 请确保没有 Intune 策略可能会替代 Windows 365 默认禁用这些高风险端口。

尝试以下任一解决方案：

• 重试预配。
• 如果设备已注册 Intune，则可以应用 Intune 策略来禁用端口。
• 用户还可以通过将本地防火墙规则添加到其设备来手动禁用端口。 有关建议阻止的高风险端口的列表，请参阅 Azure 虚拟网络 管理器中的安全管理员规则。

如果之前未涵盖其他预配错误，请确保在用于 ANC 和任何网关设备的虚拟网络上允许所有 必需的终结点 。

排查 Windows 365 问题。