Řešení potíží se zařízeními pomocí příkazu dsregcmd

  • Článek

Tento článek popisuje, jak pomocí výstupu dsregcmd příkazu porozumět stavu zařízení v Microsoft Entra ID. Nástroj dsregcmd /status musí být spuštěný jako uživatelský účet domény.

Stav zařízení

Tato část obsahuje seznam parametrů stavu spojení zařízení. Kritéria potřebná k tomu, aby zařízení bylo v různých stavech spojení, jsou uvedená v následující tabulce:

AzureAdJoined EnterpriseJoined DomainJoined Stav zařízení
ANO NE NE Připojení k Microsoft Entra
NE NE ANO Připojená k doméně
ANO NE ANO Hybridní připojení k Microsoft Entra
NE ANO ANO Připojení k místní službě DRS

Poznámka:

Stav Připojení k pracovišti (zaregistrovaný Microsoft Entra) se zobrazí v části Stav uživatele.

  • AzureAdJoined: Pokud je zařízení připojené k ID Microsoft Entra, nastavte stav NA ANO . V opačném případě nastavte stav na NE.
  • EnterpriseJoined: Pokud je zařízení připojené ke službě replikace místních dat (DRS), nastavte stav NA ANO . Zařízení nemůže být enterpriseJoined i AzureAdJoined.
  • DomainJoined: Pokud je zařízení připojené k doméně (Active Directory), nastavte stav NA ANO .
  • DomainName: Nastavte stav na název domény, pokud je zařízení připojené k doméně.

Ukázkový výstup stavu zařízení

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Podrobnosti zařízení

Stav se zobrazí pouze v případě, že zařízení je připojeno k Microsoft Entra nebo Microsoft Entra hybrid join (nikoli Microsoft Entra zaregistrované). V této části jsou uvedeny podrobnosti o identifikaci zařízení, které jsou uloženy v Microsoft Entra ID.

  • DeviceId: Jedinečné ID zařízení v tenantovi Microsoft Entra.
  • Kryptografický otisk: Kryptografický otisk certifikátu zařízení.
  • DeviceCertificateValidity: Stav platnosti certifikátu zařízení.
  • KeyContainerId: Id kontejneru privátního klíče zařízení přidruženého k certifikátu zařízení.
  • KeyProvider: KeyProvider (hardware/software) použitý k uložení privátního klíče zařízení.
  • TpmProtected: Stav je nastavený na ANO , pokud je privátní klíč zařízení uložený v hardwarovém čipu TPM (Trusted Platform Module).
  • DeviceAuthStatus: Provede kontrolu a určí stav zařízení v ID Microsoft Entra. Stavy jsou:
    • SUCCESS if the device is present and enabled in Microsoft Entra ID.
    • SE NEZDAŘILO. Zařízení je zakázané nebo odstraněné. pokud je zařízení zakázané nebo odstraněné. Další informace o tomto problému najdete v nejčastějších dotazech ke správě zařízení Microsoft Entra.
    • SE NEZDAŘILO. CHYBA pokud se test nepodařilo spustit. Tento test vyžaduje síťové připojení k ID Microsoft Entra v kontextu systému.

    Poznámka:

    Pole DeviceAuthStatus bylo přidáno do aktualizace Windows 10 z května 2021 (verze 21H1).

  • Virtual Desktop: Existují tři případy, kdy se zobrazí.
    • NENÍ NASTAVENO – Metadata zařízení VDI na zařízení nejsou k dispozici.
    • ANO – metadata zařízení VDI jsou přítomna a výstupy s přidruženými k datům, včetně:
      • Zprostředkovatel: Název dodavatele VDI.
      • Typ: Trvalé VDI nebo non-persistent VDI.
      • Uživatelský režim: Jeden uživatel nebo více uživatelů.
      • Rozšíření: Počet párů klíč-hodnota v volitelných metadatech specifických pro dodavatele, za kterými následují páry klíč-hodnota.
    • NEPLATNÉ – Metadata zařízení VDI jsou přítomna, ale nejsou správně nastavena. V tomto případě dsregcmd vypíše nesprávná metadata.

Výstup s ukázkovými podrobnostmi o zařízení

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Podrobnosti o tenantovi

Podrobnosti o tenantovi se zobrazí jenom v případě, že je zařízení připojené k Microsoft Entra nebo hybridní připojení Microsoft Entra, ne zaregistrované v Microsoft Entra. Tato část obsahuje seznam běžných podrobností o tenantovi, které se zobrazí, když je zařízení připojené k MICROSOFT Entra ID.

Poznámka:

Pokud jsou pole adresy URL pro správu mobilních zařízení (MDM) v této části prázdná, znamená to, že MDM není nakonfigurované nebo že aktuální uživatel není v oboru registrace MDM. Zkontrolujte nastavení mobility v Microsoft Entra ID a zkontrolujte konfiguraci MDM.

I když se zobrazí adresy URL MDM, neznamená to, že zařízení je spravované pomocí MDM. Informace se zobrazí, pokud má tenant konfiguraci MDM pro automatickou registraci, i když samotné zařízení není spravované.

Ukázkový výstup podrobností tenanta

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stav uživatele

Tato část obsahuje seznam stavů různých atributů pro uživatele, kteří jsou aktuálně přihlášení k zařízení.

Poznámka:

Příkaz se musí spustit v kontextu uživatele, aby se načetl platný stav.

  • Automatickyset: Pokud je pro aktuálního přihlášeného uživatele nastaven klíč Windows Hello, nastavte stav na ANO .
  • IdentityKeyId: ID klíče Windows Hello, pokud je nastavena pro aktuální přihlášeného uživatele.
  • CanReset: Označuje, jestli může uživatel resetovat klíč Windows Hello.
  • Možné hodnoty: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive nebo Unknown if error.
  • WorkplaceJoined: Nastavte stav NA ANO , pokud byly do zařízení přidány registrované účty Microsoft Entra v aktuálním kontextu NTUSER.
  • WamDefaultSet: Pokud se pro přihlášeného uživatele vytvoří výchozí webový účet WebAccount (WAM), nastaví se stav ANO. Toto pole může zobrazit chybu, pokud dsregcmd /status je spuštěna z příkazového řádku se zvýšenými oprávněními.
  • WamDefaultAuthority: Nastavte stav na organizace pro Microsoft Entra ID.
  • WamDefaultId: Vždy se používá https://login.microsoft.com pro ID Microsoft Entra.
  • WamDefaultGUID: IDENTIFIKÁTOR GUID zprostředkovatele WAM (Microsoft Entra ID / účet Microsoft) pro výchozí webový účet WAM.

Ukázkový výstup stavu uživatele

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stav jednotného přihlašování

Tuto část můžete ignorovat u registrovaných zařízení Microsoft Entra.

Poznámka:

Příkaz se musí spustit v kontextu uživatele, aby se načetl platný stav daného uživatele.

  • AzureAdPrt: Pokud je v zařízení pro přihlášeného uživatele přítomen primární obnovovací token (PRT), nastavte stav NA ANO .
  • AzureAdPrtUpdateTime: Nastavte stav na čas v koordinovaném univerzálním čase (UTC), kdy byla žádost o přijetí změn naposledy aktualizována.
  • AzureAdPrtExpiryTime: Nastavte stav na čas ve standardu UTC, kdy platnost žádosti o přijetí změn vyprší, pokud se neprodlouží.
  • AzureAdPrtAuthority: Adresa URL autority Microsoft Entra
  • EnterprisePrt: Nastavte stav na ANO, pokud má zařízení PRT ze služby místní Active Directory Federation Services (AD FS). U zařízení připojených k hybridnímu připojení Microsoft Entra může mít zařízení PRT jak z MICROSOFT Entra ID, tak místní Active Directory současně. Místní zařízení připojená k síti mají jenom enterprise PRT.
  • EnterprisePrtUpdateTime: Nastavte stav na čas v UTC, kdy došlo k poslední aktualizaci žádosti o přijetí změn organizace.
  • EnterprisePrtExpiryTime: Nastavte stav na čas ve standardu UTC, kdy platnost žádosti o přijetí změn vyprší, pokud se neprodlouží.
  • EnterprisePrtAuthority: Adresa URL autority SLUŽBY AD FS

Poznámka:

V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující pole diagnostiky PRT.

  • Diagnostické informace, které se zobrazují v poli AzureAdPrt , jsou určené pro získání nebo aktualizaci Microsoft Entra PRT a diagnostické informace zobrazené v poli EnterprisePrt slouží k získání nebo aktualizaci enterprise PRT.
  • Diagnostické informace se zobrazí jenom v případě, že došlo k selhání získání nebo aktualizace po poslední úspěšné době aktualizace PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na sdíleném zařízení můžou být tyto diagnostické informace z pokusu o přihlášení jiného uživatele.
  • AcquirePrtDiagnostics: Nastavte stav NA PRESENT , pokud se v protokolech nacházejí získané diagnostické informace PRT.
    • Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
  • Předchozí pokus o přijetí změn: Místní čas ve standardu UTC, ve kterém došlo k neúspěšném pokusu o přijetí změn.
  • Stav pokusu: Vrácený kód chyby klienta (HRESULT).
  • Identita uživatele: Hlavní název uživatele (UPN) uživatele, pro kterého došlo k pokusu o přijetí změn.
  • Typ přihlašovacích údajů: Přihlašovací údaje použité k získání nebo aktualizaci žádosti o přijetí změn. Mezi běžné typy přihlašovacích údajů patří heslo a přihlašovací údaje příští generace (PREVIEW) (pro Windows Hello).
  • ID korelace: ID korelace odeslané serverem pro neúspěšný pokus o přijetí změn.
  • Identifikátor URI koncového bodu: Poslední koncový bod, ke kterému se přistupuje před selháním.
  • Metoda HTTP: Metoda HTTP použitá pro přístup ke koncovému bodu.
  • Chyba HTTP: Kód chyby přenosu WinHttp Získejte další kódy chyb sítě.
  • Stav HTTP: Stav HTTP vrácený koncovým bodem.
  • Kód chyby serveru: Kód chyby ze serveru.
  • Popis chyby serveru: Chybová zpráva ze serveru.
  • RefreshPrtDiagnostics: Nastavte stav NA PRESENT , pokud se v protokolech nacházejí informace o získané diagnostice PRT.
    • Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
    • Pole s diagnostickými informacemi jsou stejná jako pole AcquirePrtDiagnostics.

Poznámka:

V původní verzi Windows 11 (verze 21H2) byly přidána následující diagnostická pole Cloud Kerberos.

  • OnPremTgt: Nastavte stav na ANO , pokud je v zařízení pro přihlášeného uživatele přítomen lístek Cloud Kerberos pro přístup k místním prostředkům.
  • CloudTgt: Pokud je v zařízení pro přihlášeného uživatele k dispozici lístek Cloud Kerberos pro přístup ke cloudovým prostředkům, nastavte stav ANO.
  • KerbTopLevelNames: Seznam názvů sfér Kerberos nejvyšší úrovně pro Cloud Kerberos.

Ukázkový výstup stavu jednotného přihlašování

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnostická data

Diagnostika před spojením

Tato část diagnostiky se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.

Tato část provádí různé testy, které pomáhají diagnostikovat selhání spojení. Mezi tyto informace patří: fáze chyby, kód chyby, ID požadavku serveru, stav HTTP odpovědi serveru a chybová zpráva odpovědi serveru.

  • Kontext uživatele: Kontext, ve kterém se diagnostika spouští. Možné hodnoty: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Poznámka:

    Vzhledem k tomu, že skutečné spojení se provádí v kontextu SYSTEM, je spuštění diagnostiky v kontextu SYSTEM nejblíže skutečnému scénáři spojení. Pokud chcete spustit diagnostiku v kontextu SYSTÉMU, dsregcmd /status musí být příkaz spuštěný z příkazového řádku se zvýšenými oprávněními.

  • Čas klienta: Systémový čas v UTC.

  • Test Připojení ivity služby AD: Tento test provede test připojení k řadiči domény. Chyba v tomto testu pravděpodobně vede k chybám spojení ve fázi předběžné kontroly.

  • Test konfigurace služby AD: Tento test čte a ověřuje, jestli je objekt SCP (Service Připojení ion Point) správně nakonfigurovaný v doménové struktuře místní Active Directory. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi zjišťování s kódem chyby 0x801c001d.

  • Test zjišťování DRS: Tento test získá koncové body DRS z koncového bodu metadat zjišťování a provede požadavek na sféru uživatele. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi zjišťování.

  • Test drs Připojení ivity: Tento test provede základní test připojení ke koncovému bodu DRS.

  • Test získání tokenu: Tento test se pokusí získat ověřovací token Microsoft Entra, pokud je tenant uživatele federovaný. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi ověřování. Pokud se ověření nezdaří, pokusí se o připojení k synchronizaci jako záložní, pokud není s následujícím nastavením klíče registru explicitně zakázáno náhradní připojení:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Náhradní připojení k synchronizaci: Pokud předchozí klíč registru nastavíte na povolenou, aby se zabránilo záložnímu připojení k synchronizaci s chybami ověřování, neník dispozici. Tato možnost je dostupná ve Windows 10 1803 a novějších verzích.

  • Předchozí registrace: Čas, kdy došlo k předchozímu pokusu o připojení. Protokolují se pouze neúspěšné pokusy o připojení.

  • Fáze chyby: Fáze spojení, ve které byla přerušena. Možné hodnoty jsou předběžné kontroly, zjišťování, ověřování a spojení.

  • Kód chyby klienta: Vrácený kód chyby klienta (HRESULT).

  • Kód chyby serveru: Kód chyby serveru se zobrazil, pokud se na server odeslal požadavek a server odpověděl kódem chyby.

  • Zpráva serveru: Zpráva serveru vrácená spolu s kódem chyby.

  • Stav https: Stav HTTP vrácený serverem.

  • ID požadavku: ID požadavku klienta odeslané na server. ID požadavku je užitečné ke korelaci s protokoly na straně serveru.

Ukázkový výstup diagnostiky před spojením

Následující příklad ukazuje selhání diagnostického testu s chybou zjišťování.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Následující příklad ukazuje, že diagnostické testy se předávají, ale pokus o registraci selhal s chybou adresáře, která se očekává pro připojení k synchronizaci. Po dokončení úlohy synchronizace Microsoft Entra Připojení se zařízení může připojit.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostika po připojení

Tato část diagnostiky zobrazuje výstup kontrol sanity provedených na zařízení připojeném ke cloudu.

  • AadRecoveryEnabled: Pokud je hodnota ANO, klíče uložené v zařízení nejsou použitelné a zařízení je označené k obnovení. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení.
  • KeySignTest: Pokud je hodnota PŘEDÁNa, klíče zařízení jsou v dobrém stavu. Pokud keySignTest selže, zařízení se obvykle označí k obnovení. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení. U zařízení připojených k hybridnímu připojení Microsoft Entra je obnovení tiché. Zařízení jsou připojena k Microsoft Entra nebo Microsoft Entra zaregistrovaná, ale v případě potřeby vyzve k ověření uživatele, aby zařízení obnovilo a znovu zaregistrovalo.

    Poznámka:

    KeySignTest vyžaduje zvýšená oprávnění.

Ukázkový výstup diagnostiky po připojení

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Kontrola předpokladů PRO KONTROLU POŽADOVANÝCH SOUČÁSTÍ

Tato část diagnostiky provádí kontrolu požadavků pro nastavení Windows Hello pro firmy (WHFB).

Poznámka:

Pokud už uživatel úspěšně nakonfiguroval WHFB, nemusí se zobrazit podrobnosti o dsregcmd /status požadavcích NA SERVERU.

  • IsDeviceJoined: Nastavte stav na ANO , pokud je zařízení připojené k Microsoft Entra ID.
  • IsUserAzureAD: Pokud je přihlášený uživatel v Microsoft Entra ID, nastavte stav NA ANO .
  • PolicyEnabled: Pokud je na zařízení povolená zásada WHFB, nastavte stav na ano .
  • PostLogonEnabled: Nastavte stav na ANO , pokud je registrace WHFB aktivovaná nativně platformou. Pokud je stav nastavený na NE, znamená to, že Windows Hello pro firmy registraci aktivuje vlastní mechanismus.
  • Nárok na zařízení: Pokud zařízení splňuje požadavky na hardware pro registraci do WHFB, nastavte stav NA ANO .
  • SessionIsNotRemote: Nastavte stav na ANO , pokud je aktuální uživatel přihlášený přímo k zařízení, a ne vzdáleně.
  • CertEnrollment: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB, které označuje certifikační autoritu pro WHFB. Nastavte stav na autoritu registrace, pokud zdrojem zásad WHFB jsou zásady skupiny, nebo ho nastavte na správu mobilních zařízení, pokud je zdrojem MDM. Pokud žádný zdroj neplatí, nastavte stav na žádný.
  • AdfsRefreshToken: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB a je k dispozici pouze v případě, že stav CertEnrollment je autorita registrace. Nastavení určuje, jestli má zařízení podnikový PRT pro uživatele.
  • AdfsRaIsReady: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátů WHFB a je k dispozici pouze v případě, že stav CertEnrollmentu je autorita registrace. Pokud služba AD FS indikuje v metadatech zjišťování, že podporuje WHFB a je k dispozici šablona přihlašovacího certifikátu, nastavte stav ANO.
  • LogonCertTemplateReady: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátů WHFB a je k dispozici pouze v případě, že stav CertEnrollmentu je autorita registrace. Pokud je stav šablony přihlašovacího certifikátu platný a pomáhá řešit potíže s registrační autoritou služby AD FS (RA), nastavte stav ANO .
  • PreReqResult: Poskytuje výsledek vyhodnocení všech požadavků WHFB. Pokud by se registrace WHFB spustila jako úloha po přihlášení, nastavte ji na hodnotu Will Provision (Bude se zřizovat ), když se uživatel příště přihlásí.

Poznámka:

V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující diagnostická pole cloudového protokolu Kerberos.

Před Windows 11 verze 23H2 se nastavení OnPremTGT jmenovalo CloudTGT.

  • OnPremTGT: Toto nastavení je specifické pro nasazení důvěryhodnosti Cloud Kerberos a existuje pouze v případě, že stav CertEnrollment není žádný. Pokud má zařízení lístek Cloud Kerberos pro přístup k místním prostředkům, nastavte stav na ANO . Před Windows 11 verze 23H2 se toto nastavení jmenovalo CloudTGT.

Ukázka kontrolního výstupu předpokladů NABÍDKU

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Další kroky

Přejděte do nástroje Microsoft Error Lookup.