Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmdTroubleshooting devices using the dsregcmd command

Narzędzie dsregcmd/status musi być uruchamiane jako konto użytkownika domeny.The dsregcmd /status utility must be run as a domain user account.

Stan urządzeniaDevice state

Ta sekcja zawiera listę parametrów stanu przyłączania urządzenia.This section lists the device join state parameters. W poniższej tabeli przedstawiono kryteria dla urządzenia w różnych stanach sprzężenia.The table below lists the criteria for the device to be in various join states.

AzureAdJoinedAzureAdJoined EnterpriseJoinedEnterpriseJoined DomainJoinedDomainJoined Stan urządzeniaDevice state
TAKYES NONO NONO Przyłączone do usługi Azure ADAzure AD Joined
NONO NONO TAKYES Przyłączone do domenyDomain Joined
TAKYES NONO TAKYES Dołączono do hybrydowej usługi ADHybrid AD Joined
NONO TAKYES TAKYES Lokalne DRS dołączoneOn-premises DRS Joined

Uwaga

W sekcji "stan użytkownika" jest wyświetlany stan Workplace Join (zarejestrowane w usłudze Azure AD)Workplace Join (Azure AD registered) state is displayed in the "User State" section

  • AzureAdJoined: -ustaw na wartość "tak", jeśli urządzenie jest przyłączone do usługi Azure AD.AzureAdJoined: - Set to “YES” if the device is Joined to Azure AD. "Nie" w przeciwnym razie.“NO” otherwise.
  • EnterpriseJoined: -ustaw na wartość "yes", jeśli urządzenie jest przyłączone do lokalnego DRS.EnterpriseJoined: - Set to “YES” if the device is Joined to an on-premises DRS. Urządzenie nie może być zarówno EnterpriseJoined, jak i AzureAdJoined.A device cannot be both EnterpriseJoined and AzureAdJoined.
  • DomainJoined: -ustaw na wartość "tak", jeśli urządzenie jest przyłączone do domeny (AD).DomainJoined: - Set to “YES” if the device is joined to a domain (AD).
  • Nazwa_domeny: -ustawiana jako nazwa domeny, jeśli urządzenie jest przyłączone do domeny.DomainName: - Set to the name of the domain if the device is joined to a domain.

Przykładowe dane wyjściowe stanu urządzeniaSample device state output

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Szczegóły urządzeniaDevice details

Wyświetlane tylko wtedy, gdy urządzenie jest dołączone do usługi Azure AD lub dołączono hybrydową usługę Azure AD (nie zarejestrowano usługi Azure AD).Displayed only when the device is Azure AD joined or hybrid Azure AD joined (not Azure AD registered). Ta sekcja zawiera informacje o urządzeniach identyfikujących dane przechowywane w chmurze.This section lists device identifying details stored in the cloud.

  • DeviceID: — unikatowy identyfikator urządzenia w dzierżawie usługi Azure ADDeviceId: - Unique ID of the device in the Azure AD tenant
  • Odcisk palca: -odcisk palca certyfikatu urządzeniaThumbprint: - Thumbprint of the device certificate
  • DeviceCertificateValidity: — ważność certyfikatu urządzeniaDeviceCertificateValidity: - Validity of the device certificate
  • KeyContainerId: -ContainerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzeniaKeyContainerId: - ContainerId of the device private key associated with the device certificate
  • Kluczowy : -Key (sprzęt/oprogramowanie) służący do przechowywania klucza prywatnego urządzenia.KeyProvider: - KeyProvider (Hardware/Software) used to store the device private key.
  • TpmProtected: -"yes", jeśli klucz prywatny urządzenia jest przechowywany w SPRZĘTOWYM module TPM.TpmProtected: - “YES” if the device private key is stored in a Hardware TPM.

Przykładowe dane wyjściowe szczegółów urządzeniaSample device details output

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
+----------------------------------------------------------------------+

Szczegóły dzierżawyTenant details

Wyświetlane tylko wtedy, gdy urządzenie jest dołączone do usługi Azure AD lub dołączono hybrydową usługę Azure AD (nie zarejestrowano usługi Azure AD).Displayed only when the device is Azure AD joined or hybrid Azure AD joined (not Azure AD registered). Ta sekcja zawiera szczegółowe informacje o typowych dzierżawach, gdy urządzenie jest przyłączone do usługi Azure AD.This section lists the common tenant details when a device is joined to Azure AD.

Uwaga

Jeśli adresy URL zarządzania urządzeniami przenośnymi w tej sekcji są puste, oznacza to, że zarządzanie urządzeniami przenośnymi nie zostało skonfigurowane lub bieżący użytkownik nie jest objęty zakresem rejestracji w usłudze MDM.If the MDM URLs in this section are empty, it indicates that the MDM was either not configured or current user is not in scope of MDM enrollment. Sprawdź ustawienia mobilności w usłudze Azure AD, aby przejrzeć konfigurację usługi MDM.Check the Mobility settings in Azure AD to review your MDM configuration.

Uwaga

Nawet jeśli widzisz adresy URL MDM, nie oznacza to, że urządzenie jest zarządzane przez MDM.Even if you see MDM URLs this does not mean that the device is managed by an MDM. Informacje są wyświetlane, jeśli dzierżawa ma konfigurację MDM na potrzeby automatycznego rejestrowania, nawet jeśli samo urządzenie nie jest zarządzane.The information is displayed if the tenant has MDM configuration for auto-enrollment even if the device itself is not managed.

Przykładowe dane wyjściowe szczegółowej dzierżawySample tenant details output

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stan użytkownikaUser state

Ta sekcja zawiera listę stanów różnych atrybutów dla użytkownika aktualnie zalogowanego na urządzeniu.This section lists the status of various attributes for the user currently logged into the device.

Uwaga

Polecenie musi zostać uruchomione w kontekście użytkownika, aby można było pobrać prawidłowy stan.The command must run in a user context to retrieve valid status.

  • NgcSet: -ustaw wartość "yes" (tak), jeśli ustawiono klucz powitalny systemu Windows dla aktualnie zalogowanego użytkownika.NgcSet: - Set to “YES” if a Windows Hello key is set for the current logged on user.
  • NgcKeyId: -ID klucza Hello systemu Windows, jeśli jest ustawiony dla bieżącego zalogowanego użytkownika.NgcKeyId: - ID of the Windows Hello key if one is set for the current logged on user.
  • Resetowanie: -wskazuje, czy klucz powitalny systemu Windows może być resetowany przez użytkownika.CanReset: - Denotes if the Windows Hello key can be reset by the user.
  • Możliwe wartości: -DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub nieznany, jeśli wystąpi błąd.Possible values: - DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, or Unknown if error.
  • WorkplaceJoined: -ustaw wartość "tak", jeśli zarejestrowane konta usługi Azure AD zostały dodane do urządzenia w bieżącym kontekście ntuser.WorkplaceJoined: - Set to “YES” if Azure AD registered accounts have been added to the device in the current NTUSER context.
  • WamDefaultSet: -ustaw na wartość "yes", jeśli dla zalogowanego użytkownika zostanie utworzone domyślne konto webaccount.WamDefaultSet: - Set to “YES” if a WAM default WebAccount is created for the logged in user. W tym polu może być wyświetlany komunikat o błędzie, jeśli dsreg/status jest uruchamiany z wiersza polecenia z podwyższonym poziomem uprawnień.This field could display an error if dsreg /status is run from an elevated command prompt.
  • WamDefaultAuthority: -jako "organizacje" dla usługi Azure AD.WamDefaultAuthority: - Set to “organizations” for Azure AD.
  • WamDefaultId: -Always " https://login.microsoft.com " dla usługi Azure AD.WamDefaultId: - Always “https://login.microsoft.com” for Azure AD.
  • WamDefaultGUID: — identyfikator GUID dostawcy wam (Azure AD/konto Microsoft) dla domyślnego konta Web.WamDefaultGUID: - The WAM provider’s (Azure AD/Microsoft account) GUID for the default WAM WebAccount.

Dane wyjściowe przykładowego stanu użytkownikaSample user state output

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stan logowania jednokrotnegoSSO state

Ta sekcja może być ignorowana w przypadku urządzeń zarejestrowanych w usłudze Azure AD.This section can be ignored for Azure AD registered devices.

Uwaga

Polecenie musi zostać uruchomione w kontekście użytkownika, aby można było pobrać prawidłowy stan dla tego użytkownika.The command must run in a user context to retrieve valid status for that user.

  • AzureAdPrt: -ustaw na wartość "yes", jeśli na urządzeniu znajduje się PRT zalogowanego użytkownika.AzureAdPrt: - Set to “YES” if a PRT is present on the device for the logged-on user.
  • AzureAdPrtUpdateTime: -ustawiono godzinę w formacie UTC ostatniej aktualizacji PRT.AzureAdPrtUpdateTime: - Set to the time in UTC when the PRT was last updated.
  • AzureAdPrtExpiryTime: -Ustaw czas w formacie UTC, gdy PRT ma wygasnąć, jeśli nie zostanie odnowiony.AzureAdPrtExpiryTime: - Set to the time in UTC when the PRT is going to expire if it is not renewed.
  • AzureAdPrtAuthority: — adres URL urzędu usługi Azure ADAzureAdPrtAuthority: - Azure AD authority URL
  • EnterprisePrt: -ustaw wartość "yes" (tak), jeśli urządzenie ma PRT z lokalnych usług AD FS.EnterprisePrt: - Set to “YES” if the device has PRT from on-premises ADFS. W przypadku urządzeń przyłączonych do hybrydowej usługi Azure AD urządzenie może mieć jednocześnie PRT z usługi Azure AD i lokalnej usługi AD.For hybrid Azure AD joined devices the device could have PRT from both Azure AD and on-premises AD simultaneously. Lokalne urządzenia przyłączone będą mieć tylko PRT Enterprise.On-premises joined devices will only have an Enterprise PRT.
  • EnterprisePrtUpdateTime: -ustawiono godzinę w formacie UTC ostatniej aktualizacji przedsiębiorstwa PRT.EnterprisePrtUpdateTime: - Set to the time in UTC when the Enterprise PRT was last updated.
  • EnterprisePrtExpiryTime: -Ustaw czas w formacie UTC, gdy PRT ma wygasnąć, jeśli nie zostanie odnowiony.EnterprisePrtExpiryTime: - Set to the time in UTC when the PRT is going to expire if it is not renewed.
  • EnterprisePrtAuthority: — adres URL urzędu ADFSEnterprisePrtAuthority: - ADFS authority URL

Przykład danych wyjściowych stanu logowania jednokrotnegoSample SSO state output

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2019-01-24 19:15:26.000 UTC
      AzureAdPrtExpiryTime : 2019-02-07 19:15:26.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs

+----------------------------------------------------------------------+

Dane diagnostyczneDiagnostic data

Diagnostyka przed dołączeniemPre-join diagnostics

Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może wykonać hybrydowego sprzężenia usługi Azure AD.This section is displayed only if the device is domain joined and is unable to hybrid Azure AD join.

Ta sekcja wykonuje różne testy ułatwiające zdiagnozowanie błędów sprzężeń.This section performs various tests to help diagnose join failures. Ta sekcja zawiera również szczegóły poprzedniej (?).This section also includes the details of the previous (?). Te informacje obejmują fazę błędu, kod błędu, identyfikator żądania serwera, stan HTTP odpowiedzi serwera, komunikat o błędzie odpowiedzi serwera.This information includes the error phase, the error code, the server request ID, server response http status, server response error message.

  • Kontekst użytkownika: — kontekst, w którym uruchomiono diagnostykę.User Context: - The context in which the diagnostics are run. Możliwe wartości: SYSTEM, niepodwyższony poziom użytkownika, PODWYŻSZONy użytkownik.Possible values: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Uwaga

    Ponieważ rzeczywiste sprzężenie jest wykonywane w kontekście systemu, uruchomienie diagnostyki w kontekście systemu jest najbliżej rzeczywistego scenariusza sprzężenia.Since the actual join is performed in SYSTEM context, running the diagnostics in SYSTEM context is closest to the actual join scenario. Aby uruchomić diagnostykę w kontekście systemu, polecenie dsregcmd/status musi być uruchamiane z wiersza polecenia z podwyższonym poziomem uprawnień.To run diagnostics in SYSTEM context, the dsregcmd /status command must be run from an elevated command prompt.

  • Czas klienta: — czas systemowy w formacie UTC.Client Time: - The system time in UTC.

  • Test łączności z usługą AD: -test wykonuje test łączności z kontrolerem domeny.AD Connectivity Test: - Test performs a connectivity test to the domain controller. Błąd w tym teście prawdopodobnie spowoduje błędy sprzężenia w fazie wstępnego sprawdzania.Error in this test will likely result in Join errors in pre-check phase.

  • Test konfiguracji usługi AD: -test odczytuje i weryfikuje, czy obiekt SCP jest prawidłowo skonfigurowany w lokalnym lesie usługi AD.AD Configuration Test: - Test reads and verifies whether the SCP object is configured properly in the on-premises AD forest. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.Errors in this test would likely result in Join errors in the discover phase with the error code 0x801c001d.

  • Test odnajdywania DRS: -test pobiera punkty końcowe DRS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika.DRS Discovery Test: - Test gets the DRS endpoints from discovery metadata endpoint and performs a user realm request. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania.Errors in this test would likely result in Join errors in the discover phase.

  • Test łączności DRS: -test wykonuje Basic test łączności do punktu końcowego DRS.DRS Connectivity Test: - Test performs basic connectivity test to the DRS endpoint.

  • Test pozyskiwania tokenu: -test próbuje uzyskać token uwierzytelniania usługi Azure AD, Jeśli dzierżawca użytkownika jest federacyjny.Token acquisition Test: - Test tries to get an Azure AD authentication token if the user tenant is federated. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie uwierzytelniania.Errors in this test would likely result in Join errors in the auth phase. Jeśli uwierzytelnianie nie powiedzie się, zostanie podjęta próba połączenia z funkcją powrotu, chyba że rezerwowa zostanie jawnie wyłączona przy użyciu poniższych ustawień klucza rejestru.If auth fails sync join will be attempted as fallback, unless fallback is explicitly disabled with the below registry key settings.

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
  • Powrót do synchronizacji-Join: -ustaw wartość "Enabled" (włączone), Jeśli powyższy klucz rejestru, aby zapobiec dołączeniu powrotu do synchronizacji z błędami uwierzytelniania, nie jest obecny.Fallback to Sync-Join: - Set to “Enabled” if the above registry key, to prevent the fallback to sync join with auth failures, is NOT present. Ta opcja jest dostępna w systemie Windows 10 1803 i nowszych.This option is available from Windows 10 1803 and later.
  • Poprzednia rejestracja: godzina poprzednia próba dołączenia.Previous Registration: - Time the previous Join attempt occurred. Rejestrowane są tylko nieudane próby dołączenia.Only failed Join attempts are logged.
  • Faza błędu: -etap dołączania, w którym został przerwany.Error Phase: - The stage of the join in which it was aborted. Możliwe wartości to wstępne sprawdzanie, odnajdowanie, uwierzytelnianie, połączenie.Possible values are pre-check, discover, auth, join.
  • Kod błędu klienta: -zwrócony kod błędu klienta (HRESULT).Client ErrorCode: - Client error code returned (HRESULT).
  • Kod błędu serwera: -serwer o kodzie, jeśli żądanie zostało wysłane do serwera, a serwer odpowiedział z kodem błędu.Server ErrorCode: - Server error code if a request was sent to the server and server responded back with an error code.
  • Komunikat serwera: — zwrócony komunikat serwera wraz z kodem błędu.Server Message: - Server message returned along with the error code.
  • Stan protokołu https: — stan http zwrócony przez serwer.Https Status: - Http status returned by the server.
  • Identyfikator żądania:-żądanie klienta wysłane do serwera.Request ID: - The client requestId sent to the server. Przydatne do skorelowania z dziennikami po stronie serwera.Useful to correlate with server-side logs.

Przykładowe dane wyjściowe diagnostyki przed dołączeniemSample pre-join diagnostics output

Poniższy przykład pokazuje, że test diagnostyczny kończy się niepowodzeniem z błędem odnajdywania.The following example shows diagnostics test failing with a discovery error.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

W poniższym przykładzie przedstawiono testy diagnostyczne przekazywane, ale próba rejestracji nie powiodła się z powodu błędu katalogu, który jest oczekiwany dla sprzężenia synchronizacji.The following example shows diagnostics tests are passing but the registration attempt failed with a directory error, which is expected for sync join. Po zakończeniu zadania synchronizacji Azure AD Connect urządzenie będzie mogło nawiązać połączenie.Once the Azure AD Connect synchronization job completes, the device will be able to join.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostyka po przyłączeniuPost-join diagnostics

W tej sekcji przedstawiono dane wyjściowe testów Sanity wykonanych na urządzeniu przyłączonym do chmury.This section displays the output of sanity checks performed on a device joined to the cloud.

  • AadRecoveryEnabled: — Jeśli tak, klucze przechowywane na urządzeniu nie są używane, a urządzenie jest oznaczone do odzyskania.AadRecoveryEnabled: - If “YES”, the keys stored in the device are not usable and the device is marked for recovery. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.The next sign in will trigger the recovery flow and re-register the device.
  • KeySignTest: -IF "Passed" klucze urządzeń są w dobrej kondycji.KeySignTest: - If “PASSED” the device keys are in good health. Jeśli KeySignTest nie powiedzie się, urządzenie będzie zazwyczaj oznaczone do odzyskania.If KeySignTest fails, the device will usually be marked for recovery. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.The next sign in will trigger the recovery flow and re-register the device. W przypadku urządzeń przyłączonych do hybrydowej usługi Azure AD odzyskiwanie jest dyskretne.For hybrid Azure AD joined devices the recovery is silent. Gdy usługa Azure AD przyłączona lub zarejestrowano usługę Azure AD, urządzenia wyświetlą monit o uwierzytelnienie użytkownika w celu odzyskania i ponownego zarejestrowania urządzenia w razie potrzeby.While Azure AD joined or Azure AD registered, devices will prompt for user authentication to recover and re-register the device if necessary. KeySignTest wymaga podniesionych uprawnień.The KeySignTest requires elevated privileges.

Przykładowe dane wyjściowe diagnostyki po dołączeniuSample post-join diagnostics output

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Sprawdzanie wymagań wstępnych NGCNGC prerequisite check

W tej sekcji są wykonywane oryginalne checks dla aprowizacji usługi Windows Hello dla firm (WHFB).This section performs the perquisite checks for the provisioning of Windows Hello for Business (WHFB).

Uwaga

Szczegóły sprawdzania wymagań wstępnych NGC w dsregcmd/status mogą nie być widoczne, jeśli użytkownik pomyślnie skonfigurował już WHFB.You may not see NGC pre-requisite check details in dsregcmd /status if the user already successfully configured WHFB.

  • IsDeviceJoined: -ustaw na wartość "tak", jeśli urządzenie jest przyłączone do usługi Azure AD.IsDeviceJoined: - Set to “YES” if the device is joined to Azure AD.
  • IsUserAzureAD: -ustaw na wartość "tak", Jeśli zalogowany użytkownik jest obecny w usłudze Azure AD.IsUserAzureAD: - Set to “YES” if the logged in user is present in Azure AD .
  • PolicyEnabled: -ustaw na wartość "yes", jeśli na urządzeniu włączono zasady WHFB.PolicyEnabled: - Set to "YES" if the WHFB policy is enabled on the device.
  • PostLogonEnabled: -ustaw na wartość "yes", jeśli rejestracja WHFB jest natywnie wywoływana przez platformę.PostLogonEnabled: - Set to "YES" if WHFB enrollment is triggered natively by the platform. Jeśli jest ustawiona na wartość "nie", oznacza to, że rejestracja w usłudze Windows Hello dla firm jest wyzwalana przez mechanizm niestandardowyIf it's set to "NO", it indicates that Windows Hello for Business enrollment is triggered by a custom mechanism
  • DeviceEligible: -ustaw wartość "yes" (tak), jeśli urządzenie spełnia wymagania sprzętowe wymagane do zarejestrowania się w usłudze WHFB.DeviceEligible: - Set to “YES” if the device meets the hardware requirement for enrolling with WHFB.
  • SessionIsNotRemote: -ustaw na wartość "tak", jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.SessionIsNotRemote: - Set to “YES” if the current user is logged in directly to the device and not remotely.
  • CertEnrollment: -specyficzne dla WHFB wdrożenie zaufania certyfikatu wskazujące urząd rejestracji certyfikatu dla WHFB.CertEnrollment: - Specific to WHFB Certificate Trust deployment, indicating the certificate enrollment authority for WHFB. Ustaw wartość "urząd rejestracji", jeśli źródło zasad WHFB jest zasady grupy "Zarządzanie urządzeniami przenośnymi", jeśli źródłem jest MDM.Set to “enrollment authority” if source of WHFB policy is Group Policy, “mobile device management” if source is MDM. "Brak" w przeciwnym razie“none” otherwise
  • AdfsRefreshToken: — specyficzne dla wdrożenia zaufania certyfikatu WHFB.AdfsRefreshToken: - Specific to WHFB Certificate Trust deployment. Występuje tylko wtedy, gdy CertEnrollment jest "urząd rejestracji".Only present if CertEnrollment is “enrollment authority”. Wskazuje, czy urządzenie ma PRT Enterprise dla użytkownika.Indicates if the device has an enterprise PRT for the user.
  • AdfsRaIsReady: — specyficzne dla wdrożenia zaufania certyfikatu WHFB.AdfsRaIsReady: - Specific to WHFB Certificate Trust deployment. Występuje tylko wtedy, gdy CertEnrollment jest "urząd rejestracji".Only present if CertEnrollment is “enrollment authority”. Ustaw wartość "YES" (tak), jeśli w metadanych odnajdowania określono obsługę WHFB oraz szablon certyfikatu logowania.Set to “YES” if ADFS indicated in discovery metadata that it supports WHFB and if logon certificate template is available.
  • LogonCertTemplateReady: — specyficzne dla wdrożenia zaufania certyfikatu WHFB.LogonCertTemplateReady: - Specific to WHFB Certificate Trust deployment. Występuje tylko wtedy, gdy CertEnrollment jest "urząd rejestracji".Only present if CertEnrollment is “enrollment authority”. Ustaw wartość "tak", jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga w rozwiązywaniu problemów z urzędem rejestrowania usług AD FS.Set to “YES” if state of logon certificate template is valid and helps troubleshoot ADFS RA.
  • PreReqResult: — zapewnia wynik całej oceny wymagań wstępnych WHFB.PreReqResult: - Provides result of all WHFB prerequisite evaluation. Ustawienie "przyinicjuje obsługę", jeśli rejestracja WHFB będzie uruchamiana jako zadanie po zalogowaniu, gdy użytkownik zaloguje się w następnym czasie.Set to “Will Provision” if WHFB enrollment would be launched as a post-logon task when user signs in next time.

Przykładowe dane wyjściowe sprawdzania wymagań wstępnych NGCSample NGC prerequisite check output

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Następne krokiNext steps

Pytania można znaleźć w temacie często zadawane pytania dotyczące zarządzania urządzeniamiFor questions, see the device management FAQ