Résoudre les problèmes liés aux appareils à l’aide de la commande dsregcmd

Cet article explique comment utiliser le résultat de la commande dsregcmd pour comprendre l’état des appareils dans Microsoft Entra ID. L’utilitaire dsregcmd /status doit être exécuté en tant que compte d’utilisateur de domaine.

État de l’appareil

Cette section répertorie les paramètres de l’état de jointure de l’appareil. Les critères requis pour que l’appareil se trouve dans différents états de jointure sont répertoriés dans le tableau suivant :

AzureAdJoined EnterpriseJoined DomainJoined État de l’appareil
OUI NON NON Joint à Microsoft Entra
NON NON OUI Joint à un domaine
OUI NON OUI Jonction hybride Microsoft Entra
NON OUI OUI Joint à DRS localement

Remarque

L’état Workplace Joined (Microsoft Entra enregistré) est affiché dans la section « État de l’utilisateur ».

  • AzureAdJoined : définissez l'état sur OUI si l'appareil est joint à Microsoft Entra ID. Sinon, définissez l’état sur NO.
  • EnterpriseJoined : définissez sur l’état YES si l’appareil est joint à un service de réplication de données local (DRS). Un appareil ne peut pas être à la fois EnterpriseJoined et AzureAdJoined.
  • DomainJoined : définissez sur l’état YES si l’appareil est joint à un domaine (Active Directory).
  • DomainName : définissez sur l’état le nom du domaine si l’appareil est joint à un domaine.

Exemple de sortie d’état de l’appareil

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Informations sur l’appareil

L'état s'affiche uniquement lorsque l'appareil est joint à Microsoft Entra ou à Microsoft Entra hybride (non enregistré à Microsoft Entra). Cette section répertorie les détails d'identification de l'appareil qui sont stockés dans Microsoft Entra ID.

  • DeviceId : ID unique de l’appareil dans le locataire Microsoft Entra.
  • Empreinte : l’empreinte du certificat de l’appareil.
  • DeviceCertificateValidity : l’état de validité du certificat de l’appareil.
  • KeyContainerId : le ContainerId de la clé privée de l’appareil associée au certificat de l’appareil.
  • KeyProvider : le fournisseur de clé (matériel/logiciel) utilisé pour stocker la clé privée de l’appareil.
  • TpmProtected : définissez sur l’état YES si la clé privée de l’appareil est stockée dans un module de plateforme sécurisée (TPM) matériel.
  • DeviceAuthStatus : effectue une vérification pour déterminer l’état de santé de l’appareil dans Microsoft Entra ID. Les états d’intégrité sont :
    • SUCCÈS si l'appareil est présent et activé dans Microsoft Entra ID.
    • ÉCHEC. L’appareil est soit désactivé, soit supprimé Si l’appareil est soit désactivé, soit supprimé. Pour plus d’informations sur ce problème, consultez la FAQ sur la gestion des appareils Microsoft Entra.
    • ÉCHEC. ERROR Si le test n’a pas pu s’exécuter. Ce test nécessite une connectivité réseau à Microsoft Entra ID dans le contexte système.

    Remarque

    Le champ DeviceAuthStatus a été ajouté dans la mise à jour de mai 2021 de Windows 10 (version 21H1).

  • Virtual Desktop : Cela apparaît dans trois cas.
    • NOT SET : les métadonnées d’appareil VDI ne sont pas présentes sur l’appareil.
    • YES : Les métadonnées d’appareil VDI sont présentes et les sorties dsregcmd sont associées aux métadonnées, notamment :
      • Provider : Nom du fournisseur VDI.
      • Type : VDI persistant ou VDI non persistant.
      • User mode : mono-utilisateur ou multi-utilisateur.
      • Extensions : nombre de paires clés-valeurs dans les métadonnées spécifiques au fournisseur facultatives, suivi des paires clés-valeurs en question.
    • INVALID : Les métadonnées de l’appareil VDI sont présentes, mais ne sont pas définies correctement. Dans ce cas, dsregcmd génère les métadonnées incorrectes en sortie.

Exemple de sortie des détails de l’appareil

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Détails des locataires

Les détails du locataire s'affichent uniquement lorsque l'appareil est joint à Microsoft Entra ou à Microsoft Entra hybride, et non enregistré à Microsoft Entra. Cette section répertorie les détails du locataire commun qui s'affichent lorsqu'un appareil est joint à Microsoft Entra ID.

Remarque

Si les champs URL de gestion des appareils mobiles (MDM) de cette section sont vides, cela signifie que la MDM n’a pas été configurée ou que l’utilisateur actuel n’est pas dans la portée de l’inscription à la MDM. Vérifiez les paramètres de mobilité dans Microsoft Entra ID pour revoir votre configuration MDM.

Même si vous voyez des URL MDM, cela ne signifie pas que l’appareil est géré par un MDM. Les informations s’affichent si le locataire a une configuration MDM pour l’inscription automatique, même si l’appareil proprement dit n’est pas géré.

Exemple de sortie de détails du locataire

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

État utilisateur

Cette section répertorie les états de différents attributs pour les utilisateurs actuellement connectés à l’appareil.

Remarque

La commande doit s’exécuter dans un contexte utilisateur pour récupérer un état valide.

  • NgcSet : définissez sur l’état YES si une clé Windows Hello est définie pour l’utilisateur actuellement connecté.
  • NgcSet : l’ID de la clé Windows Hello si une telle clé est définie pour l’utilisateur actuellement connecté.
  • CanReset : indique si la clé Windows Hello peut être réinitialisée par l’utilisateur.
  • Valeurs possibles : DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive ou Unknown en cas d’erreur.
  • WorkplaceJoined : définissez l'état sur OUI si des comptes enregistrés Microsoft Entra ont été ajoutés à l'appareil dans le contexte NTUSER actuel.
  • WamDefaultSet : définissez sur l’état YES si un compte web WAM par défaut est créé pour l’utilisateur connecté. Ce champ peut afficher une erreur si dsregcmd /status est exécuté dans une invite de commandes avec élévation de privilèges.
  • WamDefaultAuthority : définissez l'état sur les organisations pour Microsoft Entra ID.
  • WamDefaultId : Toujours utiliser https://login.microsoft.com pour Microsoft Entra ID.
  • WamDefaultGUID : GUID du fournisseur WAM (Microsoft Entra ID/Microsoft) du compte WAM par défaut.

Exemple de sortie d’état utilisateur

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

État de la SSO

Vous pouvez ignorer cette section pour les appareils enregistrés Microsoft Entra.

Remarque

La commande doit s’exécuter dans un contexte utilisateur afin de récupérer un état valide pour cet utilisateur.

  • AzureAdPrt : définissez l’état sur YES si un jeton d’actualisation primaire (PRT) est présent sur l’appareil pour l’utilisateur connecté.
  • AzureAdPrtUpdateTime : définissez l’état sur l’heure, en temps universel coordonné (UTC, Universal Coordinated Time), de la dernière mise à jour du PRT.
  • AzureAdPrtExpiryTime : définissez sur l’état l’heure UTC de l’expiration du PRT s’il n’est pas renouvelé.
  • AzureAdPrtAuthority : L'URL de l'autorité Microsoft Entra
  • EnterprisePrt : définissez l’état sur YES si l’appareil a un PRT obtenu à partir de services de fédération Active Directory (AD FS) locaux. Pour les appareils connectés hybrides Microsoft Entra, l’appareil peut disposer simultanément d’un PRT provenant à la fois de l’ID Microsoft Entra et d’Active Directory sur site. Les appareils joints locaux ne disposent que d’un PRT d’entreprise.
  • EnterprisePrtUpdateTime : définissez sur l’état l’heure UTC de la dernière mise à jour du PRT d’entreprise.
  • EnterprisePrtExpiryTime : définissez sur l’état l’heure UTC de l’expiration du PRT s’il n’est pas renouvelé.
  • EnterprisePrtAuthority : l’URL de l’autorité AD FS

Remarque

Les champs de diagnostic PRT suivants ont été ajoutés dans la mise à jour de mai 2021 de Windows 10 (version 21H1).

  • Les informations de diagnostic affichées dans le champ AzureAdPrt concernent l'acquisition ou l'actualisation de Microsoft Entra PRT, et les informations de diagnostic affichées dans le champ EnterprisePrt concernent l'acquisition ou l'actualisation d'EnterprisePrt.
  • Les informations de diagnostic s’affichent uniquement si l’échec de l’acquisition/actualisation s’est produit après l’heure de la dernière mise à jour PRT réussie (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Sur un appareil partagé, ces informations de diagnostic peuvent provenir d’une tentative de connexion d’un autre utilisateur.
  • AcquirePrtDiagnostics : définissez l’état sur PRESENT si les informations de diagnostic PRT acquises sont présentes dans les journaux.
    • Ce champ est ignoré si aucune information de diagnostic n’est disponible.
  • Tentative de PRT précédente : l’heure locale UTC à laquelle la tentative de PRT a échoué.
  • État de la tentative : le code d’erreur client retourné (HRESULT).
  • Identité utilisateur : le nom d’utilisateur principal de l’utilisateur pour lequel la tentative de PRT a eu lieu.
  • Type d’informations d’identification : les informations d’identification utilisées pour acquérir ou actualiser le PRT. Les types d’informations d’identification courants sont le mot de passe et les informations d’identification de prochaine génération (NGC) (pour Windows Hello).
  • Identification de corrélation : l’ID de corrélation envoyé par le serveur pour l’échec de la tentative de PRT.
  • URI du point de terminaison : le dernier accès de point de terminaison avant l’échec.
  • Méthode HTTP : la méthode HTTP utilisée pour accéder au point de terminaison.
  • Erreur HTTP : Code d’erreur de transport WinHttp. Obtenez d’autres codes d’erreur réseau.
  • État HTTP : l’état HTTP retourné par le point de terminaison.
  • Code d’erreur du serveur : Le code d’erreur du serveur.
  • Description de l’erreur du serveur : le message d’erreur du serveur.
  • RefreshPrtDiagnostics : définissez l’état sur PRESENT si les informations de diagnostic PRT acquises sont présentes dans les journaux.
    • Ce champ est ignoré si aucune information de diagnostic n’est disponible.
    • Les champs d’informations de diagnostic sont identiques à AcquirePrtDiagnostics.

Remarque

Les champs de diagnostics Kerberos cloud suivants ont été ajoutés dans la version d’origine de Windows 11 (version 21H2).

  • OnPremTgt : définissez l’état sur OUI si un ticket Kerberos cloud permettant d’accéder à des ressources locales est présent sur l’appareil pour l’utilisateur connecté.
  • CloudTgt : définissez l’état sur OUI si un ticket Kerberos cloud permettant d’accéder à des ressources cloud est présent sur l’appareil pour l’utilisateur connecté.
  • KerbTopLevelNames : liste des noms de domaine Kerberos de niveau supérieur pour Kerberos cloud.

Exemple de sortie d’état SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Données de diagnostic

Diagnostics de préjointure

Cette section de diagnostics s'affiche uniquement si l'appareil est joint à un domaine et ne parvient pas à rejoindre Microsoft Entra hybride.

Dans cette section, différents tests sont effectués pour faciliter le diagnostic des échecs de jointure. Ces informations incluent : la phase d’erreur, le code d’erreur, l’ID de la requête serveur, l’état http de la réponse du serveur et le message d’erreur de réponse du serveur.

  • User Context : contexte dans lequel les diagnostics sont exécutés. Valeurs possibles : SYSTEM (système), utilisateur UN-ELEVATED (sans élévation de privilèges), utilisateur ELEVATED (avec élévation de privilèges).

    Remarque

    Étant donné que la jointure réelle est effectuée dans le contexte SYSTEM, l’exécution des diagnostics dans le contexte SYSTEM est plus proche du scénario de jointure réel. Pour exécuter des diagnostics dans le contexte SYSTEM, la commande dsregcmd /status doit être exécutée à partir d’une invite de commandes avec élévation de privilèges.

  • Client Time : heure UTC du système.

  • AD Connectivity Test : effectue un test de connectivité sur le contrôleur de domaine. Une erreur dans ce test entraînera probablement des erreurs de jointure lors de la phase de vérification préalable.

  • Test de configuration AD : ce test lit et vérifie si l’objet Point de connexion du service (SCP) est correctement configuré dans la forêt Active Directory locale. Des erreurs dans ce test entraîneraient probablement des erreurs de jointure dans la phase de découverte avec le code d’erreur 0x801c001d.

  • DRS Discovery Test : ce test obtient les points de terminaison Data Replication Service à partir du point de terminaison des métadonnées de découverte, et exécute une requête de domaine d’utilisateur. Des erreurs dans ce test entraîneraient probablement des erreurs de jointure dans la phase de découverte.

  • DRS Connectivity Test : test de connectivité de base effectué sur le point de terminaison Data Replication Service.

  • Test d'acquisition de jeton : ce test tente d'obtenir un jeton d'authentification Microsoft Entra si le locataire utilisateur est fédéré. Des erreurs dans ce test entraîneraient probablement des erreurs de jointure dans la phase d’authentification. En cas d’échec de l’authentification, une jointure de synchronisation est tentée en tant qu’option de secours, sauf si celle-ci est explicitement désactivée avec les paramètres de clé de registre suivants :

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Option de secours pour la jointure de synchronisation : Définissez l’état sur Activé si la clé de registre précédente pour empêcher le retour à la jointure de synchronisation en cas d’échec de l’authentification n’est pas présente. Cette option est disponible à partir de Windows 10 1803 et versions ultérieures.

  • Previous Registration : l’heure à laquelle la tentative de jointure précédente a eu lieu. Seules les tentatives de jointure ayant échoué sont journalisées.

  • Error Phase : étape de la jointure où celle-ci a été abandonnée. Les valeurs possibles sont prévérification, détection, authentification et jointure.

  • Client ErrorCode : code d’erreur client retourné (HRESULT).

  • Server ErrorCode : le code d’erreur serveur si une requête a été envoyée au serveur et que le serveur a retourné un code d’erreur.

  • Server Message : message de serveur retourné avec le code d’erreur.

  • Https Status : état HTTP retourné par le serveur.

  • Request ID : identifiant de requête du client envoyé au serveur. L’ID de la requête est utile pour la corrélation avec les journaux côté serveur.

Exemple de sortie de diagnostics de préjointure

L’exemple suivant montre l’échec du test de diagnostic avec une erreur de détection.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

L’exemple suivant montre que les tests de diagnostic sont réussis, mais que la tentative d’inscription a échoué avec une erreur d’annuaire, ce qui est attendu pour la jointure de synchronisation. Une fois la tâche de synchronisation Microsoft Entra Connect terminée, l'appareil peut se connecter.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostics postérieurs à la jointure

Cette section de diagnostics affiche la sortie des vérifications d’intégrité effectuées sur un appareil joint au cloud.

  • AadRecoveryEnabled : si sa valeur est YES, les clés stockées dans l’appareil ne sont pas utilisables et l’appareil est marqué pour la récupération. La connexion suivante déclenche le flux de récupération et réinscrit l’appareil.
  • KeySignTest : la valeur PASSED (RÉUSSITE) indique que les clés d’appareil sont saines. Si KeySignTest échoue, l’appareil est généralement marqué pour la récupération. La connexion suivante déclenche le flux de récupération et réinscrit l’appareil. Pour les appareils connectés à l’hybride Microsoft Entra, la récupération est silencieuse. Lorsque les appareils sont joints à Microsoft Entra ou enregistrés par Microsoft Entra, ils demandent une authentification de l'utilisateur pour récupérer et réenregistrer l'appareil, si nécessaire.

    Remarque

    Le test KeySignTest requiert des privilèges élevés.

Exemple de sortie de diagnostics après la jointure

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Vérification des exigences de NGC

Cette section de diagnostics vérifie la configuration requise pour la configuration de Windows Hello Entreprise (WHFB).

Remarque

Vous ne verrez peut-être pas les détails des exigences de NGC dans dsregcmd /status si l’utilisateur a déjà configuré WHFB avec succès.

  • IsDeviceJoined : définissez l’état sur OUI si l’appareil est joint à Microsoft Entra ID.
  • IsUserAzureAD : définissez l'état sur OUI si l'utilisateur connecté est présent dans Microsoft Entra ID.
  • PolicyEnabled: définissez sur l’état YES si la stratégie WHFB est activée sur l’appareil.
  • PostLogonEnabled: définissez sur l’état YES» si l’inscription WHFB est déclenchée en mode natif par la plateforme. Si l’état défini est NO, cela indique que l’inscription Windows Hello Entreprise est déclenchée par un mécanisme personnalisé.
  • DeviceEligible : définissez sur l’état YES si l’appareil respecte la configuration matérielle exigée pour l’inscription auprès de WHFB.
  • SessionIsNotRemote: définissez sur l’état YES si l’utilisateur actuel est connecté à l’appareil directement, et non à distance.
  • CertEnrollment: ce paramètre est spécifique au déploiement d’approbation avec certificat WHFB, indiquant l’autorité d’inscription de certificats pour WHFB. Définissez l’état sur autorité d’inscription si la source de la stratégie WHFB est Stratégie de groupe, ou définissez-le sur gestion des appareils mobiles si la source est MDM. Si aucune des sources ne s’applique, définissez l’état sur aucun.
  • AdfsRefreshToken : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB, et présent uniquement si l’état de CertEnrollment est autorité d’inscription. Le paramètre indique si l’appareil a un PRT d’entreprise pour l’utilisateur.
  • AdfsRaIsReady : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB, et présent uniquement si l’état de CertEnrollment est autorité d’inscription. Définissez sur l’état YES si ADFS indiquait dans les métadonnées de découverte qu’il prend en charge WHFB et si un modèle de certificat d’ouverture de session est disponible.
  • LogonCertTemplateReady : ce paramètre est spécifique au déploiement de l’approbation de certificat WHFB, et présent uniquement si l’état de CertEnrollment est autorité d’inscription. Définissez l’état sur YES si l’état du modèle de certificat de connexion est valide et vous aide à résoudre les problèmes de l’autorité d’inscription AD FS.
  • PreReqResult : fournit le résultat de l’évaluation de toutes les conditions préalables de WHFB. Définissez sur l’état Will Provision (Provisionnement ultérieur) si l’inscription de WHFB est lancée en tant que tâche après ouverture de session lors de la prochaine connexion de l’utilisateur.

Remarque

Les champs de diagnostic Kerberos cloud suivants ont été ajoutés dans la mise à jour de mai 2021 de Windows 10 (version 21H1).

Avant Windows 11 version 23H2, le nom du paramètre OnPremTGT était CloudTGT.

  • OnPremTGT : ce paramètre est spécifique au déploiement d’approbation Kerberos cloud et est présent uniquement si l’état CertEnrollment est aucun. Définissez l’état sur OUI si l’appareil dispose d’un ticket Kerberos cloud pour accéder aux ressources locales. Avant Windows 11 version 23H2, le nom de ce paramètre était CloudTGT.

Exemple de sortie de vérification des prérequis NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Étapes suivantes

Accédez à l’Outil de recherche d’erreurs Microsoft.