Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd

W tym artykule opisano sposób użycia danych wyjściowych polecenia dsregcmd w celu zrozumienia stanu urządzeń w usłudze Azure Active Directory (Azure AD). Narzędzie dsregcmd /status musi być uruchamiane jako konto użytkownika domeny.

Stan urządzenia

W tej sekcji wymieniono parametry stanu przyłączenia urządzenia. Kryteria, które są wymagane, aby urządzenie było w różnych stanach sprzężenia, przedstawiono w poniższej tabeli:

AzureAdJoined EnterpriseJoined DomainJoined Stan urządzenia
TAK NO NO Przyłączone do usługi Azure AD
NO NO TAK Przyłączone do domeny
TAK NO TAK Dołączone do hybrydowej usługi AD
NO TAK TAK Lokalne przyłączone do usługi DRS

Uwaga

Stan Dołączono do miejsca pracy (zarejestrowane w usłudze Azure AD) jest wyświetlany w sekcji "Stan użytkownika".

  • AzureAdJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do usługi Azure AD. W przeciwnym razie ustaw stan NA NIE.
  • EnterpriseJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do lokalnej usługi replikacji danych (DRS). Nie można połączyć urządzenia enterpriseJoined i AzureAdJoined.
  • DomainJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do domeny (Active Directory).
  • DomainName: ustaw stan na nazwę domeny, jeśli urządzenie jest przyłączone do domeny.

Przykładowe dane wyjściowe stanu urządzenia

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Szczegóły urządzenia

Stan jest wyświetlany tylko wtedy, gdy urządzenie jest przyłączone do usługi Azure AD lub dołączone hybrydowo do usługi Azure AD (nie zarejestrowane w usłudze Azure AD). W tej sekcji wymieniono szczegóły identyfikujące urządzenia przechowywane w usłudze Azure AD.

  • DeviceId: unikatowy identyfikator urządzenia w dzierżawie usługi Azure AD.
  • Odcisk palca: odcisk palca certyfikatu urządzenia.
  • DeviceCertificateValidity: stan ważności certyfikatu urządzenia.
  • KeyContainerId: identyfikator containerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzenia.
  • KeyProvider: Dostawca kluczy (sprzęt/oprogramowanie) używany do przechowywania klucza prywatnego urządzenia.
  • TpmProtected: stan jest ustawiony na TAK , jeśli klucz prywatny urządzenia jest przechowywany w sprzętowym module Trusted Platform Module (TPM).
  • DeviceAuthStatus: wykonuje kontrolę w celu określenia kondycji urządzenia w usłudze Azure AD. Stan kondycji to:
    • POWODZENIE , jeśli urządzenie jest obecne i włączone w usłudze Azure AD.
    • NIE POWIODŁO SIĘ. Urządzenie jest wyłączone lub usunięte, jeśli urządzenie jest wyłączone lub usunięte. Aby uzyskać więcej informacji na temat tego problemu, zobacz Zarządzanie urządzeniami w usłudze Azure Active Directory — często zadawane pytania.
    • NIE POWIODŁO SIĘ. BŁĄD, jeśli nie można uruchomić testu. Ten test wymaga łączności sieciowej z usługą Azure AD.

      Uwaga

      Pole DeviceAuthStatus zostało dodane w aktualizacji z Windows 10 maja 2021 r. (wersja 21H1).

Przykładowe dane wyjściowe szczegółów urządzenia

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Szczegóły dzierżawy

Szczegóły dzierżawy są wyświetlane tylko wtedy, gdy urządzenie jest przyłączone do usługi Azure AD lub dołączone hybrydowo do usługi Azure AD, a nie zarejestrowane w usłudze Azure AD. W tej sekcji wymieniono typowe szczegóły dzierżawy wyświetlane po dołączeniu urządzenia do usługi Azure AD.

Uwaga

Jeśli pola adresu URL zarządzania urządzeniami przenośnymi (MDM) w tej sekcji są puste, oznacza to, że zarządzanie urządzeniami przenośnymi nie zostało skonfigurowane lub że bieżący użytkownik nie znajduje się w zakresie rejestracji w usłudze MDM. Sprawdź ustawienia mobilności w usłudze Azure AD, aby przejrzeć konfigurację zarządzania urządzeniami przenośnymi.

Uwaga

Nawet jeśli widzisz adresy URL zarządzania urządzeniami przenośnymi, nie oznacza to, że urządzenie jest zarządzane przez rozwiązanie MDM. Informacje są wyświetlane, jeśli dzierżawa ma konfigurację zarządzania urządzeniami przenośnymi na potrzeby automatycznej rejestracji, nawet jeśli samo urządzenie nie jest zarządzane.

Przykładowe dane wyjściowe szczegółów dzierżawy

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stan użytkownika

Ta sekcja zawiera listę stanów różnych atrybutów dla użytkowników, którzy są obecnie zalogowani do urządzenia.

Uwaga

Aby pobrać prawidłowy stan, polecenie musi zostać uruchomione w kontekście użytkownika.

  • NgcSet: ustaw stan TAK, jeśli dla bieżącego zalogowanego użytkownika ustawiono klucz Windows Hello.
  • NgcKeyId: identyfikator klucza Windows Hello, jeśli jest ustawiony dla bieżącego zalogowanego użytkownika.
  • CanReset: określa, czy klucz Windows Hello może zostać zresetowany przez użytkownika.
  • Możliwe wartości: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub Unknown if error.
  • WorkplaceJoined: ustaw stan TAK , jeśli konta zarejestrowane w usłudze Azure AD zostały dodane do urządzenia w bieżącym kontekście NTUSER.
  • WamDefaultSet: ustaw stan TAK , jeśli dla zalogowanego użytkownika zostanie utworzony domyślny konto WebAccount menedżera kont sieci Web (WAM). To pole może wyświetlić błąd w przypadku dsregcmd /status uruchomienia z wiersza polecenia z podwyższonym poziomem uprawnień.
  • WamDefaultAuthority: ustaw stan na organizacje dla usługi Azure AD.
  • WamDefaultId: zawsze używaj https://login.microsoft.com dla usługi Azure AD.
  • WamDefaultGUID: identyfikator GUID dostawcy WAM (konto Azure AD/Microsoft) dla domyślnego konta WAM WebAccount.

Przykładowe dane wyjściowe stanu użytkownika

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stan logowania jednokrotnego

Tę sekcję można zignorować dla urządzeń zarejestrowanych w usłudze Azure AD.

Uwaga

Polecenie musi zostać uruchomione w kontekście użytkownika, aby pobrać prawidłowy stan tego użytkownika.

  • AzureAdPrt: ustaw stan TAK , jeśli podstawowy token odświeżania (PRT) jest obecny na urządzeniu dla zalogowanego użytkownika.
  • AzureAdPrtUpdateTime: ustaw stan na godzinę w uniwersalnym czasie koordynowanym (UTC), kiedy żądanie PRT zostało ostatnio zaktualizowane.
  • AzureAdPrtExpiryTime: ustaw stan na godzinę w formacie UTC, kiedy żądanie PRT wygaśnie, jeśli nie zostanie odnowione.
  • AzureAdPrtAuthority: adres URL urzędu usługi Azure AD
  • EnterprisePrt: ustaw stan TAK, jeśli urządzenie ma prT z usług federacyjnych lokalna usługa Active Directory (AD FS). W przypadku urządzeń przyłączonych hybrydowo do usługi Azure AD urządzenie może mieć jednocześnie prT zarówno z usługi Azure AD, jak i lokalna usługa Active Directory. Urządzenia przyłączone do środowiska lokalnego będą miały tylko Enterprise PRT.
  • EnterprisePrtUpdateTime: ustaw stan na godzinę w formacie UTC, kiedy Enterprise żądanie ściągnięcia zostało ostatnio zaktualizowane.
  • EnterprisePrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
  • EnterprisePrtAuthority: adres URL urzędu usług AD FS

Uwaga

Następujące pola diagnostyki PRT zostały dodane w aktualizacji Windows 10 maja 2021 r. (wersja 21H1).

Uwaga

  • Informacje diagnostyczne wyświetlane w polu AzureAdPrt są przeznaczone do pozyskiwania lub odświeżania żądania ściągnięcia lub odświeżania usługi Azure AD, a informacje diagnostyczne wyświetlane w polu EnterprisePrt są przeznaczone do Enterprise pozyskiwania lub odświeżania prT.
  • Informacje diagnostyczne są wyświetlane tylko wtedy, gdy po ostatnim pomyślnym czasie aktualizacji PRT wystąpił błąd pozyskiwania lub odświeżania (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na urządzeniu udostępnionym te informacje diagnostyczne mogą pochodzić z próby logowania innego użytkownika.
  • AcquirePrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
  • Poprzednia próba ściągnięcia: godzina lokalna w formacie UTC, o której wystąpiła nieudana próba PRT.
  • Stan próby: zwrócony kod błędu klienta (HRESULT).
  • Tożsamość użytkownika: nazwa UPN użytkownika, dla którego podjęto próbę prT.
  • Typ poświadczeń: poświadczenia używane do uzyskiwania lub odświeżania żądania ściągnięcia. Typowe typy poświadczeń to Hasło i Poświadczenia nowej generacji (NGC) (dla Windows Hello).
  • Identyfikator korelacji: identyfikator korelacji wysyłany przez serwer dla nieudanej próby PRT.
  • Identyfikator URI punktu końcowego: ostatni punkt końcowy, do który uzyskiwał dostęp przed awarią.
  • Metoda HTTP: metoda HTTP używana do uzyskiwania dostępu do punktu końcowego.
  • Błąd HTTP: Kod błędu transportu WinHttp. Uzyskaj dodatkowe kody błędów sieci.
  • Stan HTTP: stan HTTP zwrócony przez punkt końcowy.
  • Kod błędu serwera: kod błędu z serwera.
  • Opis błędu serwera: komunikat o błędzie z serwera.
  • RefreshPrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne. Pola informacji diagnostycznych są takie same jak AcquirePrtDiagnostics

Przykładowe dane wyjściowe stanu logowania jednokrotnego

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs

+----------------------------------------------------------------------+

Dane diagnostyczne

Diagnostyka przed dołączeniem

Ta sekcja diagnostyki jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do usługi Azure AD.

Ta sekcja wykonuje różne testy, aby ułatwić diagnozowanie błędów sprzężenia. Informacje obejmują fazę błędu, kod błędu, identyfikator żądania serwera, stan http odpowiedzi serwera i komunikat o błędzie odpowiedzi serwera.

  • Kontekst użytkownika: kontekst, w którym jest uruchamiana diagnostyka. Możliwe wartości: SYSTEM, UŻYTKOWNIK Z PODWYŻSZONYM POZIOMEM UPRAWNIEŃ, UŻYTKOWNIK Z PODWYŻSZONYM POZIOMEM UPRAWNIEŃ.

    Uwaga

    Ponieważ rzeczywiste sprzężenie jest wykonywane w kontekście SYSTEM, uruchomienie diagnostyki w kontekście SYSTEM jest najbliżej rzeczywistego scenariusza sprzężenia. Aby uruchomić diagnostykę w kontekście SYSTEMU, dsregcmd /status należy uruchomić polecenie z wiersza polecenia z podwyższonym poziomem uprawnień.

  • Czas klienta: czas systemowy w formacie UTC.

  • Test łączności usługi AD: ten test wykonuje test łączności z kontrolerem domeny. Błąd w tym teście prawdopodobnie spowoduje błędy sprzężenia w fazie wstępnej kontroli.

  • Test konfiguracji usługi AD: ten test odczytuje i sprawdza, czy obiekt punktu połączenia usługi (SCP) jest prawidłowo skonfigurowany w lesie lokalna usługa Active Directory. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.

  • Test odnajdywania drS: ten test pobiera punkty końcowe usługi DRS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania.

  • Test łączności z usługą DRS: ten test wykonuje podstawowy test łączności z punktem końcowym usługi DRS.

  • Test pozyskiwania tokenu: ten test próbuje uzyskać token uwierzytelniania usługi Azure AD, jeśli dzierżawa użytkownika jest federacyjna. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie uwierzytelniania. Jeśli uwierzytelnianie nie powiedzie się, próba dołączenia do synchronizacji zostanie podjęta jako rezerwa, chyba że powrót zostanie jawnie wyłączony z następującymi ustawieniami klucza rejestru:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Powrót do funkcji Synchronizacja-Sprzężenie: ustaw stan Włączone , jeśli poprzedni klucz rejestru zapobiega wystąpieniu powrotu do synchronizacji sprzężenia z błędami uwierzytelniania nie istnieje. Ta opcja jest dostępna w wersji Windows 10 1803 lub nowszej.

  • Poprzednia rejestracja: czas, kiedy nastąpiła poprzednia próba dołączenia. Rejestrowane są tylko nieudane próby przyłączenia.

  • Faza błędu: etap sprzężenia, w którym został przerwany. Możliwe wartości to wstępne sprawdzanie, odnajdywanie, uwierzytelnianie i dołączanie.

  • Kod błędu klienta: zwrócony kod błędu klienta (HRESULT).

  • Server ErrorCode: kod błędu serwera, który jest wyświetlany, jeśli żądanie zostało wysłane do serwera, a serwer odpowiedział kodem błędu.

  • Komunikat serwera: komunikat serwera, który jest zwracany wraz z kodem błędu.

  • Stan https: stan HTTP zwrócony przez serwer.

  • Identyfikator żądania: identyfikator żądania klienta, który jest wysyłany do serwera. Identyfikator żądania jest przydatny do korelowania z dziennikami po stronie serwera.

Przykładowe dane diagnostyczne przed dołączeniem

W poniższym przykładzie pokazano, że test diagnostyczny kończy się niepowodzeniem z powodu błędu odnajdywania.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

W poniższym przykładzie pokazano, że testy diagnostyczne przechodzą pomyślnie, ale próba rejestracji nie powiodła się z powodu błędu katalogu, który jest oczekiwany w przypadku sprzężenia synchronizacji. Po zakończeniu zadania synchronizacji usługi Azure AD Połączenie urządzenie jest w stanie dołączyć.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostyka po dołączeniach

W tej sekcji diagnostyki są wyświetlane dane wyjściowe kontroli kondycji wykonane na urządzeniu dołączonym do chmury.

  • AadRecoveryEnabled: jeśli wartość to TAK, klucze przechowywane na urządzeniu nie mogą być używane, a urządzenie jest oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.
  • KeySignTest: jeśli wartość jest PRZEKAZANA, klucze urządzeń są w dobrej kondycji. Jeśli narzędzie KeySignTest zakończy się niepowodzeniem, urządzenie jest zwykle oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia. W przypadku urządzeń przyłączonych hybrydowo do usługi Azure AD odzyskiwanie jest dyskretne. Urządzenia są przyłączone do usługi Azure AD lub zarejestrowane w usłudze Azure AD, ale w razie potrzeby monitują o uwierzytelnianie użytkownika w celu odzyskania i ponownego zarejestrowania urządzenia.

    Uwaga

    Test KeySignTest wymaga podniesionych uprawnień.

Przykładowe dane wyjściowe diagnostyki po sprzężeniach

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Sprawdzanie wymagań wstępnych NGC

Ta sekcja diagnostyki wykonuje sprawdzanie wymagań wstępnych dotyczących konfigurowania Windows Hello dla firm (WHFB).

Uwaga

Szczegóły wymagań wstępnych NGC mogą nie być widoczne, dsregcmd /status jeśli użytkownik pomyślnie skonfigurował usługę WHFB.

  • IsDeviceJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do usługi Azure AD.
  • IsUserAzureAD: ustaw stan TAK , jeśli zalogowany użytkownik jest obecny w usłudze Azure AD.
  • PolicyEnabled: ustaw stan TAK , jeśli zasady funkcji WHFB są włączone na urządzeniu.
  • PostLogonEnabled: ustaw stan TAK , jeśli rejestracja WHFB jest wyzwalana natywnie przez platformę. Jeśli stan ma wartość NIE, oznacza to, że Windows Hello dla firm rejestracja jest wyzwalana przez mechanizm niestandardowy.
  • DeviceEligible: ustaw stan TAK , jeśli urządzenie spełnia wymagania sprzętowe dotyczące rejestrowania przy użyciu funkcji WHFB.
  • SessionIsNotRemote: ustaw stan TAK , jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.
  • CertEnrollment: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB, wskazując urząd rejestracji certyfikatów dla WHFB. Ustaw stan na urząd rejestracji, jeśli źródło zasad WHFB jest zasady grupy lub ustaw je na zarządzanie urządzeniami przenośnymi, jeśli źródłem jest MDM. Jeśli żaden ze źródeł nie ma zastosowania, ustaw stan na brak.
  • AdfsRefreshToken: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustawienie wskazuje, czy urządzenie ma żądanie PRT przedsiębiorstwa dla użytkownika.
  • AdfsRaIsReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan TAK , jeśli usługi AD FS wskazują w metadanych odnajdywania, które obsługują WHFB , a szablon certyfikatu logowania jest dostępny.
  • LogonCertTemplateReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan TAK , jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga w rozwiązywaniu problemów z urzędem rejestracji usług AD FS (RA).
  • PreReqResult: zapewnia wynik oceny wszystkich wymagań wstępnych WHFB. Ustaw stan Na Wartość Will Provision , jeśli rejestracja WHFB zostanie uruchomiona jako zadanie po zalogowaniu się, gdy użytkownik zaloguje się następnym razem.

Przykładowe wymagania wstępne NGC sprawdzają dane wyjściowe

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Następne kroki

Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.