Ereignisse
9. Apr., 15 Uhr - 10. Apr., 12 Uhr
Code the Future with AI and connect with Java peers and experts at JDConf 2025.
Jetzt registrierenProblembehandlung bei Geräten über den Befehl „dsregcmd“
In diesem Artikel wird beschrieben, wie Sie die Ausgabe des Befehls dsregcmd verwenden, um den Zustand von Geräten in Microsoft Entra ID zu ermitteln. Das Hilfsprogramm dsregcmd /status muss unter einem Domänenbenutzerkonto ausgeführt werden.
In diesem Abschnitt werden die Statusparameter für den Geräte-Join aufgelistet. In der folgenden Tabelle sind die Kriterien aufgeführt, die erforderlich sind, damit sich das Gerät in verschiedenen Einbindungszuständen befindet:
| AzureAdJoined | EnterpriseJoined | DomainJoined | Gerätestatus |
|---|---|---|---|
| YES | Nein | NO | In Microsoft Entra eingebunden |
| NO | Nein | YES | In die Domäne eingebunden |
| YES | Nein | YES | Hybrid in Microsoft Entra eingebunden |
| NO | YES | YES | In lokales DRS eingebunden |
Hinweis
Der Zustand „In den Arbeitsplatz eingebunden“ (bei Microsoft Entra registriert) wird im Abschnitt Benutzerstatus angezeigt.
- AzureAdJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in Microsoft Entra ID eingebunden ist. Andernfalls wird der Zustand auf NO festgelegt.
- EnterpriseJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in einen lokalen Datenreplikationsdienst (DRS) eingebunden ist. Für ein Gerät kann nicht gleichzeitig „EnterpriseJoined“ und „AzureAdJoined“ aktiviert sein.
- DomainJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in eine Domäne (Active Directory) eingebunden ist.
- DomainName: Der Zustand wird auf den Namen der Domäne festgelegt, wenn das Gerät in eine Domäne eingebunden ist.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Der Status wird nur angezeigt, wenn das Gerät Microsoft Entra eingebunden oder Microsoft Entra hybrid eingebunden ist (nicht Microsoft Entra registriert). In diesem Abschnitt werden die in Microsoft Entra ID gespeicherten Details zur Identifikation von Geräten aufgelistet.
- DeviceId: Die eindeutige ID des Geräts im Microsoft Entra-Mandanten.
- Thumbprint: Der Fingerabdruck des Gerätezertifikats.
- DeviceCertificateValidity: Der Gültigkeitsstatus des Gerätezertifikats.
- KeyContainerId: Container-ID des privaten Schlüssels des Geräts, der dem Gerätezertifikat zugeordnet ist.
- KeyProvider: KeyProvider (Hardware/Software), der zum Speichern des privaten Schlüssels des Geräts verwendet wird.
- TpmProtected: Der Zustand ist auf YES festgelegt, wenn der private Geräteschlüssel in einem Hardware-TPM (Trusted Platform Module) gespeichert ist.
- DeviceAuthStatus: Eine Überprüfung wird ausgeführt, um die Integrität des Geräts in Microsoft Entra ID zu ermitteln. Mögliche Integritätsstatus:
- SUCCESS, wenn das Gerät in Microsoft Entra ID vorhanden und aktiviert ist.
- FAILED. Das Gerät ist entweder deaktiviert oder wurde gelöscht wenn das Gerät entweder deaktiviert ist oder gelöscht wurde. Weitere Informationen zu diesem Problem finden Sie in den Häufig gestellten Fragen zur Microsoft Entra-Geräteverwaltung.
- FAILED. ERROR wenn der Test nicht ausgeführt werden konnte. Für diesen Test ist eine Netzwerkverbindung zu Microsoft Entra ID im Systemkontext erforderlich.
Hinweis
Das Feld DeviceAuthStatus wurde im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.
- Virtual Desktop: Es gibt drei Fälle, in denen dieser Status angezeigt wird.
- NOT SET: Es sind keine VDI-Gerätemetadaten auf dem Gerät vorhanden.
- YES : VDI-Gerätemetadaten sind vorhanden, und dsregcmd gibt zugeordnete Metadaten aus, darunter die folgenden:
- Anbieter: Name des VDI-Anbieters.
- Typ: Persistente VDI oder nicht persistente VDI.
- Benutzermodus: Einzelbenutzer oder mehrere Benutzer.
- Erweiterungen: Anzahl der Schlüsselwertpaare in optionalen herstellerspezifischen Metadaten, gefolgt von Schlüsselwertpaaren.
- INVALID: Die VDI-Gerätemetadaten sind vorhanden, aber nicht ordnungsgemäß festgelegt. In diesem Fall gibt dsregcmd die falschen Metadaten aus.
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Die Mandantendetails werden nur angezeigt, wenn das Gerät Microsoft Entra eingebunden oder Microsoft Entra hybrid eingebunden ist, nicht Microsoft Entra registriert. In diesem Abschnitt werden die allgemeinen Mandantendetails aufgeführt, die bei Einbindung eines Geräts in Microsoft Entra ID angezeigt werden.
Hinweis
Wenn die URL-Felder der Verwaltung mobiler Geräte (MDM) in diesem Abschnitt leer sind, weist dies darauf hin, dass die MDM nicht konfiguriert wurde oder dass sich der aktuelle Benutzer nicht im Bereich der MDM-Registrierung befindet. Überprüfen Sie die Mobilitätseinstellungen in Microsoft Entra ID, um Ihre MDM-Konfiguration zu überprüfen.
Auch wenn MDM-URLs angezeigt werden, bedeutet dies nicht, dass das Gerät von einer MDM verwaltet wird. Die Informationen werden angezeigt, wenn der Mandant über eine MDM-Konfiguration für die automatische Registrierung verfügt, auch wenn das Gerät selbst nicht verwaltet wird.
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
In diesem Abschnitt werden die Status verschiedener Attribute für Benutzer aufgeführt, die zurzeit beim Gerät angemeldet sind.
Hinweis
Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status abzurufen.
- NgcSet: Der Zustand wird auf YES festgelegt, wenn für den derzeit angemeldeten Benutzer ein Windows Hello-Schlüssel festgelegt wurde.
- NgcKeyId: ID des Windows Hello-Schlüssels, wenn für den derzeit angemeldeten Benutzer ein Schlüssel festgelegt wurde.
- CanReset: Gibt an, ob der Windows Hello-Schlüssel vom Benutzer zurückgesetzt werden kann.
- Mögliche Werte: „DestructiveOnly“, „NonDestructiveOnly“, „DestructiveAndNonDestructive“ oder „Unknown“ bei einem Fehler.
- WorkplaceJoined: Der Zustand wird auf YES festgelegt, wenn dem Gerät bei Microsoft Entra registrierte Konten im aktuellen NTUSER-Kontext hinzugefügt wurden.
- WamDefaultSet: Der Zustand wird auf YES festgelegt, wenn für den angemeldeten Benutzer ein standardmäßiges WAM-WebAccount (Web Account Manager) erstellt wird. In diesem Feld wird unter Umständen ein Fehler angezeigt, wenn
dsregcmd /statusan einer Eingabeaufforderung mit erweiterten Rechten ausgeführt wird. - WamDefaultAuthority: Der Zustand wird für Microsoft Entra ID auf Organisationen festgelegt.
- WamDefaultId: Verwenden Sie https://login.microsoft.com immer für Microsoft Entra ID.
- WamDefaultGUID: Die GUID des WAM-Anbieters (Microsoft Entra ID / Microsoft-Konto) für das standardmäßige WAM-WebAccount.
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Dieser Abschnitt kann für Geräte, die bei Microsoft Entra registriert sind, ignoriert werden.
Hinweis
Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status für diesen Benutzer abzurufen.
- AzureAdPrt: Der Zustand wird auf YES festgelegt, wenn für den angemeldeten Benutzer auf dem Gerät ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) vorhanden ist.
- AzureAdPrtUpdateTime: Der Zustand wird auf den Zeitpunkt in koordinierter Weltzeit (UTC) festgelegt, zu dem das PRT zuletzt aktualisiert wurde.
- AzureAdPrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das PRT abläuft, wenn es nicht erneuert wird.
- AzureAdPrtAuthority: Die URL der Microsoft Entra Autorität
- EnterprisePrt: Der Zustand wird auf YES festgelegt, wenn das Gerät über ein PRT der lokalen Active Directory-Verbunddienste (AD FS) verfügt. Hybrid in Microsoft Entra eingebundene Geräte können gleichzeitig ein PRT von Microsoft Entra ID und von der lokalen Active Directory-Instanz aufweisen. Lokal eingebundene Geräte verfügen nur über ein Unternehmens-PRT.
- EnterprisePrtUpdateTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das Unternehmens-PRT zuletzt aktualisiert wurde.
- EnterprisePrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das PRT abläuft, wenn es nicht erneuert wird.
- EnterprisePrtAuthority: Die URL der AD FS-Autorität.
Hinweis
Die folgenden Felder der PRT-Diagnose wurden im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.
- Die im Feld AzureAdPrt angezeigten Diagnoseinformationen sind für den Abruf oder die Aktualisierung eines Microsoft Entra-PRT vorgesehen, und die im Feld EnterprisePrt angezeigten Diagnoseinformationen sind für den Abruf oder die Aktualisierung eines Unternehmens-PRT bestimmt.
- Die Diagnoseinformationen werden nur angezeigt, wenn der Abruf- oder Aktualisierungsfehler nach dem Zeitpunkt der letzten erfolgreichen PRT-Aktualisierung (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) aufgetreten ist.
Auf einem freigegebenen Gerät können diese Diagnoseinformationen vom Anmeldeversuch eines anderen Benutzers herrühren.
- AcquirePrtDiagnostics: Der Zustand wird auf PRESENT festgelegt, wenn die abgerufenen PRT-Diagnoseinformationen in den Protokollen enthalten sind.
- Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
- Previous Prt Attempt: Die Ortszeit in UTC, zu der der fehlerhafte PRT-Versuch erfolgt ist.
- Attempt Status: Der zurückgegebene Clientfehlercode (HRESULT).
- User Identity: Der UPN des Benutzers, für den der PRT-Versuch stattgefunden hat.
- Credential Type: Die Anmeldeinformationen, die zum Abrufen oder Aktualisieren des PRT verwendet wurden. Gängige Anmeldeinformationstypen: Kennwort und NGC (Next Generation Credential, für Windows Hello).
- Correlation ID: Korrelations-ID, die vom Server für den fehlgeschlagenen PRT-Versuch gesendet wurde.
- Endpoint URI: Der vor dem Fehler zuletzt aufgerufene Endpunkt.
- HTTP Method: HTTP-Methode, die für den Zugriff auf den Endpunkt verwendet wurde.
- HTTP Error: Der Fehlercode für den WinHttp-Transport. Hier finden Sie weitere Netzwerkfehlercodes.
- HTTP Status: Der vom Endpunkt zurückgegebene HTTP-Status.
- Server Error Code: Der vom Server gesendete Fehlercode.
- Server Error Description: Die vom Server gesendete Fehlermeldung.
- RefreshPrtDiagnostics: Der Zustand wird auf PRESENT festgelegt, wenn die abgerufenen PRT-Diagnoseinformationen in den Protokollen enthalten sind.
- Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
- Die Diagnoseinformationsfelder sind mit denen von AcquirePrtDiagnostics identisch.
Hinweis
Die folgenden Cloud Kerberos-Diagnosefelder wurden in der ursprünglichen Version von Windows 11 (Version 21H2) hinzugefügt.
- OnPremTgt: Legen Sie den Status auf YES fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
- OnPremTgt: Legen Sie den Status auf YES fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
- KerbTopLevelNames: Liste der Kerberos-Bereichsnamen der obersten Ebene für Cloud Kerberos.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Dieser Diagnosebereich nur angezeigt, wenn das Gerät in eine Domäne eingebunden und seine Microsoft Entra-Hybrideinbindung nicht möglich ist.
In diesem Abschnitt werden verschiedene Tests durchgeführt, um die Diagnose von Join-Fehlern zu erleichtern. Diese Informationen umfassen Fehlerphase, Fehlercode, Serveranfrage-ID, HTTP-Status der Serverantwort und die Fehlermeldung der Serverantwort.
User Context: Der Kontext, in dem die Diagnose durchgeführt wird. Mögliche Werte: SYSTEM, UN-ELEVATED User (Benutzer ohne erhöhte Rechte), ELEVATED User (Benutzer mit erhöhten Rechten).
Hinweis
Da die eigentliche Einbindung im SYSTEM-Kontext durchgeführt wird, ist die Ausführung der Diagnose im SYSTEM-Kontext dem tatsächlichen Einbindungsszenario am nächsten. Um die Diagnose im SYSTEM-Kontext auszuführen, muss der Befehl
dsregcmd /statusüber eine Befehlszeile mit erweiterten Rechten ausgeführt werden.Client Time: Die Systemzeit in UTC.
AD Connectivity Test: Dieser Test führt einen Konnektivitätstest für den Domänencontroller durch. Ein Fehler bei diesem Test führt wahrscheinlich zu Einbindungsfehlern in der Vorabprüfungsphase.
AD-Konfigurationstest: Dieser Test liest und prüft, ob das SCP-Objekt (Service Connection Point) in der lokalen Active Directory-Gesamtstruktur ordnungsgemäß konfiguriert ist. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern mit dem Fehlercode 0x801c001d in der Ermittlungsphase.
DRS Discovery Test: Dieser Test ruft die DRS-Endpunkte vom Endpunkt für Ermittlungsmetadaten ab und führt eine Benutzerbereichsanforderung aus. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern in der Ermittlungsphase.
DRS Connectivity Test: Dieser Test führt einen grundlegenden Konnektivitätstest für den DRS-Endpunkt aus.
Token Acquisition Test: Dieser Test versucht, ein Microsoft Entra-Authentifizierungstoken abzurufen, wenn der Benutzermandant einem Verbund angehört. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern in der Authentifizierungsphase. Bei einem Authentifizierungsfehler wird sync join als Fallback versucht, sofern Fallbacks nicht explizit über die folgenden Registrierungsschlüsseleinstellungen deaktiviert werden:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): EnabledFallback to Sync-Join: Der Zustand wird auf Enabled festgelegt, wenn der obige Registrierungsschlüssel nicht vorhanden ist, um Fallbacks auf „Sync Join“ bei Authentifizierungsfehlern zu vermeiden. Diese Option ist ab Windows 10 1803 verfügbar.
Previous Registration: Der Zeitpunkt des vorherigen Einbindungsversuchs. Es werden nur fehlerhafte Einbindungsversuche protokolliert.
Error Phase: Die Einbindungsphase, in der der Abbruch erfolgte. Mögliche Werte: pre-check, discover, auth und join.
Client-Fehlercode): Der zurückgegebene Client-Fehlercode (HRESULT).
Server ErrorCode: Der Serverfehlercode, der angezeigt wird, wenn eine Anforderung an den Server gesendet wurde und der Server mit einem Fehlercode geantwortet hat.
Servermeldung: Servermeldung, die zusammen mit dem Fehlercode zurückgegeben wird.
Https Status: Der vom Server zurückgegebene HTTP-Status.
Request ID (Anforderungs-ID): Die an den Server gesendete Clientanforderungs-ID. Die Anforderungs-ID ist nützlich, um Zusammenhänge mit serverseitigen Protokollen herzustellen.
Das folgende Beispiel zeigt einen Diagnosetest mit einem Ermittlungsfehler.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
Das folgende Beispiel zeigt, dass Diagnosetests erfolgreich durchgeführt werden, aber beim Registrierungsversuch ein Verzeichnisfehler aufgetreten ist. Dies ist für „sync-join“ ein erwartetes Verhalten. Nachdem der Synchronisierungsauftrag von Microsoft Entra Connect abgeschlossen wurde, kann das Gerät eingebunden werden.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
In diesem Diagnoseabschnitt wird die Ausgabe von Integritätsprüfungen angezeigt, die für ein in die Cloud eingebundenes Gerät durchgeführt werden.
- AadRecoveryEnabled: Wenn der Wert YES lautet, sind die im Gerät gespeicherten Schlüssel nicht verwendbar, und das Gerät wird für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsflow aus und führt zu einer erneuten Registrierung des Geräts.
- KeySignTest: Wenn der Wert PASSED lautet, sind die Geräteschlüssel fehlerfrei. Wenn bei „KeySignTest“ ein Fehler auftritt, wird das Gerät in der Regel für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsflow aus und führt zu einer erneuten Registrierung des Geräts. Für hybrid in Microsoft Entra eingebundene Geräte erfolgt die Wiederherstellung im Hintergrund. Wenn die Geräte in Microsoft Entra eingebunden oder bei Microsoft Entra registriert sind, fordern sie zur Benutzerauthentifizierung auf, um das Gerät wiederherzustellen und ggf. neu zu registrieren.
Hinweis
KeySignTest erfordert erhöhte Berechtigungen.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
In diesem Diagnoseabschnitt werden die Voraussetzungen für die Einrichtung von Windows Hello for Business (WHFB) überprüft.
Hinweis
Wenn der Benutzer WHFB bereits erfolgreich konfiguriert hat, werden in dsregcmd /status unter Umständen keine Details zur Überprüfung der Voraussetzungen angezeigt.
- IsDeviceJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in Microsoft Entra ID eingebunden ist.
- IsUserAzureAD: Der Zustand wird auf YES festgelegt, wenn der angemeldete Benutzer in Microsoft Entra ID enthalten ist.
- PolicyEnabled: Der Zustand wird auf YES festgelegt, wenn die WHFB-Richtlinie auf dem Gerät aktiviert ist.
- PostLogonEnabled: Der Zustand wird auf YES festgelegt, wenn die WHFB-Registrierung nativ durch die Plattform ausgelöst wird. Wenn der Zustand auf NO festgelegt ist, weist dies darauf hin, dass die Registrierung für Windows Hello for Business durch einen benutzerdefinierten Mechanismus ausgelöst wird.
- DeviceEligible: Der Zustand wird auf YES festgelegt, wenn das Gerät die Hardwareanforderungen für die WHFB-Registrierung erfüllt.
- SessionIsNotRemote: Der Zustand wird auf YES festgelegt, wenn der aktuelle Benutzer nicht remote, sondern direkt beim Gerät angemeldet ist.
- CertEnrollment: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und gibt die Zertifikatregistrierungsstelle für WHFB an. Der Zustand wird auf enrollment authority festgelegt, wenn es sich bei der Quelle der WHFB-Richtlinie um eine Gruppenrichtlinie handelt, bzw. auf mobile device management, wenn es sich bei der Quelle um die Verwaltung mobiler Geräte handelt. Wenn keine der beiden Quellen zutrifft, wird der Zustand auf none festgelegt.
- AdfsRefreshToken: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Die Einstellung gibt an, ob das Gerät über ein Unternehmens-PRT für den Benutzer verfügt.
- AdfsRaIsReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn AD FS in Ermittlungsmetadaten angibt, dass WHFB unterstützt wird und die Anmeldezertifikatvorlage verfügbar ist.
- LogonCertTemplateReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn der Zustand der Anmeldezertifikatvorlage gültig ist und zur Problembehandlung der AD FS-Registrierungsstelle beiträgt.
- PreReqResult: Gibt das Gesamtergebnis der Auswertung der WHFB-Voraussetzungen an. Der Zustand wird auf Will Provision festgelegt, wenn die WHFB-Registrierung bei der nächsten Benutzeranmeldung als Aufgabe nach der Anmeldung gestartet wird.
Hinweis
Die folgenden Felder der Cloud Kerberos-Diagnose wurden im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.
Vor Windows 11 Version 23H2 wurde die Einstellung OnPremTGTcloudTGT genannt.
- OnPremTGT: Diese Einstellung ist spezifisch für die Bereitstellung der Cloud Kerberos-Vertrauensstellung und nur vorhanden, wenn der CertEnrollment-Status keine ist. Legen Sie den Status auf Yes fest, wenn das Gerät über ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen verfügt. Vor Windows 11 Version 23H2 wurde diese Einstellung CloudTGT genannt.
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Wechseln Sie zum Microsoft-Fehlersuchtool.
Zusätzliche Ressourcen
Training
Modul
Verwalten der Geräteauthentifizierung - Training
In diesem Modul lernen Sie die Authentifizierung und Verwaltung von Geräten in Microsoft Entra ID kennen. MD-102
Zertifizierung
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.