Problemen met apparaten oplossen met behulp van de opdracht dsregcmd

  • Artikel

In dit artikel wordt beschreven hoe u de uitvoer van de dsregcmd opdracht gebruikt om inzicht te hebben in de status van apparaten in Microsoft Entra-id. Het hulpprogramma dsregcmd /status moet worden uitgevoerd als een domeingebruikersaccount.

Apparaatstatus

In deze sectie vindt u een overzicht van de parameters voor de koppelingsstatus van het apparaat. Een overzicht van de vereiste criteria voor de verschillende koppelingsstatussen van het apparaat vindt u in de volgende tabel:

AzureAdJoined EnterpriseJoined DomainJoined Apparaatstatus
JA NEEN NO Aan Microsoft Entra gekoppeld
NO NEEN JA Lid van domein
JA NEEN JA Hybride aan Microsoft Entra gekoppeld
NO JA JA On-premises DRS-gekoppeld

Notitie

De status Workplace Joined (Microsoft Entra registered) wordt weergegeven in de sectie 'Gebruikersstatus' .

  • AzureAdJoined: Stel de status in op JA als het apparaat is gekoppeld aan Microsoft Entra-id. Anders stelt u de status in op NO.
  • EnterpriseJoined: Stel de status in op YES als het apparaat is gekoppeld aan een on-premises gegevensreplicatieservice (DRS). Een apparaat kan niet tegelijkertijd zowel de status EnterpriseJoined als AzureAdJoined hebben.
  • DomainJoined: Stel de status in op YES als het apparaat gekoppeld is aan een domein (Active Directory).
  • DomainName: Stel de status in op de naam van het domein als het apparaat gekoppeld is aan een domein.

Voorbeelduitvoer van apparaatstatus

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Apparaatgegevens

De status wordt alleen weergegeven wanneer het apparaat lid is van Microsoft Entra of hybride Microsoft Entra-deelname (niet geregistreerd bij Microsoft Entra). In deze sectie vindt u informatie over het identificeren van apparaten die zijn opgeslagen in Microsoft Entra-id.

  • DeviceId: de unieke id van het apparaat in de Microsoft Entra-tenant.
  • Thumbprint: De vingerafdruk van het apparaatcertificaat.
  • DeviceCertificateValidity: De geldigheidsstatus van het apparaatcertificaat.
  • KeyContainerId: de containerId van de persoonlijke sleutel van het apparaat die is gekoppeld aan het apparaatcertificaat.
  • KeyProvider: De KeyProvider (Hardware/Software) die wordt gebruikt om de persoonlijke sleutel van het apparaat op te slaan.
  • TpmProtected: De status is ingesteld op YES als de persoonlijke sleutel van het apparaat wordt opgeslagen in een TPM (Trusted Platform Module).
  • DeviceAuthStatus: voert een controle uit om de status van het apparaat in Microsoft Entra-id te bepalen. De statussen zijn:
    • GESLAAGD als het apparaat aanwezig is en is ingeschakeld in Microsoft Entra ID.
    • FAILED. Apparaat is uitgeschakeld of verwijderd als het apparaat is uitgeschakeld of verwijderd. Zie De veelgestelde vragen over Microsoft Entra-apparaatbeheer voor meer informatie over dit probleem.
    • FAILED. FOUT als de test niet kan worden uitgevoerd. Voor deze test is netwerkconnectiviteit met Microsoft Entra-id vereist in de systeemcontext.

    Notitie

    Het veld DeviceAuthStatus is toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

  • Virtual Desktop: er zijn drie gevallen waarin dit wordt weergegeven.
    • NOT SET : metagegevens van VDI-apparaten zijn niet aanwezig op het apparaat.
    • JA - Metagegevens van VDI-apparaten zijn aanwezig en dsregcmd-uitvoer gekoppelde metagegevens, waaronder:
      • Provider: naam van de VDI-leverancier.
      • Type: Permanente VDI of niet-permanente VDI.
      • Gebruikersmodus: één gebruiker of meerdere gebruikers.
      • Extensies: aantal sleutel-waardeparen in optionele metagegevens van leveranciers, gevolgd door sleutel-waardeparen.
    • ONGELDIG: de metagegevens van het VDI-apparaat zijn aanwezig, maar zijn niet juist ingesteld. In dit geval voert dsregcmd de onjuiste metagegevens uit.

Voorbeelduitvoer apparaatgegevens

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Tenantdetails

De tenantgegevens worden alleen weergegeven wanneer het apparaat is toegevoegd aan Microsoft Entra of als microsoft Entra hybride lid is, niet als Microsoft Entra geregistreerd. In deze sectie vindt u de algemene tenantgegevens die worden weergegeven wanneer een apparaat lid is van Microsoft Entra-id.

Notitie

Als de URL-velden voor Mobile Device Management (MDM) in deze sectie leeg zijn, geeft dit aan dat MDM niet is geconfigureerd of dat de huidige gebruiker zich niet binnen het bereik van de MDM-inschrijving bevindt. Controleer de Mobility-instellingen in Microsoft Entra-id om uw MDM-configuratie te controleren.

Zelfs als u MDM-URL's ziet, betekent dit niet dat het apparaat wordt beheerd met MDM. De informatie wordt weergegeven als de tenant MDM-configuratie heeft voor automatische inschrijving, zelfs als het apparaat zelf niet wordt beheerd.

Voorbeelduitvoer tenantgegevens

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Gebruikersstatus

Deze sectie bevat de statussen van verschillende kenmerken voor gebruikers die momenteel zijn aangemeld bij het apparaat.

Notitie

De opdracht moet worden uitgevoerd in een gebruikerscontext om een geldige status op te halen.

  • NgcSet: Stel de status in op YES als een Windows Hello-sleutel is ingesteld voor de gebruiker die momenteel is aangemeld.
  • NgcKeyId: De id van de Windows Hello-sleutel als er een is ingesteld voor de gebruiker die momenteel is aangemeld.
  • CanReset: Geeft aan of de gebruiker de Windows Hello-sleutel opnieuw kan instellen.
  • Mogelijke waarden: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive of Unknown in het geval van een fout.
  • WorkplaceJoined: Stel de status in op JA als geregistreerde Microsoft Entra-accounts zijn toegevoegd aan het apparaat in de huidige NTUSER-context.
  • WamDefaultSet: Stel de status in op YES als er een standaard WAM-webaccount (Web Account Manager) wordt gemaakt voor de aangemelde gebruiker. In dit veld kan een fout worden weergegeven als dsregcmd /status wordt uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.
  • WamDefaultAuthority: Stel de status in op organisaties voor Microsoft Entra-id.
  • WamDefaultId: Altijd gebruiken https://login.microsoft.com voor Microsoft Entra-id.
  • WamDefaultGUID: de GUID van de WAM-provider (Microsoft Entra ID/Microsoft-account) voor het standaard WAM-webaccount.

Voorbeelduitvoer gebruikersstatus

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO-status

U kunt deze sectie negeren voor geregistreerde Microsoft Entra-apparaten.

Notitie

De opdracht moet worden uitgevoerd in een gebruikerscontext om een geldige status van de betreffende gebruiker op te halen.

  • AzureAdPrt: Stel de status in op YES als er een primair vernieuwingstoken (PRT) op het apparaat aanwezig is voor de aangemelde gebruiker.
  • AzureAdPrtUpdateTime: Stel de status in op de tijd, in Coordinated Universal Time (UTC), wanneer de PRT voor het laatst is bijgewerkt.
  • AzureAdPrtExpiryTime: Stel de status in op de tijd, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
  • AzureAdPrtAuthority: de URL van de Microsoft Entra-instantie
  • EnterprisePrt: Stel de status in op YES als het apparaat een PRT heeft van on-premises Active Directory Federation Services (AD FS). Voor hybride apparaten van Microsoft Entra kan het apparaat tegelijkertijd een PRT hebben van zowel Microsoft Entra-id als on-premises Active Directory. On-premises gekoppelde apparaten hebben alleen een Enterprise PRT.
  • EnterprisePrtUpdateTime: Stel de status in op de tijd, in UTC, toen de Enterprise PRT voor het laatst is bijgewerkt.
  • EnterprisePrtExpiryTime: Stel de status in op de tijd, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
  • EnterprisePrtAuthority: De URL van de AD FS-instantie.

Notitie

De volgende diagnostische PRT-velden zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

  • De diagnostische gegevens die worden weergegeven in het veld AzureAdPrt , zijn bedoeld voor het verkrijgen of vernieuwen van Microsoft Entra PRT en de diagnostische gegevens die worden weergegeven in het veld EnterprisePrt , zijn bedoeld voor het verkrijgen of vernieuwen van enterprise PRT.
  • De diagnostische gegevens worden alleen weergegeven als de overname- of vernieuwingsfout is opgetreden na het tijdstip van de laatst geslaagde PRT-update (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Op een gedeeld apparaat kunnen deze diagnostische gegevens afkomstig zijn van de aanmeldingspoging van een andere gebruiker.
  • AcquirePrtDiagnostics: Stel de status in op PRESENT als de logboeken de verkregen diagnostische gegevens over PRT bevatten.
    • Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
  • Previous Prt Attempt: De lokale tijd, in UTC, waarop de mislukte PRT-poging heeft plaatsgevonden.
  • Attempt Status: De clientfoutcode die wordt geretourneerd (HRESULT).
  • User Identity: De UPN van de gebruiker voor wie de PRT-poging is uitgevoerd.
  • Referentietype: de referentie die wordt gebruikt om de PRT te verkrijgen of te vernieuwen. Veelvoorkomende referentietypen zijn Password en NGC (Next Generation Credential) (voor Windows Hello).
  • Correlatie-id: de correlatie-id die door de server is verzonden voor de mislukte PRT-poging.
  • Endpoint URI: Het laatste eindpunt dat is geopend voordat de fout zich voordeed.
  • HTTP-methode: de HTTP-methode die wordt gebruikt voor toegang tot het eindpunt.
  • HTTP Error: WinHttp-transportfoutcode. Andere netwerkfoutcodes ophalen.
  • HTTP-status: de HTTP-status die wordt geretourneerd door het eindpunt.
  • Server Error Code: de foutcode van de server.
  • Server Error Description: Het foutbericht van de server.
  • RefreshPrtDiagnostics: Stel de status in op PRESENT als de logboeken de verkregen diagnostische gegevens over PRT bevatten.
    • Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
    • De velden met diagnostische gegevens zijn hetzelfde als AcquirePrtDiagnostics.

Notitie

De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de oorspronkelijke versie van Windows 11 (versie 21H2).

  • OnPremTgt: Stel de status in op JA als een Cloud Kerberos-ticket voor toegang tot on-premises resources aanwezig is op het apparaat voor de aangemelde gebruiker.
  • CloudTgt: Stel de status in op JA als een Cloud Kerberos-ticket voor toegang tot cloudresources aanwezig is op het apparaat voor de aangemelde gebruiker.
  • KerbTopLevelNames: Lijst met kerberos-realmnamen op het hoogste niveau voor Cloud Kerberos.

Voorbeelduitvoer SSO-status

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnostische gegevens

Diagnostische gegevens vooraf koppelen

Deze sectie met diagnostische gegevens wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.

In deze sectie worden verschillende tests uitgevoerd om fouten bij het toevoegen vast te stellen. De informatie bevat de volgende foutfase, foutcode, serveraanvraag-id, HTTP-status van serverrespons en foutbericht van de serverreactie.

  • User Context: De context waarin de diagnostische gegevens worden uitgevoerd. Mogelijke waarden: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Notitie

    Omdat de werkelijke join wordt uitgevoerd in de SYSTEM-context, wordt het werkelijke joinscenario het dichtst benaderd wanneer de diagnostische gegevens worden uitgevoerd in de SYSTEM-context. Als u diagnostische gegevens wilt uitvoeren in de SYSTEM-context, moet de opdracht dsregcmd /status worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.

  • Client Time: De systeemtijd, in UTC.

  • AD Connectivity Test: Deze test voert een connectiviteitstest uit naar de domeincontroller. Een fout in deze test resulteert waarschijnlijk in joinfouten in de fase vóór controle.

  • AD-configuratietest: Deze test leest en controleert of het SCP-object (Service Connection Point) correct is geconfigureerd in het on-premises Active Directory-forest. Fouten in deze test leiden waarschijnlijk in de ontdekkingsfase tot joinfouten met de foutcode 0x801c001d.

  • DRS Discovery Test: Met deze test worden de DRS-eindpunten opgehaald uit het eindpunt voor detectiemetagegevens en wordt er een user realm-aanvraag uitgevoerd. Fouten in deze test leiden waarschijnlijk tot joinfouten in de detectiefase.

  • DRS Connectivity Test: Met deze test wordt een eenvoudige connectiviteitstest naar het DRS-eindpunt uitgevoerd.

  • Tokenovernametest: met deze test wordt geprobeerd een Microsoft Entra-verificatietoken op te halen als de gebruikerstenant federatief is. Fouten in deze test leiden waarschijnlijk tot joinfouten in de verificatiefase. Als verificatie mislukt, wordt sync-join uitgevoerd als terugval, tenzij terugval expliciet is uitgeschakeld met de volgende registersleutelinstellingen:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback to Sync-Join: Stel de status in op Enabled als de voorgaande registersleutel om terugval naar sync-join met verificatiefouten te voorkomen, niet aanwezig is. Deze optie is beschikbaar vanaf Windows 10 1803 en hoger.

  • Previous Registration: Het tijdstip waarop de vorige joinpoging heeft plaatsgevonden. Alleen mislukte joinpogingen worden geregistreerd.

  • Error Phase: De fase van de join waarin deze is afgebroken. Mogelijk waarden zijn pre-check, discover, auth en join.

  • ClientFoutcode: de clientfoutcode die wordt geretourneerd (HRESULT).

  • Serverfoutcode: De serverfoutcode wordt weergegeven als een aanvraag naar de server is verzonden en de server heeft gereageerd met een foutcode.

  • Serverbericht: het serverbericht dat samen met de foutcode is geretourneerd.

  • Https-status: de HTTP-status die door de server wordt geretourneerd.

  • Aanvraag-id: de client requestId die naar de server is verzonden. De aanvraag-id is handig om te correleren met logboeken aan de serverzijde.

Voorbeelduitvoer diagnostische gegevens vóór de koppeling

In het volgende voorbeeld ziet u een diagnostische test die mislukt met een detectiefout.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

In het volgende voorbeeld ziet u dat diagnostische tests worden doorgegeven, maar dat de registratiepoging is mislukt met een mapfout, die wordt verwacht voor sync-join. Nadat de Microsoft Entra-Verbinding maken synchronisatietaak is voltooid, kan het apparaat deelnemen.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostische gegevens na de koppeling

In deze sectie diagnostische gegevens wordt de uitvoer weergegeven van sanitycontroles die zijn uitgevoerd op een apparaat dat is gekoppeld aan de cloud.

  • AadRecoveryEnabled: Als de waarde YES is, zijn de sleutels die zijn opgeslagen op het apparaat niet bruikbaar en wordt het apparaat gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw.
  • KeySignTest: Als de waarde PASSED is, hebben de apparaatsleutels een goede status. Als KeySignTest mislukt, wordt het apparaat meestal gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw. Voor hybride apparaten van Microsoft Entra is het herstel stil. Terwijl de apparaten zijn toegevoegd aan Microsoft Entra of Microsoft Entra zijn geregistreerd, vragen ze gebruikersverificatie om het apparaat te herstellen en opnieuw te registreren, indien nodig.

    Notitie

    De KeySignTest vereist verhoogde bevoegdheden.

Voorbeeld van diagnostische uitvoer na join

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Controle van NGC-vereisten

Deze diagnostische sectie controleert de vereisten voor het instellen van Windows Hello voor Bedrijven (WHFB).

Notitie

Mogelijk ziet u geen details voor de controle van NGC-vereisten dsregcmd /status als de gebruiker WHFB al heeft geconfigureerd.

  • IsDeviceJoined: Stel de status in op JA als het apparaat is gekoppeld aan Microsoft Entra-id.
  • IsUserAzureAD: Stel de status in op JA als de aangemelde gebruiker aanwezig is in Microsoft Entra-id.
  • PolicyEnabled: Stel de status in op YES als het WHFB-beleid is ingeschakeld op het apparaat.
  • PostLogonEnabled: Stel de status in op YES als WHFB-inschrijving door het platform zelf wordt geactiveerd. Als de status is ingesteld op NO, geeft dit aan dat de Windows Hello voor Bedrijven-inschrijving wordt geactiveerd door een aangepast mechanisme.
  • DeviceEligible: Stel de status in op YES als het apparaat voldoet aan de hardwarevereiste voor inschrijving met WHFB.
  • SessionIsNotRemote: Stel de status in op YES als de huidige gebruiker rechtstreeks is aangemeld bij het apparaat en niet op afstand.
  • CertEnrollment: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust, waarmee de certificeringsinstantie voor WHFB wordt aangegeven. Stel de status in op enrollment authority als de bron van het WHFB-beleid Group Policy is of stel deze in op Mobile Device Management als de bron MDM is. Als geen van beide bronnen van toepassing is, stelt u de status in op none.
  • AdfsRefreshToken: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen beschikbaar als CertEnrollment de status enrollment authority heeft. De instelling geeft aan of het apparaat een Enterprise PRT voor de gebruiker heeft.
  • AdfsRaIsReady: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen beschikbaar als CertEnrollment de status enrollment authority heeft. Stel de status in op YES als AD FS in de detectiemetagegevens aangeeft dat WHFB wordt ondersteund en de aanmeldingscertificaatsjabloon beschikbaar is.
  • LogonCertTemplateReady: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen beschikbaar als CertEnrollment de status enrollment authority heeft. Stel de status in op YES als de status van de aanmeldingscertificaatsjabloon geldig is en helpt bij het oplossen van problemen met de AD FS-registratie-instantie (RA).
  • PreReqResult: Levert het resultaat van de evaluatie van alle WHFB-vereisten. Stel de status in op Will Provision als WHFB-inschrijving wordt gestart nadat de gebruiker zich de volgende keer heeft aangemeld.

Notitie

De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

Vóór Windows 11 versie 23H2 werd de instelling OnPremTGT CloudTGT genoemd.

  • OnPremTGT: deze instelling is specifiek voor de implementatie van cloud-Kerberos-vertrouwensrelaties en is alleen aanwezig als de status CertEnrollment geen is. Stel de status in op JA als het apparaat een Cloud Kerberos-ticket heeft voor toegang tot on-premises resources. Vóór Windows 11 versie 23H2 werd deze instelling CloudTGT genoemd.

Voorbeelduitvoer controle NGC-vereisten

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Volgende stappen

Ga naar het Hulpprogramma Microsoft Error Lookup.