Felsöka enheter med hjälp av kommandot dsregcmd

  • Artikel

Den här artikeln beskriver hur du använder utdata från dsregcmd kommandot för att förstå tillståndet för enheter i Microsoft Entra-ID. Verktyget dsregcmd /status måste köras som ett domänanvändarkonto.

Enhetstillstånd

I det här avsnittet visas parametrarna för enhetsanslutningstillstånd. De kriterier som krävs för att enheten ska vara i olika kopplingstillstånd visas i följande tabell:

AzureAdJoined EnterpriseJoined DomainJoined Enhetstillstånd
JA NEJ NEJ Microsoft Entra-anslutning
NEJ NEJ JA Domänansluten
JA NEJ JA Hybrid Microsoft Entra-anslutning
NEJ JA JA Lokal DRS-ansluten

Kommentar

Tillståndet Arbetsplatsansluten (Microsoft Entra-registrerad) visas i avsnittet "Användartillstånd" .

  • AzureAdJoined: Ställ in tillståndet på JA om enheten är ansluten till Microsoft Entra-ID. Annars anger du tillståndet till NEJ.
  • EnterpriseJoined: Ange tillståndet till JA om enheten är ansluten till en lokal datareplikeringstjänst (DRS). En enhet kan inte vara både EnterpriseJoined och AzureAdJoined.
  • DomainJoined: Ange tillståndet till JA om enheten är ansluten till en domän (Active Directory).
  • DomainName: Ange tillståndet till namnet på domänen om enheten är ansluten till en domän.

Exempel på utdata för enhetstillstånd

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Enhetsinformation

Tillståndet visas endast när enheten är Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning (inte Microsoft Entra-registrerad). I det här avsnittet visas enhetsinformation som lagras i Microsoft Entra-ID.

  • DeviceId: Enhetens unika ID i Microsoft Entra-klientorganisationen.
  • Tumavtryck: Tumavtrycket för enhetscertifikatet.
  • DeviceCertificateValidity: Enhetscertifikatets giltighetsstatus.
  • KeyContainerId: ContainerId för enhetens privata nyckel som är associerad med enhetscertifikatet.
  • KeyProvider: KeyProvider (maskinvara/programvara) som används för att lagra enhetens privata nyckel.
  • TpmProtected: Tillståndet är inställt på JA om enhetens privata nyckel lagras i en TPM (Trusted Platform Module) för maskinvara.
  • DeviceAuthStatus: Utför en kontroll för att fastställa enhetens hälsa i Microsoft Entra-ID. Hälsostatusen är:
    • LYCKADES om enheten finns och är aktiverad i Microsoft Entra-ID.
    • MISSLYCKADES. Enheten är antingen inaktiverad eller borttagen om enheten antingen är inaktiverad eller borttagen. Mer information om det här problemet finns i Vanliga frågor och svar om Enhetshantering i Microsoft Entra.
    • MISSLYCKADES. ERROR om testet inte kunde köras. Det här testet kräver nätverksanslutning till Microsoft Entra-ID i systemkontexten.

    Kommentar

    Fältet DeviceAuthStatus lades till i Windows 10 Maj 2021-uppdateringen (version 21H1).

  • Virtual Desktop: Det finns tre fall där detta visas.
    • INTE INSTÄLLT – VDI-enhetsmetadata finns inte på enheten.
    • JA – VDI-enhetsmetadata finns och dsregcmd-utdata associerade metadata, inklusive:
      • Provider: VdI-leverantörens namn.
      • Typ: Beständig VDI eller icke-beständig VDI.
      • Användarläge: Enskild användare eller flera användare.
      • Tillägg: Antal nyckel/värde-par i valfria leverantörsspecifika metadata följt av nyckel/värde-par.
    • OGILTIG – VDI-enhetsmetadata finns men är inte korrekt inställda. I det här fallet matar dsregcmd ut felaktiga metadata.

Exempel på utdata för enhetsinformation

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Klientinformation

Klientinformationen visas endast när enheten är Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning, inte Microsoft Entra-registrerad. I det här avsnittet visas den vanliga klientinformation som visas när en enhet är ansluten till Microsoft Entra-ID.

Kommentar

Om MDM-URL-fälten i det här avsnittet är tomma anger det antingen att MDM inte har konfigurerats eller att den aktuella användaren inte omfattas av MDM-registreringen. Kontrollera mobilitetsinställningarna i Microsoft Entra-ID:t för att granska MDM-konfigurationen.

Även om du ser MDM-URL:er betyder det inte att enheten hanteras av en MDM. Informationen visas om klientorganisationen har MDM-konfiguration för automatisk registrering även om själva enheten inte hanteras.

Exempel på klientinformationsutdata

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Användarens tillstånd

I det här avsnittet visas status för olika attribut för användare som för närvarande är inloggade på enheten.

Kommentar

Kommandot måste köras i en användarkontext för att hämta en giltig status.

  • NgcSet: Ställ in tillståndet på JA om en Windows Hello-nyckel har angetts för den aktuella inloggade användaren.
  • NgcKeyId: ID:t för Windows Hello-nyckeln om en har angetts för den aktuella inloggade användaren.
  • CanReset: Anger om Windows Hello-nyckeln kan återställas av användaren.
  • Möjliga värden: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive eller Unknown if error.
  • WorkplaceJoined: Ange tillståndet till JA om Microsoft Entra-registrerade konton har lagts till på enheten i den aktuella NTUSER-kontexten.
  • WamDefaultSet: Ställ in tillståndet på JA om webkontohanterarens (WAM) standardwebbkonto har skapats för den inloggade användaren. Det här fältet kan visa ett fel om dsregcmd /status det körs från en upphöjd kommandotolk.
  • WamDefaultAuthority: Ange tillståndet till organisationer för Microsoft Entra-ID.
  • WamDefaultId: Använd https://login.microsoft.com alltid för Microsoft Entra-ID.
  • WamDefaultGUID: WAM-providerns (Microsoft Entra ID/Microsoft-konto) GUID för standard-WAM WebAccount.

Exempel på utdata för användartillstånd

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Tillstånd för enkel inloggning

Du kan ignorera det här avsnittet för Microsoft Entra-registrerade enheter.

Kommentar

Kommandot måste köras i en användarkontext för att hämta användarens giltiga status.

  • AzureAdPrt: Ställ in tillståndet på JA om en primär uppdateringstoken (PRT) finns på enheten för den inloggade användaren.
  • AzureAdPrtUpdateTime: Ställ in tillståndet på tiden, i Coordinated Universal Time (UTC), när PRT senast uppdaterades.
  • AzureAdPrtExpiryTime: Ange tillståndet till den tid i UTC när PRT upphör att gälla om det inte förnyas.
  • AzureAdPrtAuthority: Url för Microsoft Entra-utfärdare
  • EnterprisePrt: Ställ in tillståndet på JA om enheten har en PRT från lokal Active Directory Federation Services (AD FS). För Hybrid-anslutna Microsoft Entra-enheter kan enheten ha en PRT från både Microsoft Entra-ID och lokal Active Directory samtidigt. Lokala anslutna enheter har endast en Enterprise PRT.
  • EnterprisePrtUpdateTime: Ange tillståndet till den tid i UTC när enterprise PRT senast uppdaterades.
  • EnterprisePrtExpiryTime: Ange tillståndet till den tid i UTC när PRT upphör att gälla om det inte förnyas.
  • EnterprisePrtAuthority: URL för AD FS-utfärdare

Kommentar

Följande PRT-diagnostikfält lades till i Windows 10 maj 2021-uppdateringen (version 21H1).

  • Diagnostikinformationen som visas i fältet AzureAdPrt är avsedd för Microsoft Entra PRT-förvärv eller uppdatering, och diagnostikinformationen som visas i fältet EnterprisePrt är för förvärv eller uppdatering av Enterprise PRT.
  • Diagnostikinformationen visas endast om anskaffnings- eller uppdateringsfelet inträffade efter den senaste lyckade PRT-uppdateringstiden (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    På en delad enhet kan den här diagnostikinformationen komma från en annan användares inloggningsförsök.
  • AcquirePrtDiagnostics: Ange tillståndet till PRESENT om den hämtade PRT-diagnostikinformationen finns i loggarna.
    • Det här fältet hoppas över om ingen diagnostikinformation är tillgänglig.
  • Föregående prt-försök: Den lokala tiden, i UTC, där det misslyckade PRT-försöket inträffade.
  • Försöksstatus: Klientfelkoden som returneras (HRESULT).
  • Användaridentitet: UPN för den användare som PRT-försöket gjordes för.
  • Typ av autentiseringsuppgifter: Autentiseringsuppgifterna som används för att hämta eller uppdatera PRT. Vanliga typer av autentiseringsuppgifter är Lösenord och Nästa generations autentiseringsuppgifter (NGC) (för Windows Hello).
  • Korrelations-ID: Korrelations-ID som skickas av servern för det misslyckade PRT-försöket.
  • Slutpunkts-URI: Den sista slutpunkten som nås före felet.
  • HTTP-metod: HTTP-metoden som används för att komma åt slutpunkten.
  • HTTP-fel: WinHttp-transportfelkod. Hämta andra nätverksfelkoder.
  • HTTP-status: HTTP-statusen som returneras av slutpunkten.
  • Felkod för server: Felkoden från servern.
  • Beskrivning av serverfel: Felmeddelandet från servern.
  • RefreshPrtDiagnostics: Ange tillståndet till PRESENT om den hämtade PRT-diagnostikinformationen finns i loggarna.
    • Det här fältet hoppas över om ingen diagnostikinformation är tillgänglig.
    • Fälten för diagnostikinformation är samma som AcquirePrtDiagnostics.

Kommentar

Följande Cloud Kerberos-diagnostikfält lades till i den ursprungliga versionen av Windows 11 (version 21H2).

  • OnPremTgt: Ställ in tillståndet på JA om en Cloud Kerberos-biljett för åtkomst till lokala resurser finns på enheten för den inloggade användaren.
  • CloudTgt: Ställ in tillståndet på JA om en Cloud Kerberos-biljett för åtkomst till molnresurser finns på enheten för den inloggade användaren.
  • KerbTopLevelNames: Lista över Kerberos-sfärnamn på toppnivå för Cloud Kerberos.

Exempel på utdata för SSO-tillstånd

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnostikdata

Diagnostik före anslutning

Det här diagnostikavsnittet visas endast om enheten är domänansluten och inte kan ansluta till Microsoft Entra-hybridanslutningen.

Det här avsnittet utför olika tester för att diagnostisera anslutningsfel. Informationen innehåller: felfas, felkod, serverbegärans-ID, HTTP-status för serversvar och felmeddelande om serversvar.

  • Användarkontext: Kontexten där diagnostiken körs. Möjliga värden: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Kommentar

    Eftersom den faktiska kopplingen utförs i SYSTEM-kontext är det närmast det faktiska kopplingsscenariot att köra diagnostiken i SYSTEM-kontexten. Om du vill köra diagnostik i SYSTEM-kontext måste dsregcmd /status kommandot köras från en upphöjd kommandotolk.

  • Klienttid: Systemtiden i UTC.

  • AD Anslut ivity Test: Det här testet utför ett anslutningstest till domänkontrollanten. Ett fel i det här testet resulterar sannolikt i kopplingsfel i förkontrollfasen.

  • AD-konfigurationstest: Det här testet läser och verifierar om SCP-objektet (Service Anslut ion Point) är korrekt konfigurerat i den lokal Active Directory skogen. Fel i det här testet skulle sannolikt resultera i kopplingsfel i identifieringsfasen med felkoden 0x801c001d.

  • DRS-identifieringstest: Det här testet hämtar DRS-slutpunkterna från slutpunkten för identifieringsmetadata och utför en begäran om användarsfär. Fel i det här testet skulle sannolikt resultera i kopplingsfel i identifieringsfasen.

  • DRS Anslut ivity Test: Det här testet utför ett grundläggande anslutningstest till DRS-slutpunkten.

  • Test av tokenförvärv: Det här testet försöker hämta en Microsoft Entra-autentiseringstoken om användarklientorganisationen är federerad. Fel i det här testet skulle sannolikt resultera i kopplingsfel i autentiseringsfasen. Om autentiseringen misslyckas görs synkroniseringskoppling som reserv, såvida inte återställning uttryckligen har inaktiverats med följande registernyckelinställningar:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Återställning till Sync-Join: Ange tillståndet till Aktiverad om den föregående registernyckeln för att förhindra återställning till synkroniseringskoppling med autentiseringsfel inte finns. Det här alternativet är tillgängligt från Windows 10 1803 och senare.

  • Föregående registrering: Den tid då det föregående anslutningsförsöket inträffade. Endast misslyckade anslutningsförsök loggas.

  • Felfas: Fasen för kopplingen där den avbröts. Möjliga värden är förkontroll, identifiering, autentisering och koppling.

  • Klientfelkod: Klientfelkoden som returneras (HRESULT).

  • Serverfelkod: Serverfelkoden som visas om en begäran skickades till servern och servern svarade med en felkod.

  • Servermeddelande: Servermeddelandet returnerades tillsammans med felkoden.

  • Https-status: HTTP-statusen som returneras av servern.

  • Begärande-ID: Klienten requestId som skickas till servern. Begärande-ID:t är användbart för att korrelera med loggar på serversidan.

Exempel på föranslutningsdiagnostikutdata

I följande exempel visas ett diagnostiktest som misslyckas med ett identifieringsfel.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

I följande exempel visas att diagnostiktesterna skickas men att registreringsförsöket misslyckades med ett katalogfel, vilket förväntas för synkroniseringskoppling. När Synkroniseringsjobbet för Microsoft Entra Anslut har slutförts kan enheten ansluta.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostik efter anslutning

Det här diagnostikavsnittet visar utdata från sanitetskontroller som utförs på en enhet som är ansluten till molnet.

  • AadRecoveryEnabled: Om värdet är JA kan nycklarna som lagras på enheten inte användas och enheten har markerats för återställning. Nästa inloggning utlöser återställningsflödet och registrerar enheten igen.
  • KeySignTest: Om värdet skickas är enhetsnycklarna i god hälsa. Om KeySignTest misslyckas markeras enheten vanligtvis för återställning. Nästa inloggning utlöser återställningsflödet och registrerar enheten igen. För Hybrid-anslutna Microsoft Entra-enheter är återställningen tyst. Enheterna är Microsoft Entra-anslutna eller Microsoft Entra-registrerade, men de uppmanar användaren att återställa och registrera enheten igen om det behövs.

    Kommentar

    KeySignTest kräver utökade privilegier.

Exempel på diagnostik efter koppling

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Kontroll av NGC-krav

Det här diagnostikavsnittet utför kravkontrollen för att konfigurera Windows Hello för företag (WHFB).

Kommentar

Du kanske inte ser NGC-krav för att kontrollera information i dsregcmd /status om användaren redan har konfigurerat WHFB.

  • IsDeviceJoined: Ange tillståndet till JA om enheten är ansluten till Microsoft Entra-ID.
  • IsUserAzureAD: Ange tillståndet till JA om den inloggade användaren finns i Microsoft Entra-ID.
  • PolicyEnabled: Ställ in tillståndet på JA om WHFB-principen är aktiverad på enheten.
  • PostLogonEnabled: Ange tillståndet till JA om WHFB-registrering utlöses internt av plattformen. Om tillståndet är inställt på NEJ anger det att Windows Hello för företag registrering utlöses av en anpassad mekanism.
  • DeviceEligible: Ställ in tillståndet på JA om enheten uppfyller maskinvarukraven för registrering med WHFB.
  • SessionIsNotRemote: Ställ in tillståndet på JA om den aktuella användaren är inloggad direkt på enheten och inte via fjärranslutning.
  • CertEnrollment: Den här inställningen är specifik för distribution av WHFB Certificate Trust, som anger certifikatregistreringsutfärdare för WHFB. Ange tillståndet till registreringsutfärdande om källan för WHFB-principen är grupprincip eller ange den till hantering av mobila enheter om källan är MDM. Om ingen av källorna gäller anger du tillståndet till ingen.
  • AdfsRefreshToken: Den här inställningen är specifik för distribution av WHFB Certificate Trust och visas endast om CertEnrollment-tillståndet är registreringsutfärdare. Inställningen anger om enheten har en företags-PRT för användaren.
  • AdfsRaIsReady: Den här inställningen är specifik för distributionen av WHFB Certificate Trust och visas endast om CertEnrollment-tillståndet är registreringsutfärdare. Ange tillståndet till JA om AD FS anger i identifieringsmetadata att det stöder WHFB och inloggningscertifikatmallen är tillgänglig.
  • LogonCertTemplateReady: Den här inställningen är specifik för distributionen av WHFB Certificate Trust och visas endast om CertEnrollment-tillståndet är registreringsutfärdare. Ställ in tillståndet på JA om tillståndet för inloggningscertifikatmallen är giltigt och hjälper till att felsöka AD FS-registreringsutfärdaren (RA).
  • PreReqResult: Ger resultatet av alla WHFB-förhandskravsutvärdering. Ange tillståndet till Will Provision om WHFB-registrering skulle startas som en uppgift efter inloggningen när användaren loggar in nästa gång.

Kommentar

Följande Cloud Kerberos-diagnostikfält lades till i Windows 10 maj 2021-uppdateringen (version 21H1).

Före Windows 11 version 23H2 hette inställningen OnPremTGT CloudTGT.

  • OnPremTGT: Den här inställningen är specifik för Cloud Kerberos-förtroendedistribution och finns endast om CertEnrollment-tillståndet inte är något. Ställ in tillståndet på JA om enheten har en Cloud Kerberos-biljett för att få åtkomst till lokala resurser. Före Windows 11 version 23H2 hette den här inställningen CloudTGT.

Exempel på NGC-krav kontrollerar utdata

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Nästa steg

Gå till Microsoft Error Lookup Tool.