本文說明如何使用 dsregcmd 命令的輸出,瞭解 Microsoft Entra 識別碼中的裝置狀態。 以網域用戶帳戶身分執行 dsregcmd /status 公用程式。
裝置狀態
本節列出裝置聯結狀態參數。 下表列出裝置處於各種聯結狀態所需的準則:
| AzureAdJoined | 企業已加入 | 域已加入 | 裝置狀態 |
|---|---|---|---|
| 是的 | 不 | 不 | Microsoft Entra 已加入 |
| 不 | 不 | 是的 | 已加入網域 |
| 是的 | 不 | 是的 | Microsoft Entra 混合式加入 |
| 不 | 是的 | 是的 | DRS 已加入內部部署設施 |
注意
[加入工作場所](Microsoft Entra 註冊)狀態會顯示在 [用戶狀態] 區段。
AzureAdJoined:如果裝置已加入 Microsoft Entra ID,請將狀態設定為 「是」。 否則,請將狀態設定為 NO。
EnterpriseJoined:如果裝置已加入內部部署 Active Directory(AD),請將狀態設定為 [是]。 裝置不能同時是 EnterpriseJoined 和 AzureAdJoined。
DomainJoined:如果裝置已加入網域(Active Directory),請將狀態設定為 [是]。
DomainName:若裝置已加入網域,請將狀態設為網域名稱。
範例裝置狀態輸出
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
裝置詳細數據
只有當裝置加入 Microsoft Entra 或 Microsoft Entra 混合加入時,才會顯示狀態,而不是在 Microsoft Entra 註冊時。 本節列出儲存在 Microsoft Entra ID 中的裝置識別詳細數據。
- DeviceId:Microsoft Entra 租戶中裝置的唯一識別碼。
- 指紋:裝置憑證的指紋。
- DeviceCertificateValidity:裝置憑證的有效性狀態。
- KeyContainerId:與裝置憑證相關聯之裝置私鑰的 containerId。
- KeyProvider:用來儲存裝置私鑰的 KeyProvider(硬體/軟體)。
- TpmProtected:如果裝置私鑰儲存在硬體信賴平臺模組中,狀態會設定為 [是]。
-
DeviceAuthStatus:執行檢查,以判斷Microsoft Entra 標識符中的裝置健康情況。 健康狀態為:
- 如果裝置存在且在 Microsoft Entra 識別碼中啟用,SUCCESS。
- 失敗。 裝置已停用或刪除 如果裝置已停用或刪除。 如需此問題的詳細資訊,請參閱 Microsoft Entra 裝置管理常見問題。
- 失敗。 錯誤 如果測試無法執行。 此測試需要在系統環境下連接到 Microsoft Entra ID 的網路連線。
注意
Windows 10 2021 年 5 月更新 (版本 21H1) 中新增了 [DeviceAuthStatus] 字段。
-
虛擬桌面:此行會出現三種情況。
- NOT SET - 裝置上沒有 VDI 裝置元數據。
- 是 - VDI 裝置元數據存在,且 dsregcmd 輸出相關聯的元數據包括:
- 提供者:VDI 廠商的名稱。
- 類型:持續性 VDI 或非持續性 VDI。
- 使用者模式:單一使用者或多使用者。
- 延伸模組:選擇性廠商特定元數據中的密鑰值組數目,後面接著索引鍵值組。
- INVALID - VDI 裝置元數據存在,但未正確設定。 在此情況下,dsregcmd 會輸出不正確的元數據。
範例裝置詳細數據輸出
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
租戶詳細信息
只有當裝置已加入 Microsoft Entra 或 Microsoft Entra 混合式聯結時,才會顯示租戶詳細資訊,而不會顯示在僅 Microsoft Entra 註冊的情況下。 本節列出裝置加入 Microsoft Entra ID 時所顯示的一般租戶詳細資訊。
注意
如果本節中的行動裝置管理 (MDM) URL 欄位是空的,表示 MDM 未設定或目前使用者不在 MDM 註冊範圍內。 檢查 Microsoft Entra ID 中的行動設定,以檢閱您的 MDM 組態。
MDM URL 的存在並不保證裝置是由 MDM 管理。 如果租使用者具有自動註冊的 MDM 設定,即使裝置本身不受管理,也會顯示此資訊。
範例租使用者詳細數據輸出
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
用戶狀態
本節列出目前登入裝置之用戶的各種屬性狀態。
注意
命令必須在用戶內容中執行,才能擷取有效的狀態。
- NgcSet:如果已為目前登入的使用者設定 Windows Hello 金鑰,請將狀態設定為 [是]。
- NgcKeyId:為目前登入使用者設定的 Windows Hello 金鑰 ID(如果有設定)。
- CanReset:表示使用者是否可以重設 Windows Hello 密鑰。
- 可能的值:DestructiveOnly、NonDestructiveOnly、DestructiveAndNonDestructive 或 Unknown(如果錯誤)。
- WorkplaceJoined:如果 Microsoft Entra 註冊帳戶已新增至目前 NTUSER 上下文中的裝置,請將狀態設定為 [是] 。
-
WamDefaultSet:為已登入的使用者建立 Web 帳戶管理員預設的 WebAccount 時,請將狀態設為 是。 如果在以管理員身份執行的命令提示字元中運行
dsregcmd /status,此欄位可能會顯示錯誤。 - WamDefaultAuthority:將 Microsoft Entra ID 的狀態設定為 組織。
- WamDefaultId:請一律針對 Microsoft Entra ID 使用 https://login.microsoft.com。
- WamDefaultGUID:WAM 提供者(Microsoft Entra ID/Microsoft account)預設 WAM WebAccount 的 GUID。
範例用戶狀態輸出
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
SSO 狀態
您可以忽略Microsoft Entra 已註冊裝置的本節。
注意
命令必須在用戶內容中執行,才能擷取該使用者的有效狀態。
- AzureAdPrt:如果已登入使用者的裝置上存在主要重新整理令牌(PRT),請將狀態設定為 [是]。
- AzureAdPrtUpdateTime:將狀態設定為 PRT上次更新時的協調世界時間(UTC)。
- AzureAdPrtExpiryTime:如果 PRT 未更新,請將狀態設定為 PRT 將到期的 UTC 時間。
- AzureAdPrtAuthority:Microsoft Entra 授權機構 URL
- EnterprisePrt:如果裝置具有來自內部部署 Active Directory 同盟服務 (AD FS) 的 PRT,請將狀態設為 YES。 針對 Microsoft Entra 混合式聯結裝置,裝置可以同時擁有來自 Microsoft Entra ID 和內部部署 Active Directory 的 PRT。 已加入內部部署的裝置僅具備企業 PRT。
- EnterprisePrtUpdateTime:將狀態設定為上次更新 Enterprise PRT 的時間。
- EnterprisePrtExpiryTime:如果 PRT 未更新,請將狀態設定為 UTC 的時間。
- EnterprisePrtAuthority:AD FS 授權單位 URL
注意
Windows 10 2021 年 5 月更新中新增下列 PRT 診斷欄位(版本 21H1)。
- AzureAdPrt 欄位中顯示的診斷資訊適用於Microsoft Entra PRT 擷取或重新整理,而 [EnterprisePrt] 欄位中顯示的診斷資訊適用於企業 PRT 擷取或重新整理。
- 只有在上次成功更新 PRT 的時間之後,出現資料擷取或資料刷新失敗時,才會顯示診斷資訊(AzureAdPrtUpdateTime/EnterprisePrtUpdateTime)。
在共用裝置上,此診斷資訊可能來自不同使用者的登入嘗試。
-
AcquirePrtDiagnostics:如果取得的 PRT 診斷資訊存在於記錄中,請將狀態設定為 PRESENT。
- 如果沒有可用的診斷資訊,則會略過此欄位。
- 先前的 PRT 嘗試:失敗的 PRT 嘗試發生時的當地時間,以 UTC 表示。
- 嘗試狀態:傳回的用戶端錯誤碼(HRESULT)。
- 使用者身份識別:進行 PRT 嘗試的使用者的 UPN。
- 認證類型:用來取得或重新整理PRT的認證。 常見的認證類型為密碼和新一代認證 (NGC) (適用於 Windows Hello)。
- 相互關聯標識碼:伺服器針對失敗的PRT嘗試傳送的相互關聯標識碼。
- 端點 URI:失敗前存取的最後一個端點。
- HTTP 方法:用來存取端點的 HTTP 方法。
- HTTP 錯誤:WinHttp 傳輸錯誤碼。 取得其他網路錯誤碼。
- HTTP 狀態:端點傳回的 HTTP 狀態。
- 伺服器錯誤碼:來自伺服器的錯誤碼。
- 伺服器錯誤描述:來自伺服器的錯誤訊息。
-
RefreshPrtDiagnostics:如果取得的 PRT 診斷資訊存在於記錄中,請將狀態設定為 PRESENT。
- 如果沒有可用的診斷資訊,則會略過此欄位。
- 診斷資訊欄位與 AcquirePrtDiagnostics相同。
注意
下列 Cloud Kerberos 診斷欄位已新增至 Windows 11 原始版本(版本 21H2)。
- OnPremTgt:如果已登入使用者的裝置上存在可用於存取內部部署資源的雲端 Kerberos 票證,請將狀態設定為 YES。
- CloudTgt:如果雲端 Kerberos 票證存在於已登入使用者的裝置上,請將狀態設定為 [是]。
- KerbTopLevelNames:Cloud Kerberos 的最上層 Kerberos 領域名稱清單。
範例 SSO 狀態輸出
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
診斷數據
預先聯結診斷
只有在裝置已加入網域但無法執行 Microsoft Entra 混合式聯結時,才會顯示此診斷區段。
本節會執行各種測試,以協助診斷聯結失敗。 此資訊包括:錯誤階段、錯誤碼、伺服器要求標識碼、伺服器回應 HTTP 狀態,以及伺服器回應錯誤訊息。
用戶內容:執行診斷的內容。 可能的值:SYSTEM、UN-ELEVATED User、ELEVATED User。
注意
因為實際聯結是在 SYSTEM 內容中執行,因此在 SYSTEM 內容中執行診斷最接近實際聯結案例。 若要在 SYSTEM 內容中執行診斷,您必須從具有管理員權限的命令提示字元執行
dsregcmd /status命令。客戶端時間:系統時間,以UTC為單位。
AD 連線測試:此測試會對域控制器執行連線測試。 此測試中的錯誤可能會在預先檢查階段導致結合錯誤。
AD 組態測試:此測試會讀取並驗證內部部署 Active Directory 樹系中是否已正確設定服務連接點 (SCP) 物件。 此測試中的錯誤可能會導致在發現階段出現合併錯誤,錯誤碼為0x801c001d。
DRS 探索測試:此測試會從探索元數據端點取得 DRS 端點,並執行用戶領域要求。 此檢測中的錯誤可能會導致探索階段的連接錯誤。
DRS 連線能力測試:此測試會對 DRS 端點執行基本連線測試。
令牌擷取測試:如果使用者的租戶已同盟,此測試會嘗試取得 Microsoft Entra 驗證令牌。 此測試中的錯誤可能會導致驗證階段的連接錯誤。 如果驗證失敗,除非使用下列登錄機碼設定明確停用備援功能,否則將嘗試以同步連線作為備援:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled後援至 Sync-Join:如果防止因驗證失敗而回退到同步聯結的先前登錄機碼不存在,請將狀態設定為 Enabled。 此選項可從 Windows 10 1803 和更新版本取得。
先前的註冊:先前參加嘗試發生的時間。 只會記錄失敗的聯結嘗試。
錯誤階段:中止聯結的階段。 可能的值為 預先檢查、探索、驗證和 聯結。
Client ErrorCode:傳回的用戶端錯誤碼 (HRESULT)。
伺服器錯誤碼:當一個請求被傳送至伺服器而伺服器回應錯誤時,會顯示此伺服器錯誤碼。
伺服器訊息:傳回的伺服器訊息以及錯誤碼。
Https 狀態:伺服器傳回的 HTTP 狀態。
請求 ID:用戶端的 requestId 傳送至伺服器。 請求識別碼有助於與伺服器端日誌聯繫。
預先聯結診斷輸出範例
下列範例顯示由於探索錯誤導致診斷測試失敗。
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
下列範例顯示診斷測試已通過,但註冊嘗試因為一個目錄錯誤而失敗,這在同步加入時是預期的。 Microsoft Entra Connect 同步處理作業完成之後,裝置就能夠加入。
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
結合後診斷
此診斷區段會顯示在已加入雲端之裝置上執行的檢查輸出。
- AadRecoveryEnabled:如果值 YES,則儲存在裝置中的密鑰無法使用,且裝置標示為復原。 下一個登入將會觸發復原流程,並重新註冊裝置。
-
KeySignTest:如果值 PASSED,則裝置密鑰狀況良好。 如果 KeySignTest 失敗,裝置通常會被標記為需要復原。 下一個登入將會觸發復原流程,並重新註冊裝置。 針對 Microsoft Entra 混合式聯結裝置,復原是無聲的。 當裝置已加入Microsoft Entra或註冊至Microsoft Entra時,會視需要提示使用者進行驗證,以復原並重新註冊裝置。
注意
KeySignTest 需要更高的許可權。
聯結後診斷輸出範例
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
NGC 前置條件檢查
此診斷區段會執行設定 Windows Hello 企業版 (WHFB) 的必要條件檢查。
注意
如果使用者已成功設定 WHFB,您可能不會在 dsregcmd /status 中看到 NGC 必要條件檢查詳細數據。
- IsDeviceJoined:如果裝置加入Microsoft Entra ID,請將狀態設定為 [是]。
- IsUserAzureAD:如果登入的使用者存在於 Microsoft Entra ID 中,請將狀態設定為 [是]。
- PolicyEnabled:如果裝置上已啟用 WHFB 原則,請將狀態設定為 [是]。
- PostLogonEnabled:如果平台原生觸發 WHFB 註冊,請將狀態設定為 YES。 如果狀態設定為 NO,表示 Windows Hello 企業版註冊是由自定義機制觸發。
- DeviceEligible:如果裝置符合向 WHFB 註冊的硬體需求,請將狀態設定為 [是]。
- SessionIsNotRemote:將狀態設定為 YES,如果目前的使用者是直接登入裝置而非透過遠端登入。
- CertEnrollment:此設定專屬於 WHFB 憑證信任部署,表示 WHFB 的憑證註冊管理機構。 如果WHFB原則的來源為組策略,請將狀態設定為 註冊授權單位;如果來源為 MDM,請將它設定為 行動裝置管理。 如果兩個來源都未套用,請將狀態設定為 無。
- AdfsRefreshToken:此設定專屬於 WHFB 憑證信任部署,且只有在 CertEnrollment 狀態 註冊授權單位時才存在。 此設定會指出裝置是否有適用於使用者的企業PRT。
- AdfsRaIsReady:此設定專屬於 WHFB 憑證信任部署,且只有在 CertEnrollment 狀態 註冊授權單位時才存在。 如果AD FS 在探索元數據中指出它支援 WHFB ,且 登入證書範本可用,請將狀態設定為 [是]。
- LogonCertTemplateReady:此設定專屬於 WHFB 憑證信任部署,僅當 CertEnrollment 的狀態為 註冊授權單位時才會存在。 如果登入證書範本的狀態有效且有助於診斷 AD FS 註冊授權 (RA) 的問題,請將狀態設定為 YES。
- PreReqResult:提供所有 WHFB 前提條件評估的結果。 將狀態設定為 Will Provision,若在使用者下次登入時,WHFB 註冊將作為登入後的任務啟動。
注意
Windows 10 2021 年 5 月更新中新增下列 Cloud Kerberos 診斷字段(版本 21H1)。
在 Windows 11 版本 23H2 之前,OnPremTGT 設定名為 cloudTGT。
- OnPremTGT:此設定專屬於 Cloud Kerberos 信任部署,且只有在 CertEnrollment 狀態 無時才存在。 如果裝置有 Cloud Kerberos 票證可存取內部部署資源,則將狀態設為 是。 在 Windows 11 版本 23H2 之前,此設定名為 CloudTGT。
範例 NGC 必要條件檢核輸出
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
後續步驟
移至 Microsoft 錯誤查閱工具。