이 문서에서는 dsregcmd 명령의 출력을 사용하여 Microsoft Entra ID의 디바이스 상태를 이해하는 방법을 설명합니다.
dsregcmd /status 유틸리티를 도메인 사용자 계정으로 실행합니다.
디바이스 상태
이 섹션에서는 디바이스 조인 상태 매개 변수를 나열합니다. 디바이스가 다양한 조인 상태에 있는 데 필요한 조건은 다음 표에 나와 있습니다.
| AzureAdJoined | EnterpriseJoined | DomainJoined | 디바이스 상태 |
|---|---|---|---|
| 예 | 아니요 | 아니요 | Microsoft Entra 조인됨 |
| 아니요 | 아니요 | 예 | 도메인에 가입됨 |
| 예 | 아니요 | 예 | Microsoft Entra 하이브리드 조인됨 |
| 아니요 | 예 | 예 | 온프레미스 DRS 연결됨 |
메모
Workplace Joined(Microsoft Entra registered) 상태가 "사용자 상태" 섹션에 표시됩니다.
- AzureAdJoined : 디바이스가 Microsoft Entra ID에 조인된 경우 상태를 YES 설정합니다. 그렇지 않으면 상태를 NO로 설정합니다.
- EnterpriseJoined: 디바이스가 온-프레미스 DRS(데이터 복제 서비스)에 조인된 경우 상태를 YES 설정합니다. 디바이스는 EnterpriseJoined 및 AzureAdJoined 둘 다일 수 없습니다.
- DomainJoined: 디바이스가 도메인(Active Directory)에 가입된 경우 상태를 YES 설정합니다.
- DomainName: 디바이스가 도메인에 가입된 경우 상태를 도메인 이름으로 설정합니다.
샘플 디바이스 상태 출력
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
디바이스 세부 정보
디바이스가 Microsoft Entra에 가입되었거나 Microsoft Entra 하이브리드에 가입된 경우에만 상태가 표시되며 Microsoft Entra에 등록된 경우에는 표시되지 않습니다. 이 섹션에서는 Microsoft Entra ID에 저장된 디바이스 식별 세부 정보를 나열합니다.
- deviceId : Microsoft Entra 테넌트에 있는 디바이스의 고유 ID입니다.
- 지문: 디바이스 인증서의 지문입니다.
- deviceCertificateValidity : 디바이스 인증서의 유효성 상태입니다.
- KeyContainerId: 디바이스 인증서와 연결된 디바이스 프라이빗 키의 containerId입니다.
- KeyProvider: 디바이스 프라이빗 키를 저장하는 데 사용되는 KeyProvider(하드웨어/소프트웨어)입니다.
- TpmProtected: 디바이스 프라이빗 키가 하드웨어 TPM(신뢰할 수 있는 플랫폼 모듈)에 저장되면 상태가 YES 설정됩니다.
- deviceAuthStatus : Microsoft Entra ID에서 디바이스의 상태를 확인하는 검사를 수행합니다. 상태는 다음과 같습니다.
- 디바이스가 Microsoft Entra ID에서 존재하고 사용하도록 설정된 경우 성공.
- 실패. 디바이스를 사용하지 않도록 설정하거나 삭제했습니다. 디바이스를 사용하지 않도록 설정하거나 삭제한 경우 이 문제에 대한 자세한 내용은 Microsoft Entra 디바이스 관리 FAQ 참조하세요.
- 실패. 오류 테스트를 실행할 수 없으면 이 테스트를 수행하려면 시스템 컨텍스트에서 Microsoft Entra ID에 대한 네트워크 연결이 필요합니다.
메모
DeviceAuthStatus 필드는 Windows 10 2021년 5월 업데이트(버전 21H1)에 추가되었습니다.
-
Virtual Desktop: 이 줄이 나타나는 세 가지 경우가 있습니다.
- NOT SET - VDI 디바이스 메타데이터가 디바이스에 없습니다.
- 예 - VDI 디바이스 메타데이터가 있으며 dsregcmd는 다음을 포함한 관련 메타데이터를 출력합니다.
- 공급자: VDI 공급업체의 이름입니다.
- 형식: 영구 VDI 또는 비영구 VDI.
- 사용자 모드: 단일 사용자 또는 다중 사용자입니다.
- 확장: 선택적 공급업체별 메타데이터의 키 값 쌍 수가 있으며, 그 뒤에 키 값 쌍이 나옵니다.
- INVALID - VDI 디바이스 메타데이터가 있지만 올바르게 설정되지 않았습니다. 이 경우 dsregcmd는 잘못된 메타데이터를 출력합니다.
샘플 디바이스 세부 정보 출력
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
테넌트 세부 정보
테넌트 세부 정보는 디바이스가 Microsoft Entra에 가입되었거나 Microsoft Entra 하이브리드가 조인된 경우에만 표시되며 Microsoft Entra가 등록되지 않았습니다. 이 섹션에서는 디바이스가 Microsoft Entra ID에 조인될 때 표시되는 일반적인 테넌트 세부 정보를 나열합니다.
메모
이 섹션의 MDM(모바일 디바이스 관리) URL 필드가 비어 있으면 MDM이 구성되지 않았거나 현재 사용자가 MDM 등록 범위에 있지 않음을 나타냅니다. Microsoft Entra ID에서 모바일 설정을 확인하여 MDM 구성을 검토합니다.
MDM URL이 있다고 해서 디바이스가 MDM에서 관리되는 것은 아닙니다. 디바이스 자체가 관리되지 않더라도 테넌트에 자동 등록을 위한 MDM 구성이 있는 경우 정보가 표시됩니다.
샘플 임차인 세부 정보 출력
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
사용자 상태
이 섹션에서는 현재 디바이스에 로그인한 사용자의 다양한 특성 상태를 나열합니다.
메모
유효한 상태를 검색하려면 사용자 컨텍스트에서 명령을 실행해야 합니다.
- NgcSet: 현재 로그인한 사용자에 대해 Windows Hello 키가 설정된 경우 상태를 YES 설정합니다.
- NgcKeyId: 현재 로그인한 사용자에 대해 설정된 경우 Windows Hello 키의 ID입니다.
- CanReset: 사용자가 Windows Hello 키를 다시 설정할 수 있는지 여부를 나타냅니다.
- 가능한 값: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive 또는 오류 시 Unknown.
- WorkplaceJoined: Microsoft Entra 등록 계정이 현재 NTUSER 컨텍스트에서 디바이스에 추가된 경우 상태를 YES 설정합니다.
-
WamDefaultSet: 로그인한 사용자에 대해 WAM(웹 계정 관리자) 기본 WebAccount가 만들어지면 상태를 YES 설정합니다. 관리자 권한 명령 프롬프트에서
dsregcmd /status실행되면 이 필드에 오류가 표시될 수 있습니다. - WamDefaultAuthority: Microsoft Entra ID에 대해 조직으로 상태를 설정합니다.
- WamDefaultId: 항상 Microsoft Entra ID에 https://login.microsoft.com 사용합니다.
- WamDefaultGUID: 기본 WAM WebAccount에 대한 WAM 공급자(Microsoft Entra ID/Microsoft 계정) GUID입니다.
샘플 사용자 상태 출력
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
SSO 상태
Microsoft Entra 등록 디바이스에 대해서는 이 섹션을 무시할 수 있습니다.
메모
해당 사용자의 유효한 상태를 검색하려면 사용자 컨텍스트에서 명령을 실행해야 합니다.
- AzureAdPrt : 로그인한 사용자의 디바이스에 PRT(기본 새로 고침 토큰)가 있는 경우 상태를 YES 설정합니다.
- AzureAdPrtUpdateTime : PRT가 마지막으로 업데이트된 시점인 UTC(협정 세계시)로 상태를설정합니다.
- AzureAdPrtExpiryTime : PRT가 갱신되지 않으면 만료될 시점(UTC)으로 상태를 설정합니다.
- AzureAdPrtAuthority: Microsoft Entra 권한 URL
- EnterprisePrt: 디바이스에 온-프레미스 AD FS(Active Directory Federation Services)의 PRT가 있는 경우 상태를 YES 설정합니다. Microsoft Entra 하이브리드 조인 디바이스의 경우 디바이스에 Microsoft Entra ID와 온-프레미스 Active Directory의 PRT가 동시에 있을 수 있습니다. 온프레미스 조인 디바이스에는 엔터프라이즈 PRT만 있습니다.
- EnterprisePrtUpdateTime: 엔터프라이즈 PRT가 마지막으로 업데이트된 시간(UTC)으로 상태를 설정합니다.
- EnterprisePrtExpiryTime: PRT가 갱신되지 않으면 만료될 시점(UTC)으로 상태를 설정합니다.
- EnterprisePrtAuthority: AD FS 기관 URL
메모
다음 PRT 진단 필드는 Windows 10 2021년 5월 업데이트(버전 21H1)에 추가되었습니다.
- AzureAdPrt 필드에 표시되는 진단 정보는 Microsoft Entra PRT 획득 또는 새로 고침을 위한 것이며, EnterprisePrt 필드에 표시되는 진단 정보는 Enterprise PRT 획득 또는 새로 고침을 위한 것입니다.
- 진단 정보는 마지막으로 성공한 PRT 업데이트 시간(AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) 후에 취득 또는 새로 고침 오류가 발생한 경우에만 표시됩니다.
공유 디바이스에서 이 진단 정보는 다른 사용자의 로그인 시도에서 비롯될 수 있습니다.
-
AcquirePrtDiagnostics: 획득한 PRT 진단 정보가 로그에 있는 경우 상태를 PRESENT로 설정합니다.
- 이 필드는 사용할 수 있는 진단 정보가 없는 경우 건너뜁니다.
- 이전 Prt 시도: 실패한 PRT 시도가 발생한 현지 시간(UTC)입니다.
- 시도 상태: 반환된 클라이언트 오류 코드(HRESULT)입니다.
- 사용자 ID: PRT 시도가 발생한 사용자의 UPN입니다.
- 자격 증명 형식: PRT를 획득하거나 새로 고치는 데 사용되는 자격 증명입니다. 일반적인 자격 증명 유형은 암호 및 NGC(차세대 자격 증명)(Windows Hello용)입니다.
- 상관 관계 ID: 실패한 PRT 시도에 대해 서버에서 보낸 상관 관계 ID입니다.
- 엔드포인트 URI: 오류 전에 마지막으로 액세스한 엔드포인트입니다.
- HTTP 메서드: 엔드포인트에 액세스하는 데 사용되는 HTTP 메서드입니다.
- HTTP 오류: WinHttp 전송 오류 코드입니다. 다른 네트워크 오류 코드를 확인하세요.
- HTTP 상태: 엔드포인트에서 반환된 HTTP 상태입니다.
- 서버 오류 코드: 서버의 오류 코드입니다.
- 서버 오류 설명: 서버의 오류 메시지입니다.
-
RefreshPrtDiagnostics: 획득한 PRT 진단 정보가 로그에 존재하는 경우 상태를 PRESENT로 설정합니다.
- 이 필드는 사용할 수 있는 진단 정보가 없는 경우 건너뜁니다.
- 진단 정보 필드는 AcquirePrtDiagnostics동일합니다.
메모
다음 클라우드 Kerberos 진단 필드는 Windows 11(버전 21H2)의 원래 릴리스에 추가되었습니다.
- OnPremTgt: 온-프레미스 리소스에 액세스하기 위한 클라우드 Kerberos 티켓이 로그인한 사용자의 디바이스에 있는 경우 상태를 YES 설정합니다.
- CloudTgt: 로그인한 사용자에 대한 클라우드 리소스에 액세스하기 위한 클라우드 Kerberos 티켓이 디바이스에 있는 경우 상태를 YES 설정합니다.
- KerbTopLevelNames: 클라우드 Kerberos에 대한 최상위 Kerberos 영역 이름 목록입니다.
샘플 SSO 상태 출력
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
진단 데이터
사전 조인 진단
이 진단 섹션은 디바이스가 도메인에 가입되어 있고 Microsoft Entra 하이브리드 조인을 수행할 수 없는 경우에만 표시됩니다.
이 섹션에서는 조인 실패를 진단하는 데 도움이 되는 다양한 테스트를 수행합니다. 이 정보에는 오류 단계, 오류 코드, 서버 요청 ID, 서버 응답 HTTP 상태 및 서버 응답 오류 메시지가 포함됩니다.
사용자 컨텍스트: 진단이 실행되는 컨텍스트입니다. 가능한 값: SYSTEM, UN-ELEVATED User, ELEVATED User.
메모
실제 조인은 SYSTEM 컨텍스트에서 수행되므로 SYSTEM 컨텍스트에서 진단을 실행하는 것은 실제 조인 시나리오와 가장 가깝습니다. SYSTEM 컨텍스트에서 진단을 실행하려면 관리자 권한 명령 프롬프트에서
dsregcmd /status명령을 실행해야 합니다.클라이언트 시간: 시스템 시간(UTC)입니다.
AD 연결 테스트: 이 테스트는 도메인 컨트롤러에 대한 연결 테스트를 수행합니다. 이 테스트의 오류로 인해 사전 검사 단계에서 조인 오류가 발생할 수 있습니다.
AD 구성 테스트: 이 테스트는 SCP(서비스 연결 지점) 개체가 온-프레미스 Active Directory 포리스트에서 제대로 구성되었는지 여부를 읽고 확인합니다. 이 테스트에서 발생하는 오류는 검색 단계에서 조인 오류를 발생시키며, 그 오류 코드는 0x801c001d입니다.
DRS 검색 테스트: 이 테스트는 검색 메타데이터 엔드포인트에서 DRS 엔드포인트를 가져오고 사용자 영역 요청을 수행합니다. 이 테스트의 오류로 인해 검색 단계에서 조인 오류가 발생할 수 있습니다.
DRS 연결 테스트: 이 테스트는 DRS 엔드포인트에 대한 기본 연결 테스트를 수행합니다.
토큰 획득 테스트: 이 테스트는 사용자 테넌트가 페더레이션된 경우 Microsoft Entra 인증 토큰을 가져오려고 시도합니다. 이 테스트의 오류로 인해 인증 단계에서 조인 오류가 발생할 수 있습니다. 인증에 실패하면, 동기화 조인을 대체로 시도합니다. 단, 다음 레지스트리 키 설정으로 대체를 명시적으로 비활성화하지 않은 경우에만 가능합니다.
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled동기화 조인대체: 인증 실패와 동기화 조인에 대한 대체를 방지하기 위한 이전 레지스트리 키가 없는 경우 상태를사용 설정합니다. 이 옵션은 Windows 10 1803 이상에서 사용할 수 있습니다.
이전 등록: 이전 조인 시도가 발생한 시간입니다. 실패한 조인 시도만 기록됩니다.
오류 단계: 중단된 조인의 단계입니다. 가능한 값은 사전 검사, 발견, 인증, 및 참가.
클라이언트 ErrorCode: 반환된 클라이언트 오류 코드(HRESULT)입니다.
Server ErrorCode: 요청이 서버에 전송되고 서버가 오류 코드로 응답한 경우 표시되는 서버 오류 코드입니다.
서버 메시지: 오류 코드와 함께 반환된 서버 메시지입니다.
Https 상태: 서버에서 반환된 HTTP 상태입니다.
요청 ID: 서버로 전송된 클라이언트 requestId입니다. 요청 ID는 서버 쪽 로그와 상관 관계를 지정하는 데 유용합니다.
샘플 사전 결합 진단 출력
다음 예제에서는 검색 오류로 실패한 진단 테스트를 보여 줍니다.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
다음 예제에서는 진단 테스트가 통과했지만 동기화 조인에 필요한 디렉터리 오류로 인해 등록 시도가 실패했음을 보여 줍니다. Microsoft Entra Connect 동기화 작업이 완료되면 디바이스가 조인할 수 있습니다.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
조인 후 진단
이 진단 섹션에서는 클라우드에 조인된 디바이스에서 수행된 검사의 출력을 표시합니다.
- AadRecoveryEnabled: 값이 예인 경우, 디바이스에 저장된 키를 사용할 수 없으며, 디바이스가 복구용으로 표시됩니다. 다음 로그인은 복구 흐름을 트리거하고 디바이스를 다시 등록합니다.
-
KeySignTest: 값이 통과인 경우 디바이스 키가 정상입니다. KeySignTest가 실패하면 디바이스는 일반적으로 복구용으로 표시됩니다. 다음 로그인은 복구 흐름을 트리거하고 디바이스를 다시 등록합니다. Microsoft Entra 하이브리드로 조인된 디바이스의 경우, 복구는 무언중에 수행됩니다. 디바이스가 Microsoft Entra에 가입되었거나 Microsoft Entra가 등록되어 있는 동안 필요한 경우 디바이스를 복구하고 다시 등록하도록 사용자 인증을 요청하는 메시지가 표시됩니다.
메모
KeySignTest에는 상승된 권한이 필요합니다.
샘플 데이터 통합 후 진단 결과 출력
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
NGC 필수 구성 요소 확인
이 진단 섹션에서는 WHFB(비즈니스용 Windows Hello)를 설정하기 위한 필수 구성 요소 검사를 수행합니다.
메모
사용자가 WHFB를 성공적으로 구성한 경우 dsregcmd /status NGC 필수 구성 요소 확인 세부 정보가 표시되지 않을 수 있습니다.
- isDeviceJoined : 디바이스가 Microsoft Entra ID에 조인된 경우 상태를 YES 설정합니다.
- IsUserAzureAD: 로그인한 사용자가 Microsoft Entra ID에 있는 경우 상태를 YES 설정합니다.
- PolicyEnabled: 디바이스에서 WHFB 정책이 활성화되어 있는 경우 상태를 YES로 설정합니다.
- PostLogonEnabled: 플랫폼에서 WHFB 등록이 기본적으로 트리거되는 경우 상태를 YES 설정합니다. 상태가 NO 설정되면 비즈니스용 Windows Hello 등록이 사용자 지정 메커니즘에 의해 트리거됨을 나타냅니다.
- DeviceEligible: 디바이스가 WHFB에 등록하기 위한 하드웨어 요구 사항을 충족하는 경우 상태를 YES 설정합니다.
- SessionIsNotRemote: 현재 사용자가 원격으로가 아닌 디바이스에 직접 로그인한 경우 상태를 YES 설정합니다.
- CertEnrollment: 이 설정은 WHFB 인증서 신뢰 배포에 특정하며, WHFB에 대한 인증서 등록 기관을 나타냅니다. WHFB 정책의 출처가 그룹 정책인 경우 상태를 등록 기관으로 설정하거나, 출처가 MDM인 경우 상태를 모바일 디바이스 관리 으로 설정합니다. 두 원본이 모두 적용되지 않는 경우 상태를 설정합니다.
- AdfsRefreshToken : 이 설정은 WHFB 인증서 신뢰 배포에만 해당되며 CertEnrollment 상태가 등록 기관 일 때만 나타납니다. 설정은 디바이스에 사용자에 대한 엔터프라이즈 PRT가 있는지 여부를 나타냅니다.
- AdfsRaIsReady : 이 설정은 WHFB 인증서 신뢰 배포에만 적용되며 CertEnrollment 상태가 등록 기관경우에만 표시됩니다. AD FS가 검색 메타데이터에서 WHFB 지원하고 로그온 인증서 템플릿을 사용할 수 경우 상태를 YES 설정합니다.
- LogonCertTemplateReady: 이 설정은 WHFB 인증서 신뢰 배포와 관련이 있으며 CertEnrollment 상태가 Enrollment Authority경우에만 표시됩니다. 로그인 인증서 템플릿의 상태가 유효하고 AD FS RA(등록 기관) 문제를 해결하는 데 도움이 되는 경우 상태를 YES 설정합니다.
- PreReqResult: 모든 WHFB 사전 조건 평가 결과를 제공합니다. 사용자가 다음에 로그인할 때 WHFB 등록이 로그인 후 작업으로 시작될 경우 Will Provision 상태로 설정합니다.
메모
다음 클라우드 Kerberos 진단 필드는 Windows 10 2021년 5월 업데이트(버전 21H1)에 추가되었습니다.
Windows 11 버전 23H2 이전에는 OnPremTGT 설정이 CloudTGT으로 명명되었습니다.
- OnPremTGT: 이 설정은 Cloud Kerberos 트러스트 배포에만 적용되며 CertEnrollment 상태가 없는 경우에만 표시됩니다. 디바이스에 온-프레미스 리소스에 액세스할 클라우드 Kerberos 티켓이 있는 경우 상태를 YES 설정합니다. Windows 11 버전 23H2 이전에는 이 설정의 이름이 CloudTGT이었습니다.
샘플 NGC 필수 구성 요소 점검 결과
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
다음 단계
Microsoft 오류 조회 도구 로 이동하여을 확인하세요.