Delen via

Problemen met apparaten oplossen met behulp van de opdracht dsregcmd

  • Artikel

In dit artikel wordt uitgelegd hoe u de uitvoer van de opdracht dsregcmd gebruikt om inzicht te verkrijgen in de status van apparaten in Microsoft Entra ID. Voer het hulpprogramma dsregcmd /status uit als een domeingebruikersaccount.

Apparaatstatus

In deze sectie vindt u de parameters voor de joinstatus van het apparaat. De criteria die vereist zijn voor het apparaat om in verschillende verbindingsstatussen te zijn, worden vermeld in de volgende tabel.

AzureAdJoined EnterpriseJoined DomainJoined Apparaatstatus
JA NEE NEE Microsoft Entra toegevoegd
NEE NEE JA Verbonden met domein
JA NEE JA Microsoft Entra hybrid verbonden
NEE JA JA On-premises DRS toegevoegd

Notitie

De status Workplace Joined (Microsoft Entra registered) wordt weergegeven in de sectie 'Gebruikersstatus'.

  • AzureAdJoined-: stel de status in op JA als het apparaat is gekoppeld aan Microsoft Entra-id. Anders stelt u de status in op GEEN.
  • EnterpriseJoined-: stel de status in op JA- als het apparaat is gekoppeld aan een on-premises gegevensreplicatieservice (DRS). Een apparaat kan niet zowel EnterpriseJoined als AzureAdJoined zijn.
  • DomainJoined-: stel de status in op JA- als het apparaat lid is van een domein (Active Directory).
  • DomainName: stel de status in op de naam van het domein als het apparaat lid is van een domein.

Voorbeeld van uitvoer van apparaatstatus

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Apparaatdetails

De status wordt alleen weergegeven wanneer het apparaat is toegevoegd aan Microsoft Entra of als microsoft Entra hybrid lid is, niet als Microsoft Entra geregistreerd. In deze sectie vindt u informatie over het identificeren van apparaten die zijn opgeslagen in Microsoft Entra-id.

  • DeviceId: de unieke id van het apparaat in de Microsoft Entra-tenant.
  • Vingerafdrukis de vingerafdruk van het apparaatcertificaat.
  • DeviceCertificateValidity: de geldigheidsstatus van het apparaatcertificaat.
  • KeyContainerId: de containerId van de persoonlijke sleutel van het apparaat die is gekoppeld aan het apparaatcertificaat.
  • KeyProvider: De KeyProvider (Hardware/Software) die wordt gebruikt om de persoonlijke sleutel van het apparaat op te slaan.
  • TpmProtected-: de status is ingesteld op JA als de persoonlijke sleutel van het apparaat is opgeslagen in een TPM (Trusted Platform Module).
  • DeviceAuthStatus: voert een controle uit om de status van het apparaat in Microsoft Entra-id te bepalen. De gezondheidsstatussen zijn:
    • SUCCESS als het apparaat aanwezig is en is ingeschakeld in Microsoft Entra ID.
    • MISLUKT. Apparaat is uitgeschakeld of verwijderd als het apparaat is uitgeschakeld of verwijderd. Zie Veelgestelde vragen over Microsoft Entra-apparaatbeheervoor meer informatie over dit probleem.
    • MISLUKT. FOUT als de test niet kan worden uitgevoerd. Voor deze test is netwerkconnectiviteit met Microsoft Entra-id vereist in de systeemcontext.

    Notitie

    Het veld DeviceAuthStatus is toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

  • Virtual Desktop: Er zijn drie gevallen waarin deze regel wordt weergegeven.
    • NOT SET : metagegevens van VDI-apparaten zijn niet aanwezig op het apparaat.
    • JA - Metagegevens van VDI-apparaten zijn aanwezig en de dsregcmd-opdracht geeft gekoppelde metagegevens weer, waaronder:
      • Provider: naam van de VDI-leverancier.
      • Type: Permanente VDI of niet-permanente VDI.
      • Gebruikersmodus: één gebruiker of meerdere gebruikers.
      • Extensies: aantal sleutel-waardeparen in optionele metagegevens van leveranciers, gevolgd door sleutel-waardeparen.
    • ONGELDIG: de metagegevens van het VDI-apparaat zijn aanwezig, maar zijn niet juist ingesteld. In dit geval voert dsregcmd de onjuiste metagegevens uit.

Voorbeeld van uitvoer van apparaatdetails

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Huurdergegevens

De tenantgegevens worden alleen weergegeven wanneer het apparaat is toegevoegd aan Microsoft Entra of als Microsoft Entra hybride gekoppeld is, niet als het geregistreerd is bij Microsoft Entra. In deze sectie vindt u de algemene tenantgegevens die worden weergegeven wanneer een apparaat lid is van Microsoft Entra-id.

Notitie

Als de URL-velden voor MOBILE Device Management (MDM) in deze sectie leeg zijn, geeft dit aan dat de MDM niet is geconfigureerd of dat de huidige gebruiker niet binnen het bereik van MDM-inschrijving valt. Controleer de Mobility-instellingen in Microsoft Entra-id om uw MDM-configuratie te controleren.

De aanwezigheid van MDM-URL's garandeert niet dat het apparaat wordt beheerd door een MDM. De informatie wordt weergegeven als de tenant MDM-configuratie heeft voor automatische inschrijving, zelfs als het apparaat zelf niet wordt beheerd.

De voorbeelduitvoer van tenantdetails

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Gebruikersstatus

Deze sectie bevat de statussen van verschillende kenmerken voor gebruikers die momenteel zijn aangemeld bij het apparaat.

Notitie

De opdracht moet worden uitgevoerd in een gebruikerscontext om een geldige status op te halen.

  • NgcSet-: stel de status in op JA- als een Windows Hello-sleutel is ingesteld voor de huidige aangemelde gebruiker.
  • NgcKeyId: de id van de Windows Hello-sleutel als deze is ingesteld voor de huidige aangemelde gebruiker.
  • CanReset-: Geeft aan of de Windows Hello-sleutel door de gebruiker opnieuw kan worden ingesteld.
  • Mogelijke waarden: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, of Onbekend indien fout.
  • WorkplaceJoined-: stel de status in op JA- als geregistreerde Microsoft Entra-accounts zijn toegevoegd aan het apparaat in de huidige NTUSER-context.
  • WamDefaultSet: Stel de status in op JA als er een standaard webaccount in de Web Account Manager (WAM) wordt aangemaakt voor de ingelogde gebruiker. Dit veld kan een fout weergeven als dsregcmd /status wordt uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.
  • WamDefaultAuthority-: stel de status in op organisaties voor Microsoft Entra-id.
  • WamDefaultId: gebruik altijd https://login.microsoft.com voor Microsoft Entra-id.
  • WamDefaultGUID: de GUID van de WAM-provider (Microsoft Entra ID/Microsoft-account) voor het standaard WAM-webaccount.

Voorbeeld van uitvoer van gebruikersstatus

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO-status

U kunt deze sectie negeren voor geregistreerde Microsoft Entra-apparaten.

Notitie

De opdracht moet worden uitgevoerd in een gebruikerscontext om de geldige status van die gebruiker op te halen.

  • AzureAdPrt-: stel de status in op JA- als er een primair vernieuwingstoken (PRT) aanwezig is op het apparaat voor de aangemelde gebruiker.
  • AzureAdPrtUpdateTime: stel de status in op de tijd, in Coordinated Universal Time (UTC), wanneer de PRT voor het laatst is bijgewerkt.
  • AzureAdPrtExpiryTime: stel de status in op de tijd, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
  • AzureAdPrtAuthority-: de URL van de Microsoft Entra-instantie
  • EnterprisePrt-: stel de status in op JA- als het apparaat een PRT heeft van on-premises Active Directory Federation Services (AD FS). Voor hybride verbonden apparaten van Microsoft Entra kan het apparaat tegelijkertijd een PRT hebben van zowel Microsoft Entra ID als on-premises Active Directory. On-premises gekoppelde apparaten hebben alleen een Enterprise PRT.
  • EnterprisePrtUpdateTime-: Stel de status in op het tijdstip, in UTC, waarop de Enterprise PRT voor het laatst is bijgewerkt.
  • EnterprisePrtExpiryTime: Stel de status in op de tijdstip, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
  • EnterprisePrtAuthority-: de AD FS-autoriteits-URL

Notitie

De volgende diagnostische prT-velden zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

  • De diagnostische gegevens die worden weergegeven in het veld AzureAdPrt-, zijn bedoeld voor het verkrijgen of verversen van Microsoft Entra PRT, en de diagnostische gegevens die worden weergegeven in het veld EnterprisePrt-, zijn bedoeld voor het verkrijgen of verversen van Enterprise PRT.
  • De diagnostische gegevens worden alleen weergegeven als de overname- of vernieuwingsfout is opgetreden na de laatste geslaagde PRT-updatetijd (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Op een gedeeld apparaat kunnen deze diagnostische gegevens afkomstig zijn van de aanmeldingspoging van een andere gebruiker.
  • AcquirePrtDiagnostics: stel de status in op PRESENT- als de verkregen diagnostische gegevens van PRT aanwezig zijn in de logboeken.
    • Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
  • vorige prt-poging: de lokale tijd, in UTC, waarop de mislukte PRT-poging heeft plaatsgevonden.
  • pogingsstatus: de foutcode van de client die wordt geretourneerd (HRESULT).
  • gebruikersidentiteit: de UPN van de gebruiker waarvoor de PRT-poging is uitgevoerd.
  • Referentietype: De referentie die wordt gebruikt om de PRT te verkrijgen of te vernieuwen. Algemene referentietypen zijn Wachtwoord en NGC (Next Generation Credential) (voor Windows Hello).
  • Correlatie-id: Deze door de server verzonden correlatie-id is gekoppeld aan de mislukte PRT-poging.
  • eindpunt-URI: het laatste eindpunt dat is geopend vóór de fout.
  • HTTP-methode: de HTTP-methode die wordt gebruikt voor toegang tot het eindpunt.
  • HTTP-fout: WinHttp-transportfoutcode. Andere netwerkfoutcodesverkrijgen.
  • HTTP-status: de HTTP-status die door het eindpunt wordt geretourneerd.
  • serverfoutcode: de foutcode van de server.
  • serverfoutbeschrijving: het foutbericht van de server.
  • RefreshPrtDiagnostics: stel de status in op PRESENT- als de verkregen diagnostische gegevens van PRT aanwezig zijn in de logboeken.
    • Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
    • De velden met diagnostische gegevens zijn hetzelfde als AcquirePrtDiagnostics.

Notitie

De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de oorspronkelijke versie van Windows 11 (versie 21H2).

  • OnPremTgt-: stel de status in op JA- als een Cloud Kerberos-ticket voor toegang tot on-premises resources aanwezig is op het apparaat voor de aangemelde gebruiker.
  • CloudTgt-: stel de status in op JA- als er een Cloud Kerberos-ticket voor toegang tot cloudresources aanwezig is op het apparaat voor de aangemelde gebruiker.
  • KerbTopLevelNames: Lijst met kerberos-realmnamen op het hoogste niveau voor Cloud Kerberos.

Voorbeeld van SSO (eenmalige aanmelding) uitvoer

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnostische gegevens

Diagnostische gegevens vooraf koppelen

Deze sectie met diagnostische gegevens wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.

In deze sectie worden verschillende tests uitgevoerd om joinfouten te diagnosticeren. De informatie bevat de volgende foutfase, foutcode, serveraanvraag-id, HTTP-status van serverrespons en foutbericht van de serverreactie.

  • Gebruikerscontext: de context waarin de diagnostische gegevens worden uitgevoerd. Mogelijke waarden: SYSTEEM, UN-ELEVATED Gebruiker, VERHOOGDE Gebruiker.

    Notitie

    Omdat de werkelijke join wordt uitgevoerd in de SYSTEM-context, is het uitvoeren van diagnostiek in SYSTEM-context het dichtst bij de werkelijke joinscenario. Als u diagnostische gegevens wilt uitvoeren in SYSTEM-context, moet de opdracht dsregcmd /status worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.

  • Clienttijd: De systeemtijd, in UTC.

  • AD-connectiviteitstest: deze test voert een connectiviteitstest uit met de domeincontroller. Een fout in deze test resulteert waarschijnlijk in join-fouten in de voorcontrolefase.

  • AD-configuratietest: met deze test wordt gelezen en gecontroleerd of het SCP-object (Service Connection Point) correct is geconfigureerd in het on-premises Active Directory-forest. Fouten in deze test leiden waarschijnlijk tot joinfouten in de discover-fase met de foutcode 0x801c001d.

  • DRS Discovery Test: met deze test worden de DRS-eindpunten opgehaald uit het eindpunt voor detectiemetagegevens en wordt een verzoek voor de gebruikersrealm uitgevoerd. Fouten in deze test leiden waarschijnlijk tot joinfouten in de discover-fase.

  • DRS-connectiviteitstest: met deze test wordt een eenvoudige connectiviteitstest uitgevoerd naar het DRS-eindpunt.

  • Token Acquisition Test: met deze test wordt geprobeerd een Microsoft Entra-verificatietoken op te halen als de gebruikerstenant federatief is. Fouten in deze test leiden waarschijnlijk tot verbindingsfouten in de authenticatiefase. Als authenticatie mislukt, wordt sync-join uitgevoerd als terugval, tenzij terugval expliciet is uitgeschakeld met de volgende registersleutelsinstellingen:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Terugvallen naar Sync-Join: stel de status in op Ingeschakeld als de voorgaande registersleutel om terugvallen naar Sync-Join met verificatiefouten te voorkomen niet aanwezig is. Deze optie is beschikbaar via Windows 10 1803 en hoger.

  • Vorige registratie: het tijdstip waarop de vorige joinpoging heeft plaatsgevonden. Alleen mislukte joinpogingen worden vastgelegd.

  • Foutfase: de fase van de join waarin deze is afgebroken. Mogelijke waarden zijn vooraf controle, ontdekken, authenticatie, en deelnemen.

  • Client ErrorCode: de terugggegeven clientfoutcode (HRESULT).

  • Server ErrorCode: de serverfoutcode wordt weergegeven als een aanvraag naar de server is verzonden en de server met een foutcode heeft gereageerd.

  • serverbericht: het serverbericht dat samen met de foutcode wordt geretourneerd.

  • https-status: de HTTP-status die door de server wordt geretourneerd.

  • aanvraag-ID: Dit is het klantaanvraag-ID dat naar de server is verzonden. De aanvraag-id is handig om te correleren met logboeken aan de serverzijde.

Voorbeeld van diagnostische uitvoer van vooraf samenvoegen

In het volgende voorbeeld ziet u een diagnostische test die mislukt met een detectiefout.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

In het volgende voorbeeld ziet u dat diagnostische tests succesvol worden doorstaan, maar dat de registratiepoging is mislukt vanwege een mapfout, wat te verwachten is voor sync-join. Nadat de Synchronisatietaak voor Microsoft Entra Connect is voltooid, kan het apparaat deelnemen.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostische gegevens na deelname

In deze sectie diagnostische gegevens wordt de uitvoer weergegeven van controles die zijn uitgevoerd op een apparaat dat is gekoppeld aan de cloud.

  • AadRecoveryEnabled: als de waarde is JA, zijn de sleutels die zijn opgeslagen op het apparaat niet bruikbaar en wordt het apparaat gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw.
  • KeySignTest: als de waarde is DOORGEGEVEN, hebben de apparaatsleutels een goede status. Als KeySignTest mislukt, wordt het apparaat meestal gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw. Voor hybride apparaten van Microsoft Entra verloopt het herstel onmerkbaar. Terwijl de apparaten zijn toegevoegd aan Microsoft Entra of Microsoft Entra zijn geregistreerd, vragen ze gebruikersverificatie om het apparaat te herstellen en opnieuw te registreren, indien nodig.

    Notitie

    KeySignTest vereist verhoogde bevoegdheden.

Voorbeeld van diagnostische gegevens na samenvoeging

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Controle van NGC-vereisten

Deze sectie met diagnostische gegevens voert de controle van vereisten uit voor het instellen van Windows Hello voor Bedrijven (WHFB).

Notitie

Mogelijk ziet u in dsregcmd /status geen details van de controle op NGC-vereisten als de gebruiker WHFB succesvol heeft geconfigureerd.

  • IsDeviceJoined-: stel de status in op JA- als het apparaat lid is van Microsoft Entra-id.
  • IsUserAzureAD-: stel de status in op JA- als de aangemelde gebruiker aanwezig is in Microsoft Entra-id.
  • PolicyEnabled: stel de status in op JA- als het WHFB-beleid is ingeschakeld op het apparaat.
  • PostLogonEnabled: stel de status in op JA- als WHFB-inschrijving systeemeigen wordt geactiveerd door het platform. Als de status is ingesteld op GEEN, geeft dit aan dat windows Hello voor Bedrijven-inschrijving wordt geactiveerd door een aangepast mechanisme.
  • DeviceEligible: stel de status in op JA- als het apparaat voldoet aan de hardwarevereiste voor registratie bij WHFB.
  • SessionIsNotRemote-: stel de status in op JA- als de huidige gebruiker rechtstreeks op het apparaat is aangemeld en niet op afstand.
  • CertEnrollment: deze instelling is specifiek voor de implementatie van WHFB Certificate Trust, waarmee de certificeringsinstantie voor WHFB wordt aangegeven. Stel de status in op inschrijvingsinstantie als de bron van het WHFB-beleid groepsbeleid is of stel deze in op mobile device management als de bron MDM is. Als geen van beide bronnen van toepassing is, stelt u de status in op geen.
  • AdfsRefreshToken: deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen aanwezig als de CertEnrollment-status registratie-autoriteit is. De instelling geeft aan of het apparaat een ondernemings-PRT voor de gebruiker heeft.
  • AdfsRaIsReady-: deze instelling is specifiek voor WHFB Certificate Trust-implementatie en is alleen aanwezig als de CertEnrollment-status inschrijvingsinstantie is. Stel de status in op JA- als AD FS in detectiemetagegevens aangeeft dat het WHFB-ondersteunt en de aanmeldingscertificaatsjabloon beschikbaar is.
  • LogonCertTemplateReady: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen aanwezig als de CertEnrollment-status inschrijvingsinstantie is. Stel de status in op JA- als de status van de aanmeldingscertificaatsjabloon geldig is en helpt bij het oplossen van problemen met de AD FS-registratie-instantie (RA).
  • PreReqResult-: biedt het resultaat van de evaluatie van alle WHFB-vereisten. Stel de status in op Zal worden ingericht als WHFB-aanmelding wordt gestart als een taak na het inloggen wanneer de gebruiker zich de volgende keer aanmeldt.

Notitie

De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).

Vóór Windows 11 versie 23H2 werd de instelling OnPremTGT-CloudTGTgenoemd.

  • OnPremTGT-: Deze instelling is specifiek voor de cloud-Kerberos-vertrouwensimplementatie en is alleen aanwezig als de CertEnrollment-status geenis. Stel de status in op JA als het apparaat een Cloud Kerberos-ticket heeft voor toegang tot on-premises resources. Vóór Windows 11 versie 23H2 werd deze instelling CloudTGTgenoemd.

Voorbeeld van uitvoer van controle van NGC-vereisten

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Volgende stappen

Ga naar de Microsoft-foutopsporingstool.