dsregcmd コマンドを使用したデバイスのトラブルシューティングTroubleshooting devices using the dsregcmd command

dsregcmd /status ユーティリティは、ドメイン ユーザー アカウントとして実行する必要があります。The dsregcmd /status utility must be run as a domain user account.

デバイスの状態Device state

このセクションには、デバイスの参加状態のパラメーターが一覧に示されます。This section lists the device join state parameters. 次の表は、デバイスがさまざまな参加状態になる条件を示しています。The table below lists the criteria for the device to be in various join states.

AzureAdJoinedAzureAdJoined EnterpriseJoinedEnterpriseJoined DomainJoinedDomainJoined デバイスの状態Device state
YESYES NONO NONO Azure AD 参加済みAzure AD Joined
NONO NONO YESYES ドメイン参加済みDomain Joined
YESYES NONO YESYES ハイブリッド AD 参加済みHybrid AD Joined
NONO YESYES YESYES オンプレミス DRS 参加済みOn-premises DRS Joined

注意

Workplace Join (Azure AD 登録済み) 状態は、[User State](ユーザー状態) セクションに表示されますWorkplace Join (Azure AD registered) state is displayed in the "User State" section

  • AzureAdJoined: -デバイスが Azure AD に参加している場合は、"YES" に設定されます。AzureAdJoined: - Set to “YES” if the device is Joined to Azure AD. それ以外の場合は "NO" です。“NO” otherwise.
  • Enterprisejoined: - デバイスがオンプレミスの DRS に参加している場合は "YES" に設定されます。EnterpriseJoined: - Set to “YES” if the device is Joined to an on-premises DRS. デバイスに EnterpriseJoined と AzureAdJoined の両方を指定することはできません。A device cannot be both EnterpriseJoined and AzureAdJoined.
  • DomainJoined: -デバイスがドメイン (AD) に参加している場合は、"YES" に設定されます。DomainJoined: - Set to “YES” if the device is joined to a domain (AD).
  • DomainName: -デバイスがドメインに参加している場合は、ドメインの名前に設定されます。DomainName: - Set to the name of the domain if the device is joined to a domain.

デバイスの状態の出力例Sample device state output

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

[デバイスの詳細]Device details

デバイスが Azure AD 参加済みまたはハイブリッド Azure AD 参加済み (Azure AD に未登録) の場合にのみ表示されます。Displayed only when the device is Azure AD joined or hybrid Azure AD joined (not Azure AD registered). このセクションには、クラウドに格納されている詳細を識別するデバイスの一覧が示されます。This section lists device identifying details stored in the cloud.

  • DeviceId: -Azure AD テナント内のデバイスの一意の IDDeviceId: - Unique ID of the device in the Azure AD tenant
  • Thumbprint: -デバイス証明書の拇印Thumbprint: - Thumbprint of the device certificate
  • DeviceCertificateValidity: -デバイス証明書の有効性DeviceCertificateValidity: - Validity of the device certificate
  • KeyContainerId: -デバイス証明書に関連付けられているデバイスの秘密キーの ContainerIdKeyContainerId: - ContainerId of the device private key associated with the device certificate
  • Keyprovider: -デバイスの秘密キーを格納するために使用される KeyProvider (ハードウェア/ソフトウェア)。KeyProvider: - KeyProvider (Hardware/Software) used to store the device private key.
  • TpmProtected: - デバイスの秘密キーがハードウェア TPM に格納されている場合は "YES"。TpmProtected: - “YES” if the device private key is stored in a Hardware TPM.

デバイスの詳細の出力例Sample device details output

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
+----------------------------------------------------------------------+

Tenant details (テナントの詳細)Tenant details

デバイスが Azure AD 参加済みまたはハイブリッド Azure AD 参加済み (Azure AD に未登録) の場合にのみ表示されます。Displayed only when the device is Azure AD joined or hybrid Azure AD joined (not Azure AD registered). このセクションには、デバイスが Azure AD に参加している場合の一般的なテナントの詳細が示されます。This section lists the common tenant details when a device is joined to Azure AD.

注意

このセクションの MDM URL が空である場合は、MDM が構成されなかったか、または現在のユーザーが MDM 登録の範囲内にないことを示します。If the MDM URLs in this section are empty, it indicates that the MDM was either not configured or current user is not in scope of MDM enrollment. Azure AD のモビリティ設定をチェックして MDM の構成を確認してください。Check the Mobility settings in Azure AD to review your MDM configuration.

注意

MDM の URL が表示されている場合でも、デバイスが MDM によって管理されているわけではありません。Even if you see MDM URLs this does not mean that the device is managed by an MDM. この情報は、デバイス自体が管理されていない場合でも、テナントが自動登録のための MDM 構成を持っている場合に表示されます。The information is displayed if the tenant has MDM configuration for auto-enrollment even if the device itself is not managed.

テナントの詳細の出力例Sample tenant details output

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

ユーザー状態User state

このセクションには、現在デバイスにログインしているユーザーのさまざまな属性の状態が示されます。This section lists the status of various attributes for the user currently logged into the device.

注意

有効な状態を取得するには、コマンドをユーザー コンテキストで実行する必要があります。The command must run in a user context to retrieve valid status.

  • NgcSet: - 現在ログオンしているユーザーに対して Windows Hello キーが設定されている場合は、"YES" に設定されます。NgcSet: - Set to “YES” if a Windows Hello key is set for the current logged on user.
  • NgcKeyId: - Windows Hello キーの ID (現在ログオンしているユーザーに対して設定されている場合)。NgcKeyId: - ID of the Windows Hello key if one is set for the current logged on user.
  • CanReset: - ユーザーが Windows Hello キーをリセットできるかどうかを示します。CanReset: - Denotes if the Windows Hello key can be reset by the user.
  • 使用可能な値: - DestructiveOnly、NonDestructiveOnly、DestructiveAndNonDestructive、またはエラーの場合は Unknown。Possible values: - DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, or Unknown if error.
  • WorkplaceJoined: - Azure AD の登録済みアカウントが現在の NTUSER コンテキストでデバイスに追加された場合は、"YES" に設定されます。WorkplaceJoined: - Set to “YES” if Azure AD registered accounts have been added to the device in the current NTUSER context.
  • WamDefaultSet: - ログインしているユーザーに対して WAM の既定の WebAccount が作成されている場合は "YES" に設定されます。WamDefaultSet: - Set to “YES” if a WAM default WebAccount is created for the logged in user. このフィールドでは、dsreg/status が管理者特権でのコマンド プロンプトから実行されている場合にエラーが表示されることがあります。This field could display an error if dsreg /status is run from an elevated command prompt.
  • WamDefaultAuthority: - Azure AD の場合は "organizations" に設定されます。WamDefaultAuthority: - Set to “organizations” for Azure AD.
  • WamDefaultId: - Azure AD の場合は常に "https://login.microsoft.com" です。WamDefaultId: - Always “https://login.microsoft.com” for Azure AD.
  • WamDefaultGUID: - 既定の WAM WebAccount の WAM プロバイダーの (Azure AD/Microsoft アカウント) GUID。WamDefaultGUID: - The WAM provider’s (Azure AD/Microsoft account) GUID for the default WAM WebAccount.

ユーザーの状態の出力例Sample user state output

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO state (SSO 状態)SSO state

Azure AD 登録済みデバイスについては、このセクションを無視してかまいません。This section can be ignored for Azure AD registered devices.

注意

ユーザーの有効な状態を取得するには、コマンドをユーザー コンテキストで実行する必要があります。The command must run in a user context to retrieve valid status for that user.

  • AzureAdPrt: - ログオン ユーザーのデバイスに PRT が存在する場合は、"YES" に設定されます。AzureAdPrt: - Set to “YES” if a PRT is present on the device for the logged-on user.
  • AzureAdPrtUpdateTime: - PRT が最後に更新されたときの UTC 時刻に設定されます。AzureAdPrtUpdateTime: - Set to the time in UTC when the PRT was last updated.
  • AzureAdPrtExpiryTime: - 更新されない場合に PRT が期限切れになる UTC 時刻に設定されます。AzureAdPrtExpiryTime: - Set to the time in UTC when the PRT is going to expire if it is not renewed.
  • AzureAdPrtAuthority: - Azure AD 機関の URLAzureAdPrtAuthority: - Azure AD authority URL
  • EnterprisePrt: - オンプレミス ADFS からの PRT がデバイスにある場合は、"YES" に設定されます。EnterprisePrt: - Set to “YES” if the device has PRT from on-premises ADFS. ハイブリッド Azure AD 参加済みデバイスの場合、デバイスには Azure AD とオンプレミスの AD からの PRT を同時に指定できます。For hybrid Azure AD joined devices the device could have PRT from both Azure AD and on-premises AD simultaneously. オンプレミスの参加済みデバイスでは、エンタープライズ PRT のみ指定されます。On-premises joined devices will only have an Enterprise PRT.
  • EnterprisePrtUpdateTime: - エンタープライズ PRT が最後に更新されたときの UTC 時刻に設定されます。EnterprisePrtUpdateTime: - Set to the time in UTC when the Enterprise PRT was last updated.
  • EnterprisePrtExpiryTime: - 更新されない場合に PRT が期限切れになる UTC 時刻に設定されます。EnterprisePrtExpiryTime: - Set to the time in UTC when the PRT is going to expire if it is not renewed.
  • EnterprisePrtAuthority: - ADFS 機関 URLEnterprisePrtAuthority: - ADFS authority URL

SSO 状態の出力例Sample SSO state output

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2019-01-24 19:15:26.000 UTC
      AzureAdPrtExpiryTime : 2019-02-07 19:15:26.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs

+----------------------------------------------------------------------+

診断データDiagnostic data

参加前の診断Pre-join diagnostics

このセクションは、デバイスがドメイン参加済みで、ハイブリッド Azure AD 参加ができない場合にのみ表示されます。This section is displayed only if the device is domain joined and is unable to hybrid Azure AD join.

このセクションでは、参加エラーの診断に役立つさまざまなテストを実行します。This section performs various tests to help diagnose join failures. このセクションには、前の (?) の詳細も含まれています。This section also includes the details of the previous (?). この情報には、エラー フェーズ、エラー コード、サーバー要求 ID、サーバー応答の http 状態、サーバー応答のエラー メッセージが含まれます。This information includes the error phase, the error code, the server request ID, server response http status, server response error message.

  • User Context: - 診断が実行されるコンテキスト。User Context: - The context in which the diagnostics are run. 指定できる値SYSTEM、UN-ELEVATED User、ELEVATED User。Possible values: SYSTEM, UN-ELEVATED User, ELEVATED User.

    注意

    実際の参加は SYSTEM コンテキストで実行されるため、SYSTEM コンテキストでの診断の実行が、実際の参加シナリオに最も近いものになります。Since the actual join is performed in SYSTEM context, running the diagnostics in SYSTEM context is closest to the actual join scenario. SYSTEM コンテキストで診断を実行するには、管理者特権でのコマンド プロンプトから dsregcmd /status コマンドを実行する必要があります。To run diagnostics in SYSTEM context, the dsregcmd /status command must be run from an elevated command prompt.

  • Client Time: - システムの UTC 時刻。Client Time: - The system time in UTC.

  • AD Connectivity Test: - ドメイン コントローラーへの接続テストを実行します。AD Connectivity Test: - Test performs a connectivity test to the domain controller. このテストでエラーが発生すると、事前チェック フェーズで参加エラーが発生する可能性があります。Error in this test will likely result in Join errors in pre-check phase.

  • AD Configuration Test: - テストでは、SCP オブジェクトがオンプレミスの AD フォレストで適切に構成されているかどうかを読み取って確認します。AD Configuration Test: - Test reads and verifies whether the SCP object is configured properly in the on-premises AD forest. このテストでエラーが発生すると、検出フェーズでエラー コード0x801c001d で参加エラーが発生する可能性があります。Errors in this test would likely result in Join errors in the discover phase with the error code 0x801c001d.

  • DRS Discovery Test: - テストでは、検出メタデータ エンドポイントから DRS エンドポイントを取得し、ユーザー領域要求を実行します。DRS Discovery Test: - Test gets the DRS endpoints from discovery metadata endpoint and performs a user realm request. このテストでエラーが発生すると、検出フェーズで参加エラーが発生する可能性があります。Errors in this test would likely result in Join errors in the discover phase.

  • DRS Connectivity Test: - DRS エンドポイントへの基本接続テストを実行します。DRS Connectivity Test: - Test performs basic connectivity test to the DRS endpoint.

  • Token acquisition Test: -ユーザー テナントがフェデレーションされている場合、テストでは Azure AD 認証トークンの取得が試行されます。Token acquisition Test: - Test tries to get an Azure AD authentication token if the user tenant is federated. このテストでエラーが発生すると、認証フェーズで参加エラーが発生する可能性があります。Errors in this test would likely result in Join errors in the auth phase. 認証に失敗した場合、下のレジストリ キー設定でフォールバックが明示的に無効になっていない限り、フォールバックとして同期参加が試行されます。If auth fails sync join will be attempted as fallback, unless fallback is explicitly disabled with the below registry key settings.

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
  • Fallback to Sync-Join: - 上のレジストリ キー (認証失敗で同期参加にフォールバックすることを避けるためのもの) が存在しない場合、"Enabled" に設定されます。Fallback to Sync-Join: - Set to “Enabled” if the above registry key, to prevent the fallback to sync join with auth failures, is NOT present. このオプションは、Windows 10 1803 以降で使用できます。This option is available from Windows 10 1803 and later.
  • Previous Registration: - 前回の参加試行が発生した時刻。Previous Registration: - Time the previous Join attempt occurred. 失敗した参加試行だけがログに記録されます。Only failed Join attempts are logged.
  • Error Phase: - 中止された参加のステージ。Error Phase: - The stage of the join in which it was aborted. 可能値は、pre-check、discover、auth、join です。Possible values are pre-check, discover, auth, join.
  • Client ErrorCode: - 返されたクライアント エラー コード (HRESULT)。Client ErrorCode: - Client error code returned (HRESULT).
  • Server ErrorCode: - サーバーに要求が送信され、サーバーがエラー コードを返して応答した場合のサーバー エラー コード。Server ErrorCode: - Server error code if a request was sent to the server and server responded back with an error code.
  • Server Message: - エラーコードと共に返されたサーバー メッセージ。Server Message: - Server message returned along with the error code.
  • Https Status: - サーバーから返された HTTP の状態。Https Status: - Http status returned by the server.
  • Request ID: - サーバーに送信されるクライアントの requestId。Request ID: - The client requestId sent to the server. サーバー側のログと相関させるのに役立ちます。Useful to correlate with server-side logs.

参加前の診断の出力例Sample pre-join diagnostics output

次の例は、検出エラーで失敗した診断テストを示しています。The following example shows diagnostics test failing with a discovery error.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

次の例では、診断テストは成功していますが、同期参加に予期される登録の試行がディレクトリ エラーで失敗しています。The following example shows diagnostics tests are passing but the registration attempt failed with a directory error, which is expected for sync join. Azure AD Connect の同期ジョブが完了すると、デバイスを参加させることができます。Once the Azure AD Connect synchronization job completes, the device will be able to join.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

参加後の診断Post-join diagnostics

このセクションには、クラウドに参加しているデバイスで実行されたサニティ チェックの出力が表示されます。This section displays the output of sanity checks performed on a device joined to the cloud.

  • AadRecoveryEnabled: - "YES" の場合、デバイスに格納されているキーは使用できず、デバイスは復旧対象としてマークされます。AadRecoveryEnabled: - If “YES”, the keys stored in the device are not usable and the device is marked for recovery. 次回のサインインでは復旧フローがトリガーされ、デバイスが再登録されます。The next sign in will trigger the recovery flow and re-register the device.
  • KeySignTest: - "PASSED" の場合、デバイス キーは正常な状態です。KeySignTest: - If “PASSED” the device keys are in good health. KeySignTest が失敗した場合、デバイスは通常、復旧対象としてマークされます。If KeySignTest fails, the device will usually be marked for recovery. 次回のサインインでは復旧フローがトリガーされ、デバイスが再登録されます。The next sign in will trigger the recovery flow and re-register the device. ハイブリッド Azure AD 参加済みデバイスの場合、復旧はサイレントです。For hybrid Azure AD joined devices the recovery is silent. Azure AD 参加済みまたは Azure AD 登録済みの場合、デバイスは必要に応じてデバイスの復旧と再登録のためにユーザー認証を要求します。While Azure AD joined or Azure AD registered, devices will prompt for user authentication to recover and re-register the device if necessary. KeySignTest には、昇格された特権が必要です。The KeySignTest requires elevated privileges.

参加後の診断の出力例Sample post-join diagnostics output

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

NGC の前提条件チェックNGC prerequisite check

このセクションでは、Windows Hello for Business (WHFB) をプロビジョニングするための前提条件チェックを実行します。This section performs the prerequisite checks for the provisioning of Windows Hello for Business (WHFB).

注意

ユーザーが既に WHFB を適切に構成している場合は、dsregcmd /status で NGC の前提条件チェックの詳細が表示されないことがあります。You may not see NGC prerequisite check details in dsregcmd /status if the user already successfully configured WHFB.

  • IsDeviceJoined: - デバイスが Azure AD に参加している場合は、"YES" に設定されます。IsDeviceJoined: - Set to “YES” if the device is joined to Azure AD.
  • IsUserAzureAD: - ログインしているユーザーが Azure AD に存在する場合は、"YES" に設定されます。IsUserAzureAD: - Set to “YES” if the logged in user is present in Azure AD .
  • PolicyEnabled: - デバイスで WHFB ポリシーが有効になっている場合は "YES" に設定されます。PolicyEnabled: - Set to "YES" if the WHFB policy is enabled on the device.
  • PostLogonEnabled: - WHFB 登録がプラットフォームによってネイティブでトリガーされる場合は、"YES" に設定されます。PostLogonEnabled: - Set to "YES" if WHFB enrollment is triggered natively by the platform. "NO" に設定されている場合は、Windows Hello for Business の登録がカスタム メカニズムによってトリガーされることを示します。If it's set to "NO", it indicates that Windows Hello for Business enrollment is triggered by a custom mechanism
  • DeviceEligible: - デバイスが WHFB に登録するためのハードウェア要件を満たしている場合は、"YES" に設定されます。DeviceEligible: - Set to “YES” if the device meets the hardware requirement for enrolling with WHFB.
  • SessionIsNotRemote: - 現在のユーザーがリモートではなくデバイスに直接ログインしている場合は、"YES" に設定されます。SessionIsNotRemote: - Set to “YES” if the current user is logged in directly to the device and not remotely.
  • CertEnrollment: - WHFB 証明書信頼展開に固有であり、WHFB の証明書登録機関を示します。CertEnrollment: - Specific to WHFB Certificate Trust deployment, indicating the certificate enrollment authority for WHFB. WHFB ポリシーのソースがグループ ポリシーの場合は "enrollment authority" に設定され、ソースが MDM の場合は "mobile device management" に設定されます。Set to “enrollment authority” if source of WHFB policy is Group Policy, “mobile device management” if source is MDM. それ以外の場合は "none" になります。“none” otherwise
  • AdfsRefreshToken: - WHFB 証明書信頼展開固有です。AdfsRefreshToken: - Specific to WHFB Certificate Trust deployment. CertEnrollment が "enrollment authority" の場合にのみ存在します。Only present if CertEnrollment is “enrollment authority”. ユーザー用のエンタープライズ PRT がデバイスにあるかどうかを示します。Indicates if the device has an enterprise PRT for the user.
  • AdfsRaIsReady: - WHFB 証明書信頼展開固有です。AdfsRaIsReady: - Specific to WHFB Certificate Trust deployment. CertEnrollment が "enrollment authority" の場合にのみ存在します。Only present if CertEnrollment is “enrollment authority”. 探索メタデータに示されている ADFS で WHFB がサポートされ、"かつ" ログオン証明書テンプレートを利用できる場合は "YES" に設定されます。Set to “YES” if ADFS indicated in discovery metadata that it supports WHFB and if logon certificate template is available.
  • LogonCertTemplateReady: - WHFB 証明書信頼展開固有です。LogonCertTemplateReady: - Specific to WHFB Certificate Trust deployment. CertEnrollment が "enrollment authority" の場合にのみ存在します。Only present if CertEnrollment is “enrollment authority”. ログオン証明書テンプレートの状態が有効であり、ADFS RA のトラブルシューティングに役立つ場合は、"YES" に設定されます。Set to “YES” if state of logon certificate template is valid and helps troubleshoot ADFS RA.
  • PreReqResult: - すべての WHFB の前提条件評価の結果が提示されます。PreReqResult: - Provides result of all WHFB prerequisite evaluation. ユーザーが次回サインインするときに、ログオン後のタスクとして WHFB 登録を起動する場合は、"Will Provision" に設定されます。Set to “Will Provision” if WHFB enrollment would be launched as a post-logon task when user signs in next time.

NGC の前提条件チェックの出力例Sample NGC prerequisite check output

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

次のステップNext steps

ご不明な点がある場合は、デバイス管理の FAQ をご覧ください。For questions, see the device management FAQ