Punti chiave:
- Usa dsregcmd /status per controllare Entra Join, la presenza dell’URL MDM e lo stato di registrazione.
- Monitora i log del Visualizzatore di eventi (User Device Registration, DeviceManagement-Enterprise-Diagnostics-Provider) per gli errori di registrazione e gli ID degli eventi.
- Sfrutta PowerShell e Graph API per confermare la registrazione del dispositivo e lo stato di gestione di Intune.
- Ispeziona le chiavi del Registro di sistema in HKLMSOFTWAREMicrosoftEnrollments per gli artefatti di adesione e registrazione.
- Controlla le impostazioni dei Criteri di gruppo per assicurarti che la registrazione automatica all’MDM sia configurata correttamente.
- Cause comuni: licenze Intune mancanti, configurazioni errate di GPO, problemi con Entra Join, blocchi del firewall, voci di dispositivo duplicate.
- Le opzioni di rimedio includono la rimozione dei record obsoleti, la reimpostazione dei dispositivi o l’aggiunta manuale a Entra.
- L’automazione della diagnostica, del monitoraggio e della correzione migliora l’affidabilità della registrazione su scala.
Gli errori di configurazione degli endpoint possono ritardare notevolmente il processo di onboarding, rendendo essenziale la risoluzione dei problemi di registrazione dei dispositivi Intune. I log diagnostici, che sono tra gli strumenti integrati di Intune, sono preziosi per tracciare i processi importanti e valutare lo stato di integrità del dispositivo in fase di registrazione.
Questo articolo spiega come diagnosticare e risolvere i problemi di registrazione dei dispositivi Intune per Intune MDM, Autopilot, Hybrid Entra Join e altro.
Guida alla risoluzione dei problemi di registrazione dei dispositivi Microsoft Intune
Tieni a mente gli obiettivi, l’ambito e la capacità operativa prima di eseguire il debug dei problemi di registrazione dei dispositivi Intune.
📌 Prerequisiti:
- Windows 10/11 Pro, Enterprise o Education
- Entra Join o un ambiente Entra Join ibrido
- Licenza Intune assegnata all’utente di destinazione
- Accesso agli endpoint del cloud Microsoft
- Privilegi di amministratore
- Microsoft Entra Connect (per scenari ibridi)
📌 Strategie di implementazione consigliate:
| Clicca per scegliere un metodo | 💻 Più adatto per utenti individuali | 💻💻💻 Più adatto per ambienti enterprise |
| Come usare dsregcmd per verificare lo stato di aggiunta ad Entra e MDM | ✓ | |
| Come controllare i log nel Visualizzatore eventi | ✓ | ✓ |
| Come controllare i dati di registrazione e iscrizione tramite PowerShell | ✓ | |
| Come verificare la presenza di artefatti di registrazione tramite l’Editor del Registro di sistema | ✓ | ✓ |
| Come convalidare le impostazioni dei Criteri di gruppo per la registrazione automatica | ✓ |
Crea un ambiente multi-piattaforma più robusto con l’ADE (Automated Device Enrollment).
💻 Guarda questa demo di NinjaOne MDM™ per iniziare a lavorare
Come usare dsregcmd per verificare lo stato di Entra Join e MDM
📌 Casi d’uso: Controlla lo stato di aggiunta a Entra di un dispositivo su una shell di comando leggera dopo il provisioning.
- Premi Win + R, digita cmd e premi Ctrl + Maiusc + Invio.
- Esegui il comando qui sotto per analizzare lo stato di registrazione del dispositivo:
dsregcmd /status
- Campi chiave da controllare:
- AzureAdJoined
- SÌ: Il dispositivo è stato registrato con successo.
- NO: La registrazione su Microsoft Entra ID non è ancora stata completata.
- DeviceAuthStatus
- SUCCESSO: Il dispositivo è stato autenticato da Entra Join.
- FALLITO/SCONOSCIUTO: Problemi di autenticazione dovuti a problemi di certificati, impostazioni orarie errate, difficoltà di connessione e altro ancora.
- Per saperne di più, esplora la documentazione ufficiale di Microsoft sui controlli di integrità dei dispositivi.
- TenantDetails
- ID tenant corretto: Il dispositivo è associato all’organizzazione (nota anche come “tenant”).
- ID tenant errato o mancante: Il dispositivo è unito al tenant sbagliato o è in attesa di essere unito, bloccando i criteri Intune.
- MDMUrl
- URL presente: Il dispositivo è configurato per registrarsi a Intune.
- URL vuoto o non corretto: Il dispositivo non è impostato per la registrazione all’MDM o presenta problemi di registrazione automatica e di licenza.
- DMEnrollment e MDMEnrollmentStatus
- SÌ/SUCCESSO: Il dispositivo è registrato a Intune e può ricevere i criteri distribuiti dall’utente.
- NO/FALLIMENTO: La registrazione non è riuscita a causa di problemi di licenza, criteri non configurati correttamente o restrizioni di registrazione.
- Stato del dispositivo, stato dell’utente e dati diagnostici
- Valori completi: L’endpoint registrato funziona come previsto.
- Valori incompleti/invalidi: Impostazioni errate di utenti/dispositivi che causano unioni parziali e problemi di sincronizzazione.
- AzureAdJoined
Come controllare i log nel Visualizzatore eventi
📌 Casi d’uso: Controlla i codici che corrispondono allo stato di registrazione attuale del dispositivo.
- Premi Win + R, digita eventvwr.msc e premi Ctrl + Maiusc + Invio.
- Vai a:
Registri di applicazioni e servizi > Microsoft > Windows > Registrazione del dispositivo utente
- Vai a:
Registri di applicazioni e servizi > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider
- Fai clic con il pulsante destro del mouse sulla cartella di registro specifica e seleziona Visualizza > Mostra registri analitici e di debug per i log diagnostici dettagliati.
- Fai clic sul registro eventi corrispondente alla data del tentativo di registrazione e controlla i codici di errore.
- Leggi la colonna ID evento per gli ID relativi alla registrazione.
| ID evento | Cartella di log | Cosa significa |
| 204 | Registrazione del dispositivo utente | La richiesta di registrazione è stata avviata |
| 304 | Registrazione del dispositivo utente | La registrazione è avvenuta con successo |
| 305 | Registrazione del dispositivo utente | Il tentativo di registrazione è fallito |
| 201 | DeviceManagement-Enterprise-Diagnostics-Provider | La registrazione all’MDM è stata tentata |
| 301 | DeviceManagement-Enterprise-Diagnostics-Provider | La registrazione all’MDM è avvenuta con successo |
| 404, 500, 600 | DeviceManagement-Enterprise-Diagnostics-Provider | Errore di registrazione |
Come verificare lo stato di registrazione e iscrizione tramite PowerShell
📌 Casi d’uso: Confermare se un dispositivo è collegato alla rete o se ha problemi di registrazione.
📌 Prerequisiti: Microsoft Graph API o modulo Entra Join per il controllo della registrazione.
- Premi la combinazione di tasti Win + R, digita powershell e premi Ctrl + Maiusc + Invio.
- Esegui quanto segue per ottenere i dettagli MDM del tuo dispositivo e lo stato di aggiunta al posto di lavoro:
Get-WmiObject -Namespace root\cimv2\mdm\dmmap -Class MDM_DevDetail_Ext01
- Controlla se il dispositivo è registrato in Entra Join:
Get-AzureADDevice -SearchString "<NomeDispositivo>"
Sostituisci <NomeDispositivo> con il nome del computer.
- Apri PowerShell.
- Esegui questo comando per visualizzare il nome del dispositivo:
$env:COMPUTERNAME
- Esegui questi comandi in sequenza per verificare se il dispositivo è iscritto e gestito da Microsoft Intune.
Connect-MSGraph
Get-IntuneManagedDevice | Where-Object {$_.DeviceName -eq "<NomeDispositivo>"}
Sostituisci <NomeDispositivo> con il nome del computer.
- Apri PowerShell.
- Esegui questo comando per visualizzare il nome del dispositivo:
$env:COMPUTERNAME
Come verificare la presenza di artefatti di registrazione tramite l’Editor del Registro di sistema
⚠️ Attenzione: La modifica del registro può causare problemi al sistema. Crea un backup prima di procedere.
📌 Casi d’uso: Ispezionare i dispositivi per verificare la prova di registrazione.
- Premi la combinazione di tasti Win + R, digita regedit e premi Ctrl + Maiusc + Invio.
- Controlla le chiavi di registro per verificare se le impostazioni di registrazione o di criterio sono state applicate localmente.
- Chiavi di registrazione Autopilot/MDM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\
- Se questa chiave memorizza i dati di registrazione, il dispositivo è stato registrato in Intune/MDM
- Tracce di AAD Join:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CloudDomainJoin
- Se questa chiave memorizza informazioni Entra Join (ad esempio, stato di join, ID tenant), il dispositivo è aggiunto a Entra o Entra hybrid-joined.
- Monitoraggio dell’integrità di Windows e diagnostica MDM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\
- Se questa chiave contiene criteri MDM implementati e timestamp di sincronizzazione, le direttive sono state inviate a questo dispositivo tramite Intune.
Come convalidare le impostazioni dei Criteri di gruppo per la registrazione automatica
📌 Casi d’uso: Assicurati che i dispositivi vengano iscritti automaticamente a Intune in modo corretto.
📌 Prerequisiti: Ambiente ibrido Entra.
- Su un controller/server di dominio, premi Win + R, digita gpmc.msc e premi Ctrl + Maiusc + Invio.
- Vai a:
Configurazione del computer > Criteri > Modelli amministrativi > Componenti di Windows > MDM
- Scorri verso il basso e fai doppio clic su Abilita registrazione MDM automatica utilizzando le credenziali Entra Join predefinite.
- Clicca su Abilita.
- In Opzioni, seleziona Credenziale dispositivo.
- Clicca su Applica, quindi su OK.
- Forza l’aggiornamento di un criterio:
gpupdate /force
- Per conferma le modifiche, utilizza Resultant Set of Policy (RSOP) o esegui quanto segue:
gpresult /h report.html
⚠️ Cose da tenere d’occhio
La risoluzione dei problemi di registrazione dei dispositivi Intune coinvolge impostazioni di basso livello, quindi anche lievi errori possono interrompere le operazioni.
Cause comuni di fallimento della registrazione
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Cancellazione dei log eventi | Perdita di dati diagnostici e possibili diagnosi errate | Ripeti il processo per creare un’altra copia dei log degli errori. |
| Nessuna licenza valida | La registrazione all’MDM non riesce | Assegna una licenza Intune/AADP. |
| Entra Join non completato | “AzureAdJoined: NO” | Unisci manualmente il dispositivo tramite Impostazioni o CMD. |
| Configurazione errata di Hybrid Join SCP | ID evento 304 o 305 | Convalida l’SCP utilizzando ADSI Edit. |
| GPO non applicato | Registrazione automatica non attivata | Controlla l’ambito della GPO e il filtro di sicurezza con gpresult /h report.html. |
| Blocchi proxy/firewall | dsregcmd si blocca o fallisce | Abilita gli endpoint richiesti. |
| Dispositivo già registrato | Registrazione non riuscita con codice di errore (ad esempio, 8018000a)8 | Rimuovi il dispositivo duplicato da Entra Join e riprova. |
| GPO configurato in modo errato (ambito sbagliato/tipo di credenziale) | La registrazione automatica non può essere avviata |
|
Semplifica la registrazione e il provisioning dei dispositivi per una gestione impeccabile degli endpoint.
Risoluzione degli errori degli endpoint Intune con dsregcmd
Ecco gli ostacoli più comuni che i professionisti IT incontrano durante la risoluzione dei problemi di registrazione a Intune dei dispositivi:
Rimuovere i residui delle registrazione non riuscite
Se la registrazione viene bloccata, elimina i record obsoleti nel registro di sistema in HKLM\SOFTWARE\Microsoft\Enrollments e rimuovi i certificati obsoleti tramite Microsoft Management Console.
I certificati MDM di Intune diventano obsoleti dopo un anno o quando il dispositivo non si connette a Intune 40 giorni prima della scadenza e si disconnette.
💡 Nota: L’eliminazione delle voci di registro comporta un rischio considerevole. Rimuovi solo i certificati non necessari e documenta le modifiche in modo appropriato.
Pulisci le registrazioni di Workplace Join
Se non riesci a registrare un dispositivo BYOD, è probabile che ciò sia dovuto al record Microsoft Entra ID e/o alla chiave locale esistenti, che fanno sì che il sistema consideri il dispositivo come già registrato. Per risolvere questo problema:
- Rimuovi il record dell’unione del luogo di lavoro.
- Esegui
dsregcmd /leavecon i diritti di amministratore. - Vai su Impostazioni > Account > Accedi all’azienda o all’istituto di istruzione e scollega l’account.
- Esegui
- Elimina gli oggetti obsoleti in Microsoft Entra ID.
💡 Attenzione: L’eliminazione dei dispositivi gestiti da Intune su Entra comporta la perdita dell’accesso alle risorse aziendali, con ripercussioni su altri servizi come Autopilot, Conditional Access, Hybrid Join e altri ancora.
- Riavvia il sistema, quindi tenta di riavviare il dispositivo.
Eseguire nuovamente l’aggiunta manuale
Se la registrazione automatica non riesce, procedi come segue per aggiungere manualmente il dispositivo:
- Accedi a Impostazioni > Account > Accedi all’azienda o all’istituto di istruzione e collega il dispositivo, oppure
- Esegui
dsregcmd /joincon permessi elevati
Utilizza il reset di Autopilot (se abilitato) per una reinizializzazione completa
Se i dispositivi devono essere riconfigurati per la registrazione a Intune, utilizza il ripristino automatico per ricominciare da capo, mantenendo intatto lo stato di registrazione e i dati importanti.
Limite massimo di dispositivi raggiunto
Questo errore comune si verifica quando un utente ha registrato il numero massimo di dispositivi consentito dal criterio. Per impostazione predefinita, Microsoft Entra limita i dispositivi a 5 per utente. Tutti i tentativi di registrazione di nuovi dispositivi non vanno a buon fine finché i dispositivi vecchi non vengono rimossi o non vengono inutilizzati, non si aumenta la quota dei dispositivi nel centro di amministrazione Entra o non si riassegnano i dispositivi per rispettare la conformità.
Riavviare il servizio di registrazione del dispositivo utente
I dispositivi vengono registrati su Microsoft Entra ID attraverso il servizio di registrazione dei dispositivi utente (UDRS), che può essere aggiornato per migliorare la funzionalità. A tal fine, esegui questo comando:
Restart-Service -Name “UserDeviceRegistration”
Utilizza questa opzione quando un dispositivo si trova in uno stato di registrazione indefinitamente in sospeso o non è in grado di produrre un Primary Refresh Token (PRT).
Servizi NinjaOne
| Servizio NinjaOne | Di cosa si tratta | Come risolve i problemi di registrazione |
| Script automatizzati | Implementazione su scala reale di PowerShell e/o CMD. | Automatizza la ricerca delle registrazioni non riuscite a Entra Join, impostazioni MDM perse e iscrizioni non riuscite. |
| Monitoraggio remoto e avvisi di sistema | Una funzionalità che monitora le prestazioni e lo stato di registrazione. | Notifiche in tempo reale in caso di mancata conformità o errori di registrazione. |
| Scripting personalizzato | Uno strumento che analizza da remoto lo stato delle registrazioni (dsregcmd /status). | Diagnostica centralizzata per eliminare la necessità di intervenire in loco. |
| Etichettatura dei dispositivi | Ulteriore controllo sul modo in cui etichetti gli endpoint (ad esempio, tipo di join, dominio, tipo di registrazione). | Opzioni organizzative aggiuntive possono aiutare a stabilire la priorità dei dispositivi da analizzare. |
| Reporting e dashboard | Visualizzazione delle tendenze di registrazione e dei cambiamenti di conformità nel tempo. | Identifica gli schemi del tuo stack it e migliora i rapporti del sistema. |
Semplifica la registrazione ai dispositivi Intune con lo scripting personalizzato
La risoluzione dei problemi di registrazione dei dispositivi Intune richiede diversi strumenti avanzati. Dal controllo dei log degli eventi alla rimozione di eventuali residui di MDM precedenti, questi metodi utilizzano autorizzazioni elevate per modificare importanti impostazioni del dispositivo. Per questo motivo, mantieni sempre un backup per l’integrità dei dati e per eventuali ripristini.
Semplifica la gestione IT con soluzioni automatizzate che consentono agli MSP e ai sysadmin interni di controllare ogni processo attraverso un pannello unico centralizzato.
Argomenti correlati:
- Scegli il giusto strumento di distribuzione del software: Intune e NinjaOne a confronto – Il punto di vista dell’utente
- Come registrare i dispositivi Azure in Intune
- Come aggiungere un dispositivo aziendale a Gestione dispositivi Intune
- Come aggiungere un dispositivo BYOD alla gestione dei dispositivi Intune
- Come distribuire le applicazioni utilizzando il centro di amministrazione Microsoft Intune
