Partager via


Résoudre les problèmes d’appareils à l’aide de la commande dsregcmd

Cet article explique comment utiliser la sortie de la dsregcmd commande pour comprendre l’état des appareils dans Microsoft Entra ID. Exécutez l’utilitaire dsregcmd /status en tant que compte d’utilisateur de domaine.

État de l’appareil

Cette section répertorie les paramètres d’état de jointure de l’appareil. Les critères requis pour que l’appareil se trouve dans différents états de jointure soient répertoriés dans le tableau suivant :

AzureAdJoined EntrepriseConnectée DomainJoined État de l’appareil
OUI NON NON Joint à Microsoft Entra
NON NON OUI Joint à un domaine
OUI NON OUI Jonction hybride Microsoft Entra
NON OUI OUI Joint à Data Replication Service localement

Remarque

L’état Joint à l’espace de travail (inscrit auprès de Microsoft Entra) est affiché dans la section « État de l’utilisateur ».

  • AzureAdJoined : définissez l’état sur OUI si l’appareil est joint à l’ID Microsoft Entra. Sinon, définissez l’état sur NO.

  • EnterpriseJoined : définissez l’état sur OUI si l’appareil est joint à un Active Directory local (AD). Un appareil ne peut pas être à la fois EnterpriseJoined et AzureAdJoined.

  • Domaine joint : définissez l’état sur OUI si l’appareil est joint à un domaine (Active Directory).

  • DomainName : définissez l’état sur le nom du domaine si l’appareil est joint à un domaine.

Exemple d'affichage de l'état de l'appareil

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Détails sur l'appareil

L’état s’affiche uniquement lorsque l’appareil est joint à Microsoft Entra ou à Microsoft Entra hybride, et non inscrit à Microsoft Entra. Cette section répertorie les détails d’identification des appareils stockés dans l’ID Microsoft Entra.

  • DeviceId : ID unique de l’appareil dans le client Microsoft Entra.
  • Empreinte : empreinte du certificat de l’appareil.
  • DeviceCertificateValidity : état de validité du certificat d’appareil.
  • KeyContainerId : containerId de la clé privée de l’appareil associée au certificat d’appareil.
  • KeyProvider : KeyProvider (matériel/logiciel) utilisé pour stocker la clé privée de l’appareil.
  • TpmProtected : L’état est défini sur OUI si la clé privée de l’appareil est stockée dans un module de plateforme sécurisée (TPM) matériel.
  • DeviceAuthStatus : effectue une vérification pour déterminer l’intégrité de l’appareil dans Microsoft Entra ID. Les états d’intégrité sont les suivants :
    • SUCCESS si l’appareil est présent et activé dans l’ID Microsoft Entra.
    • RATÉ. L’appareil est désactivé ou supprimé si l’appareil est désactivé ou supprimé. Pour plus d’informations sur ce problème, consultez la FAQ sur la gestion des appareils Microsoft Entra.
    • RATÉ. ERREUR si le test n’a pas pu être exécuté. Ce test nécessite une connectivité réseau à l’ID Microsoft Entra sous le contexte système.

    Remarque

    Le champ DeviceAuthStatus a été ajouté dans la mise à jour de Mai 2021 de Windows 10 (version 21H1).

  • Virtual Desktop : il existe trois cas où cette ligne s’affiche.
    • NOT SET - Les métadonnées d’appareil VDI ne sont pas présentes sur l’appareil.
    • YES : Les métadonnées d’appareil VDI sont présentes et les sorties dsregcmd sont associées aux métadonnées, notamment :
      • Fournisseur : Nom du fournisseur VDI.
      • Type : VDI persistant ou VDI non persistant.
      • Mode utilisateur : utilisateur unique ou multi-utilisateur.
      • Extensions : nombre de paires clés-valeurs dans les métadonnées spécifiques au fournisseur facultatives, suivi des paires clés-valeurs en question.
    • INVALID : les métadonnées de l’appareil VDI sont présentes, mais ne sont pas définies correctement. Dans ce cas, dsregcmd génère les métadonnées incorrectes.

Exemple de sortie des détails de l’appareil

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Détails du locataire

Les détails du locataire s’affichent uniquement lorsque l’appareil est joint à Microsoft Entra ou à Microsoft Entra hybride, et non inscrit à Microsoft Entra. Cette section répertorie les détails courants du locataire affichés lorsqu’un appareil est joint à l’ID Microsoft Entra.

Remarque

Dans le cas où les champs URL de gestion des appareils mobiles (MDM) de cette section sont vides, cela indique soit que la gestion des appareils mobiles n’a pas été configurée, soit que l’utilisateur actuel n’est pas dans l’étendue de l’inscription MDM. Vérifiez les paramètres mobilité dans Microsoft Entra ID pour passer en revue votre configuration MDM.

La présence d'URL MDM ne garantit pas que l'appareil est géré par un MDM. Les informations s’affichent si le locataire dispose d’une configuration MDM pour l’inscription automatique même si l’appareil lui-même n’est pas géré.

Exemple de sortie des détails du locataire

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

État de l’utilisateur

Cette section répertorie les états des différents attributs pour les utilisateurs actuellement connectés à l’appareil.

Remarque

La commande doit s’exécuter dans un contexte utilisateur pour récupérer un état valide.

  • NgcSet : définissez l’état sur OUI si une clé Windows Hello est définie pour l’utilisateur connecté actuel.
  • NgcKeyId : ID de la clé Windows Hello si l’un d’eux est défini pour l’utilisateur connecté actuel.
  • CanReset : indique si la clé Windows Hello peut être réinitialisée par l’utilisateur.
  • Valeurs possibles : DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive ou Unknown en cas d'erreur.
  • WorkplaceJoined : définissez l’état sur OUI si les comptes inscrits par Microsoft Entra ont été ajoutés à l’appareil dans le contexte NTUSER actuel.
  • WamDefaultSet : définissez l’état sur OUI si un compte WebAccount par défaut (WAM) est créé pour l’utilisateur connecté. Ce champ peut afficher une erreur si dsregcmd /status est exécuté à partir d'une invite de commandes avec élévation de privilèges.
  • WamDefaultAuthority : Réglez l’état sur organisations pour l’ID Microsoft Entra.
  • WamDefaultId : Toujours utiliser https://login.microsoft.com pour l’ID Microsoft Entra.
  • WamDefaultGUID : GUID du fournisseur WAM (Microsoft Entra ID / compte Microsoft) pour le compte WebAccount WAM par défaut.

Exemple de sortie de l’état de l’utilisateur

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

État de SSO

Vous pouvez ignorer cette section pour les appareils inscrits par Microsoft Entra.

Remarque

La commande doit s’exécuter dans un contexte utilisateur pour récupérer l’état valide de cet utilisateur.

  • AzureAdPrt : Définissez l’état sur OUI si un jeton d’actualisation principal (PRT) est présent sur l’appareil pour l’utilisateur connecté.
  • AzureAdPrtUpdateTime : définissez l’état sur l’heure, en temps universel coordonné (UTC), lorsque le PRT a été mis à jour pour la dernière fois.
  • AzureAdPrtExpiryTime : définissez l’état sur l’heure, au format UTC, lorsque le PRT va expirer s’il n’est pas renouvelé.
  • AzureAdPrtAuthority : URL de l’autorité Microsoft Entra
  • EnterprisePrt : définissez l’état sur OUI si l’appareil dispose d’un PRT à partir des services de fédération Active Directory (AD FS) locaux. Pour les appareils avec une jointure hybride Microsoft Entra, l’appareil peut avoir un PRT provenant à la fois de Microsoft Entra ID et d’Active Directory local. Les appareils joints locaux ne disposent que d’un PRT d’entreprise.
  • EnterprisePrtUpdateTime : définissez l’état sur l’heure, en UTC, lorsque le PRT d’entreprise a été mis à jour pour la dernière fois.
  • EnterprisePrtExpiryTime : définissez l’état sur l’heure, au format UTC, lorsque le PRT va expirer s’il n’est pas renouvelé.
  • EnterprisePrtAuthority : URL de l’autorité AD FS

Remarque

Les champs de diagnostic PRT suivants ont été ajoutés dans la mise à jour de mai 2021 de Windows 10 (version 21H1).

  • Les informations de diagnostic affichées dans le champ AzureAdPrt sont destinées à l’acquisition ou à l’actualisation de Microsoft Entra PRT, et les informations de diagnostic affichées dans le champ EnterprisePrt sont destinées à l’acquisition ou à l’actualisation prT d’entreprise.
  • Les informations de diagnostic s’affichent uniquement si l’acquisition ou l’échec d’actualisation s’est produit après la dernière heure de mise à jour PRT réussie (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Sur un appareil partagé, ces informations de diagnostic peuvent provenir de la tentative de connexion d’un autre utilisateur.
  • AcquirePrtDiagnostics : définissez l’état sur PRESENT si les informations de diagnostic PRT acquises sont présentes dans les journaux.
    • Ce champ est ignoré si aucune information de diagnostic n’est disponible.
  • Tentative de prt précédente : heure locale, en UTC, à laquelle la tentative PRT ayant échoué s’est produite.
  • État de la tentative : code d’erreur client retourné (HRESULT).
  • Identité de l’utilisateur : UPN de l’utilisateur pour lequel la tentative PRT s’est produite.
  • Type d’informations d’identification : informations d’identification utilisées pour acquérir ou actualiser le PRT. Les types d’informations d’identification courants sont Mot de passe et Informations d’identification de nouvelle génération (NGC) (pour Windows Hello).
  • ID de corrélation : ID de corrélation envoyé par le serveur pour la tentative PRT ayant échoué.
  • Point de terminaison URI: dernier point de terminaison accédé avant l’échec.
  • Méthode HTTP : méthode HTTP utilisée pour accéder au point de terminaison.
  • Erreur HTTP : code d’erreur de transport WinHttp. Obtenez d’autres codes d’erreur réseau.
  • État HTTP : état HTTP retourné par le point de terminaison.
  • Code d’erreur du serveur : code d’erreur du serveur.
  • Description de l’erreur du serveur : message d’erreur du serveur.
  • RefreshPrtDiagnostics : définissez l’état sur PRESENT si les informations de diagnostic PRT acquises sont présentes dans les journaux.
    • Ce champ est ignoré si aucune information de diagnostic n’est disponible.
    • Les champs d’informations de diagnostic sont identiques à AcquirePrtDiagnostics.

Remarque

Les champs de diagnostic Kerberos cloud suivants ont été ajoutés dans la version d’origine de Windows 11 (version 21H2).

  • OnPremTgt : Définissez l’état sur OUI si un ticket Kerberos cloud permettant d’accéder aux ressources locales est présent sur l’appareil pour l’utilisateur connecté.
  • CloudTgt : Définissez l’état sur OUI si un ticket Kerberos cloud pour accéder aux ressources cloud est présent sur l’appareil pour l’utilisateur connecté.
  • KerbTopLevelNames : liste des noms de domaine Kerberos de niveau supérieur pour Cloud Kerberos.

Exemple de sortie d’état SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Données de diagnostic

Diagnostics de préjointure

Cette section de diagnostics s’affiche uniquement si l’appareil est joint à un domaine et ne parvient pas à établir une jointure hybride Microsoft Entra.

Cette section effectue différents tests pour diagnostiquer les échecs de jointure. Les informations incluent la phase d’erreur, le code d’erreur, l’ID de demande du serveur, l’état HTTP de la réponse du serveur et le message d’erreur de réponse au serveur.

  • Contexte utilisateur : contexte dans lequel les diagnostics sont exécutés. Valeurs possibles : SYSTEM, UN-ELEVATED User, ELEVATED User.

    Remarque

    Étant donné que la jointure réelle est effectuée dans le contexte SYSTEM, l’exécution des diagnostics dans le contexte SYSTEM est la plus proche du scénario de jointure réel. Pour exécuter des diagnostics dans le contexte SYSTEM, la commande dsregcmd /status doit être exécutée à partir d’une invite de commandes avec élévation de privilèges.

  • Heure du client : heure système, en UTC.

  • Test de connectivité AD : ce test effectue un test de connectivité au contrôleur de domaine. Une erreur dans ce test entraîne probablement des erreurs de jointure dans la phase de pré-vérification.

  • Test de configuration AD : ce test lit et vérifie si l’objet point de connexion de service (SCP) est configuré correctement dans la forêt Active Directory locale. Les erreurs dans ce test pourraient probablement entraîner des erreurs de jointure lors de la phase de découverte avec le code d'erreur 0x801c001d.

  • Test de découverte Data Replication Service : ce test obtient les points de terminaison Data Replication Service du point de terminaison des métadonnées de découverte, et exécute une requête de domaine d’utilisateur. Les erreurs de ce test entraîneront probablement des erreurs de jointure dans la phase de découverte.

  • Test de connectivité DRS : ce test effectue un test de connectivité de base au point de terminaison DRS.

  • Test d’acquisition de jeton : ce test tente d’obtenir un jeton d’authentification Microsoft Entra si le locataire utilisateur est fédéré. Les erreurs de ce test entraînent probablement des erreurs de jointure dans la phase d’authentification. Si l'authentification échoue, une jonction de synchronisation est tentée en tant que solution de secours, sauf si cette solution est explicitement désactivée avec les paramètres de clé de registre suivants :

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Repli sur Sync-Join : Définissez l’état sur Activé si la clé de Registre précédente pour empêcher le repli sur sync-join en cas d’échec d’authentification n’est pas présente. Cette option est disponible à partir de Windows 10 1803 et versions ultérieures.

  • Inscription précédente : heure à laquelle la tentative de jointure précédente s’est produite. Seules les tentatives de jointure ayant échoué sont journalisées.

  • Phase d’erreur : étape de la jointure où celle-ci a été abandonnée. Les valeurs possibles sont pré-vérification, découverte, authentification et jointure.

  • Code d’erreur du client : code d’erreur client retourné (HRESULT).

  • Code d’erreur du serveur : code d’erreur du serveur affiché si une demande a été envoyée au serveur et que le serveur a répondu avec un code d’erreur.

  • Message du serveur : message serveur retourné avec le code d’erreur.

  • État Https : état HTTP retourné par le serveur.

  • ID de la demande : Id de demande client envoyé au serveur. L’ID de la requête est utile pour la corrélation avec les journaux côté serveur.

Exemple de sortie de diagnostics avant jointure

L’exemple suivant montre un test de diagnostic ayant échoué avec une erreur de découverte.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

L’exemple suivant montre que les tests de diagnostic sont réussis, mais que la tentative d’inscription a échoué avec une erreur d’annuaire, ce qui est attendu pour la jointure de synchronisation. Une fois la tâche de synchronisation Microsoft Entra Connect terminée, l’appareil est en mesure de se joindre.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostics après jointure

Cette section de diagnostics affiche la sortie des vérifications effectuées sur un appareil joint au cloud.

  • AadRecoveryEnabled : si la valeur est OUI, les clés stockées dans l’appareil ne sont pas utilisables et l’appareil est marqué pour la récupération. La connexion suivante déclenchera le flux de récupération et réinscrira l’appareil.
  • KeySignTest : si la valeur est PASSÉE, les clés d’appareil sont en bonne santé. Si KeySignTest échoue, l’appareil est généralement marqué pour la restauration. La connexion suivante déclenchera le flux de récupération et réinscrira l’appareil. Pour les appareils connectés avec une jointure hybride Microsoft Entra, la récupération est silencieuse. Bien que les appareils soient joints à Microsoft Entra ou Microsoft Entra inscrits, ils demandent l’authentification de l’utilisateur pour récupérer et réinscrire l’appareil, si nécessaire.

    Remarque

    KeySignTest nécessite des privilèges élevés.

Exemple de sortie de diagnostics après jointure

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Vérification des prérequis du NGC

Cette section de diagnostics effectue la vérification des conditions préalables à la configuration de Windows Hello Entreprise (WHFB).

Remarque

Il se peut que vous ne voyiez pas les détails de la vérification des prérequis de NGC dans dsregcmd /status si l'utilisateur a réussi la configuration de WHFB.

  • IsDeviceJoined : définissez l’état sur OUI si l’appareil est joint à l’ID Microsoft Entra.
  • IsUserAzureAD : Définissez l’état sur OUI si l’utilisateur connecté est présent dans l’ID Microsoft Entra.
  • PolicyEnabled : définissez l’état sur OUI si la stratégie WHFB est activée sur l’appareil.
  • PostLogonEnabled : définissez l’état sur OUI si l’inscription WHFB est déclenchée en mode natif par la plateforme. Si l’état est défini sur NO, il indique que l’inscription Windows Hello Entreprise est déclenchée par un mécanisme personnalisé.
  • Device Eligible : définissez l’état sur OUI si l’appareil répond à la configuration matérielle requise pour l’inscription auprès de WHFB.
  • SessionIsNotRemote : définissez l’état sur OUI si l’utilisateur actuel est connecté directement à l’appareil et non à distance.
  • CertEnrollment : Ce paramètre est spécifique au déploiement de la confiance des certificats WHFB, et il indique l’autorité d’enrôlement des certificats pour WHFB. Définissez l’état sur enrollment authority si la source de la stratégie WHFB est Stratégie de groupe, ou définissez-le sur mobile device management si la source est MDM. Si aucune source ne s’applique, définissez l’état sur aucun.
  • AdfsRefreshToken : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB et présent uniquement si l’état de CertEnrollment est enrollment authority. Le paramètre indique si l’appareil a un PRT d’entreprise pour l’utilisateur.
  • AdfsRaIsReady : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB et présent uniquement si l’état de CertEnrollment est enrollment authority. Définissez l’état sur OUI si AD FS indique dans les métadonnées de découverte qu’il prend en charge WHFB et que le modèle de certificat d’ouverture de session est disponible.
  • LogonCertTemplateReady : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB, et présent uniquement si l’état de CertEnrollment est enrollment authority. Définissez l’état sur YES si l’état du modèle de certificat de connexion est valide et vous aide à résoudre les problèmes de l’autorité d’inscription AD FS.
  • PreReqResult : fournit le résultat de l’évaluation de toutes les conditions préalables WHFB. Définissez l’état sur WillProvision si l’inscription de WHFB est lancée en tant que tâche après ouverture de session lors de la prochaine connexion de l’utilisateur.

Remarque

Les champs de diagnostic Kerberos cloud suivants ont été ajoutés dans la mise à jour de mai 2021 de Windows 10 (version 21H1).

Avant Windows 11 version 23H2, le paramètre OnPremTGT a été nommé CloudTGT.

  • OnPremTGT : ce paramètre est spécifique au déploiement d’approbation Kerberos cloud et présent uniquement si l’état CertEnrollment n’est pas. Définissez l’état sur OUI si l’appareil dispose d’un ticket Kerberos cloud pour accéder aux ressources locales. Avant Windows 11 version 23H2, ce paramètre a été nommé CloudTGT.

Exemple de sortie de vérification des prérequis NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Étapes suivantes

Accédez à l'Outil de recherche d’erreurs Microsoft.