Condividi tramite

Risolvere i problemi dei dispositivi usando il comando dsregcmd

  • Articolo

Questo articolo illustra come usare l'output del comando dsregcmd per comprendere lo stato dei dispositivi in Microsoft Entra ID. Eseguire l'utilità dsregcmd /status come account utente di dominio.

Stato del dispositivo

Questa sezione elenca i parametri dello stato di join del dispositivo. I criteri richiesti per il dispositivo in vari stati di join sono elencati nella tabella seguente:

AzureAdJoined EnterpriseJoined DomainJoined Stato del dispositivo
NO NO Microsoft Entra unito
NO NO Aggiunto a un dominio
NO Microsoft Entra ibrido aggiunto
NO Integrato a DRS locale

Nota

Lo stato "Connesso all'area di lavoro" (Microsoft Entra registrato) viene visualizzato nella sezione "Stato utente" .

  • AzureAdJoined: impostare lo stato su se il dispositivo è unito all'ID Microsoft Entra. In caso contrario, impostare lo stato su NO.
  • EnterpriseJoined: impostare lo stato su se il dispositivo viene aggiunto a un servizio di replica dati locale. Un dispositivo non può essere sia EnterpriseJoined che AzureAdJoined.
  • DomainJoined: impostare lo stato su se il dispositivo è aggiunto a un dominio (Active Directory).
  • DomainName: impostare lo stato sul nome del dominio se il dispositivo viene aggiunto a un dominio.

Output dello stato del dispositivo di esempio

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Dettagli dispositivo

Lo stato viene visualizzato solo quando il dispositivo è aggiunto a Microsoft Entra o aggiunto a Microsoft Entra in modalità ibrida, non quando è registrato in Microsoft Entra. Questa sezione elenca i dettagli di identificazione dei dispositivi archiviati in Microsoft Entra ID.

  • DeviceId: ID univoco del dispositivo nel tenant di Microsoft Entra.
  • Impronta digitale: L'impronta digitale del certificato del dispositivo.
  • DeviceCertificateValidity: stato di validità del certificato del dispositivo.
  • KeyContainerId: Il containerId della chiave privata del dispositivo associata al certificato del dispositivo.
  • KeyProvider: KeyProvider (Hardware/Software) usato per archiviare la chiave privata del dispositivo.
  • TpmProtected: lo stato è impostato su se la chiave privata del dispositivo viene archiviata in un modulo TPM (Trusted Platform Module) hardware.
  • DeviceAuthStatus: esegue un controllo per determinare l'integrità del dispositivo in Microsoft Entra ID. Gli stati di salute sono:
    • SUCCESS se il dispositivo è presente e abilitato in Microsoft Entra ID.
    • FALLITO. Il dispositivo è disabilitato o eliminato se il dispositivo è disabilitato o eliminato. Per altre informazioni su questo problema, vedere Domande frequenti sulla gestione dei dispositivi Microsoft Entra.
    • FALLITO. ERRORE se il test non è stato possibile eseguire. Questo test richiede la connettività di rete all'ID Microsoft Entra nel contesto di sistema.

    Nota

    Il campo DeviceAuthStatus è stato aggiunto nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

  • Desktop virtuale: questa riga viene visualizzata in tre casi.
    • NOT SET: i metadati del dispositivo VDI non sono presenti nel dispositivo.
    • SÌ - I metadati del dispositivo VDI sono presenti e dsregcmd produce gli output associati ai metadati, tra cui:
      • Provider: nome del fornitore VDI.
      • Tipo: VDI persistente o VDI non persistente.
      • Modalità utente: utente singolo o multiutente.
      • Estensioni: il numero di coppie chiave-valore nei metadati specifici facoltativi del fornitore, seguito dalle coppie chiave-valore.
    • INVALID: i metadati del dispositivo VDI sono presenti ma non sono impostati correttamente. In questo caso, dsregcmd restituisce i metadati non corretti.

Dettagli di output del dispositivo di esempio

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Dettagli del tenant

I dettagli del tenant vengono visualizzati solo quando il dispositivo è associato a Microsoft Entra o associato a Microsoft Entra ibrido, non quando è registrato su Microsoft Entra. Questa sezione elenca i dettagli comuni del tenant visualizzati quando un dispositivo viene aggiunto all'ID Microsoft Entra.

Nota

Se i campi URL di gestione dei dispositivi mobili (MDM) in questa sezione sono vuoti, indica che la soluzione MDM non è stata configurata o che l'utente corrente non è nell'ambito della registrazione MDM. Controllare le impostazioni di mobilità in Microsoft Entra ID per esaminare la configurazione MDM.

La presenza di URL MDM non garantisce che il dispositivo sia gestito da un MDM. Le informazioni vengono visualizzate se il tenant ha una configurazione MDM per la registrazione automatica anche se il dispositivo stesso non è gestito.

Output dei dettagli del tenant di esempio

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stato utente

In questa sezione vengono elencati gli stati dei vari attributi per gli utenti attualmente connessi al dispositivo.

Nota

Il comando deve essere eseguito in un contesto utente per recuperare uno stato valido.

  • NgcSet: impostare lo stato su se è impostata una chiave di Windows Hello per l'utente connesso corrente.
  • NgcKeyId: L'ID della chiave Windows Hello se impostata per l'utente connesso corrente.
  • CanReset: indica se la chiave di Windows Hello può essere reimpostata dall'utente.
  • Valori possibili: SoloDistruttivo, SoloNonDistruttivo, DistruttivoENonDistruttivo o Sconosciuto in caso di errore.
  • WorkplaceJoined: impostare lo stato su se al dispositivo sono stati aggiunti account registrati di Microsoft Entra nel contesto NTUSER corrente.
  • WamDefaultSet: impostare lo stato su se viene creato un account Web predefinito del Web Account Manager (WAM) per l'utente connesso. Questo campo potrebbe visualizzare un errore se dsregcmd /status viene eseguito da un prompt dei comandi con privilegi elevati.
  • WamDefaultAuthority: imposta lo stato su organizzazioni per Microsoft Entra ID.
  • WamDefaultId: usare sempre https://login.microsoft.com per Microsoft Entra ID.
  • GUID wamDefaultGUID: GUID del provider WAM (Microsoft Entra ID/account Microsoft) per l'account Web WAM predefinito.

Output dello stato utente di esempio

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stato SSO

È possibile ignorare questa sezione per i dispositivi registrati da Microsoft Entra.

Nota

Il comando deve essere eseguito in un contesto utente per recuperare lo stato valido dell'utente.

  • azureAdPrt: impostare lo stato su se nel dispositivo è presente un token di aggiornamento primario (PRT) per l'utente connesso.
  • AzureAdPrtUpdateTime: Imposta lo stato all'ora, in Coordinated Universal Time (UTC), in cui il PRT è stato aggiornato l'ultima volta.
  • AzureAdPrtExpiryTime: Imposta lo stato all'orario UTC in cui il PRT scadrà se non viene rinnovato.
  • AzureAdPrtAuthority: URL dell'autorità di Microsoft Entra
  • EnterprisePrt: impostare lo stato su se il dispositivo dispone di un Primary Refresh Token (PRT) da Active Directory Federation Services (AD FS). Per i dispositivi con registrazione ibrida a Microsoft Entra, il dispositivo potrebbe avere un token di aggiornamento primario sia da Microsoft Entra ID che da Active Directory locale contemporaneamente. I dispositivi uniti localmente hanno solo un PRT aziendale.
  • EnterprisePrtUpdateTime: impostare lo stato sull'ora, in formato UTC, dell'ultimo aggiornamento di Enterprise PRT.
  • EnterprisePrtExpiryTime: Imposta lo stato all'ora, in formato UTC, in cui il token di aggiornamento primario scadrà se non verrà rinnovato.
  • EnterprisePrtAuthority: URL dell'autorità AD FS

Nota

I campi di diagnostica PRT seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

  • Le informazioni di diagnostica visualizzate nel campo AzureAdPrt sono relative all'acquisizione o all'aggiornamento di Microsoft Entra PRT e le informazioni di diagnostica visualizzate nel campo EnterprisePrt sono relative all'acquisizione o all'aggiornamento di Enterprise PRT.
  • Le informazioni di diagnostica vengono visualizzate solo se l'errore di aggiornamento o acquisizione si è verificato dopo l'ora dell'ultimo aggiornamento PRT riuscito (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    In un dispositivo condiviso queste informazioni di diagnostica potrebbero derivare da un tentativo di accesso di un utente diverso.
  • AcquirePrtDiagnostics: impostare lo stato su PRESENT se le informazioni di diagnostica PRT acquisite sono presenti nei registri.
    • Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
  • Tentativo precedente di PRT: l'ora locale, in formato UTC, in cui si è verificato il tentativo non riuscito di PRT.
  • Stato tentativo: codice di errore client restituito (HRESULT).
  • Identità utente: L'UPN dell'utente per il quale si è verificato il tentativo di PRT.
  • Tipo di Credenziali: le credenziali usate per acquisire o aggiornare il token di aggiornamento primario. I tipi di credenziali comuni sono Password e NGC (Next Generation Credential) (per Windows Hello).
  • ID di correlazione: L'ID di correlazione inviato dal server per il tentativo di PRT non riuscito.
  • URI dell'endpoint: ultimo endpoint a cui si accede prima dell'errore.
  • metodo HTTP: metodo HTTP usato per accedere all'endpoint.
  • errore HTTP: codice di errore del trasporto WinHttp. Ottieni altri codici di errore di rete .
  • stato HTTP: stato HTTP restituito dall'endpoint.
  • Codice di errore del server: Il codice di errore del server.
  • Descrizione dell'errore del server: messaggio di errore del server.
  • RefreshPrtDiagnostics: impostare lo stato su PRESENT se le informazioni diagnostiche PRT acquisite sono presenti nei log.
    • Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
    • I campi di informazioni di diagnostica sono uguali a AcquirePrtDiagnostics.

Nota

I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nella versione originale di Windows 11 (versione 21H2).

  • OnPremTgt: impostare lo stato su se nel dispositivo è presente un ticket Kerberos cloud per accedere alle risorse locali per l'utente connesso.
  • CloudTgt: impostare lo stato su se nel dispositivo è presente un ticket Kerberos cloud per accedere alle risorse cloud per l'utente connesso.
  • KerbTopLevelNames: L'elenco dei nomi di realm Kerberos di primo livello per Cloud Kerberos.

Output dello stato SSO di esempio

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dati di diagnostica

Diagnostica preparatoria

La sezione di diagnostica viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è in grado di eseguire l'aggiunta ibrida a Microsoft Entra.

In questa sezione vengono eseguiti vari test per diagnosticare i problemi di connessione. Le informazioni includono la fase di errore, il codice di errore, l'ID richiesta del server, lo stato HTTP della risposta del server e il messaggio di errore di risposta del server.

  • contesto utente: contesto in cui viene eseguita la diagnostica. Valori possibili: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Nota

    Poiché il join effettivo viene eseguito nel contesto SYSTEM, l'esecuzione della diagnostica nel contesto SYSTEM è più vicina allo scenario di join effettivo. Per eseguire la diagnostica nel contesto SYSTEM, è necessario eseguire il comando dsregcmd /status da un prompt dei comandi con privilegi elevati.

  • Ora client: L'ora di sistema, in formato UTC.

  • Test di connettività di Active Directory: questo test verifica la connettività al controller di dominio. Un errore in questo test genera probabilmente errori di join nella fase di pre-controllo.

  • test di configurazione di Active Directory: questo test legge e verifica se l'oggetto punto di connessione del servizio (SCP) è configurato correttamente nella foresta di Active Directory locale. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione con il codice di errore 0x801c001d.

  • DRS Discovery Test: questo test ottiene gli endpoint DRS dall'endpoint dei metadati di scoperta ed esegue una richiesta del dominio utente. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione.

  • Test di Connettività DRS: questo esegue una verifica di base della connettività all'endpoint DRS.

  • test di acquisizione token: questo test tenta di ottenere un token di autenticazione di Microsoft Entra se il tenant dell'utente è federato. Gli errori in questo test potrebbero causare errori di join nella fase di autenticazione. Se l'autenticazione non riesce, si tenta l'unione di sincronizzazione come fallback, a meno che il fallback non venga disabilitato in modo esplicito con le impostazioni della chiave di registro seguenti:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback alsync-join: impostare lo stato su Abilitato se la chiave del Registro di sistema precedente per impedire il fallback al sync-join in caso di errori di autenticazione non è presente. Questa opzione è disponibile in Windows 10 1803 e versioni successive.

  • Registrazione precedente: ora in cui si è verificato il tentativo di join precedente. Vengono registrati solo i tentativi di join non riusciti.

  • Fase di errore: La fase del join in cui è stata interrotta. I valori possibili sono controllo preliminare, scoprire, autorizzazionee unione.

  • Client ErrorCode: codice di errore client restituito (HRESULT).

  • Server ErrorCode: codice di errore del server visualizzato se una richiesta è stata inviata al server e il server ha risposto con un codice di errore.

  • Server Message: il messaggio del server restituito insieme al codice di errore.

  • stato HTTPS: stato HTTP restituito dal server.

  • ID richiesta: id richiesta client inviato al server. L'ID richiesta è utile per la correlazione con i log lato server.

Output di esempio della diagnostica di pre-adesione

L'esempio seguente mostra un test di diagnostica che ha esito negativo con un errore di individuazione.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

L'esempio seguente mostra che i test diagnostici sono superati ma il tentativo di registrazione non è riuscito a causa di un errore di directory, che è aspettato per il join di sincronizzazione. Al termine del processo di sincronizzazione di Microsoft Entra Connect, il dispositivo è in grado di partecipare.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostica post-fusione

Questa sezione diagnostica visualizza l'output dei controlli eseguiti in un dispositivo aggiunto al cloud.

  • AadRecoveryEnabled: se il valore è , le chiavi archiviate nel dispositivo non sono utilizzabili e il dispositivo è contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e rieregistrerà il dispositivo.
  • KeySignTest: se il valore è PASS, le chiavi del dispositivo sono integre. Se KeySignTest ha esito negativo, il dispositivo viene in genere contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e rieregistrerà il dispositivo. Per i dispositivi Microsoft Entra ibrido aggiunti, il ripristino è silenzioso. Mentre i dispositivi sono aggiunti a Microsoft Entra o Microsoft Entra registrati, richiedono l'autenticazione dell'utente per ripristinare e registrare nuovamente il dispositivo, se necessario.

    Nota

    KeySignTest richiede privilegi elevati.

Output di esempio della diagnostica post-join

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Controllo dei prerequisiti NGC

Questa sezione di diagnostica esegue il controllo dei prerequisiti per la configurazione di Windows Hello for Business (WHFB).

Nota

È possibile che non vengano visualizzati i dettagli dei prerequisiti NGC in dsregcmd /status se l'utente ha configurato correttamente WHFB.

  • IsDeviceJoined: impostare lo stato su se il dispositivo viene aggiunto a Microsoft Entra ID.
  • IsUserAzureAD: impostare lo stato su se l'utente connesso è presente in Microsoft Entra ID.
  • PolicyEnabled: impostare lo stato su se la policy WHFB è abilitata sul dispositivo.
  • PostLogonEnabled: impostare lo stato su se la registrazione WHFB viene attivata in modo nativo dalla piattaforma. Se lo stato è impostato su NO, indica che la registrazione di Windows Hello for Business viene attivata da un meccanismo personalizzato.
  • DeviceEligible: impostare lo stato su se il dispositivo soddisfa i requisiti hardware per la registrazione con WHFB.
  • SessionIsNotRemote: impostare lo stato su se l'utente corrente è connesso direttamente al dispositivo e non in remoto.
  • CertEnrollment: questa impostazione è specifica per la distribuzione dell'attendibilità dei certificati di WHFB, che indica l'autorità di registrazione dei certificati per WHFB. Impostare lo stato su 'autorità di registrazione se l'origine dei criteri WHFB è Criteri di gruppo o impostarla su gestione dei dispositivi mobili se l'origine è MDM. Se nessuna delle fonti si applica, imposta lo stato su nessuna.
  • AdfsRefreshToken: questa impostazione è specifica per la distribuzione degli attestati di fiducia WHFB ed è presente solo se lo stato CertEnrollment è autorità di registrazione. L'impostazione indica se il dispositivo ha un Primary Refresh Token (PRT) aziendale per l'utente.
  • AdfsRaIsReady: questa impostazione è specifica per la distribuzione del certificato di fiducia WHFB ed è presente solo se lo stato di CertEnrollment è autorità di registrazione. Impostare lo stato su se AD FS indica nei metadati di individuazione che supporta WHFB e il modello di certificato di accesso è disponibile.
  • LogonCertTemplateReady: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB ed è presente solo se lo stato CertEnrollment è authority di registrazione. Impostare lo stato su se lo stato del modello di certificato di accesso è valido e consente di risolvere i problemi dell'autorità di registrazione di AD FS.
  • PreReqResult: fornisce il risultato della valutazione di tutti i prerequisiti WHFB. Impostare lo stato su Provisioning se la registrazione WHFB verrà avviata come attività di post-accesso quando l'utente esegue l'accesso successivo.

Nota

I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

Prima di Windows 11 versione 23H2, l'impostazione OnPremTGT è stata denominata CloudTGT.

  • OnPremTGT: Questa impostazione è specifica per l'attestazione Kerberos nel cloud ed è presente solo se lo stato di CertEnrollment è nessuno. Impostare lo stato su se il dispositivo dispone di un ticket Kerberos cloud per accedere alle risorse locali. Prima di Windows 11 versione 23H2, questa impostazione è stata denominata CloudTGT.

Esempio di output del controllo dei prerequisiti NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Passaggi successivi

Vai allo strumento di ricerca degli errori Microsoft .