Risolvere i problemi dei dispositivi usando il comando dsregcmd
Questo articolo illustra come usare l'output del comando dsregcmd
per comprendere lo stato dei dispositivi in Microsoft Entra ID. L'utilità dsregcmd /status
deve essere eseguita come account utente di dominio.
Stato del dispositivo
Questa sezione elenca i parametri dello stato di join del dispositivo. I criteri richiesti per il dispositivo in vari stati di join sono elencati nella tabella seguente:
AzureAdJoined | EnterpriseJoined | DomainJoined | Stato del dispositivo |
---|---|---|---|
SÌ | NO | NO | Aggiunto a Microsoft Entra |
NO | NO | SÌ | Aggiunti a un dominio |
SÌ | NO | SÌ | Microsoft Entra aggiunto ibrido |
NO | SÌ | SÌ | Aggiunto al ripristino di emergenza locale |
Nota
Lo stato Aggiunto all'area di lavoro (Microsoft Entra registrato) viene visualizzato nella sezione "Stato utente".
- AzureAdJoined: impostare lo stato su SÌ se il dispositivo viene aggiunto a Microsoft Entra ID. In caso contrario, impostare lo stato su NO.
- EnterpriseJoined: impostare lo stato su SÌ se il dispositivo viene aggiunto a un servizio di replica dati locale. Un dispositivo non può essere sia EnterpriseJoined che AzureAdJoined.
- DomainJoined: impostare lo stato su SÌ se il dispositivo viene aggiunto a un dominio (Active Directory).
- DomainName: impostare lo stato sul nome del dominio se il dispositivo viene aggiunto a un dominio.
Output dello stato del dispositivo di esempio
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Dettagli dispositivo
Lo stato viene visualizzato solo quando il dispositivo è aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido (non Registrato da Microsoft Entra). Questa sezione elenca i dettagli di identificazione dei dispositivi archiviati in Microsoft Entra ID.
- DeviceId: ID univoco del dispositivo nel tenant di Microsoft Entra.
- Identificazione personale: identificazione personale del certificato del dispositivo.
- DeviceCertificate Validità: stato di validità del certificato del dispositivo.
- KeyContainerId: valore containerId della chiave privata del dispositivo associato al certificato del dispositivo.
- KeyProvider: KeyProvider(Hardware/Software) usato per archiviare la chiave privata del dispositivo.
- TpmProtected: lo stato è impostato su SÌ se la chiave privata del dispositivo viene archiviata in un modulo TPM (Trusted Platform Module) hardware.
- DeviceAuthStatus: esegue un controllo per determinare l'integrità del dispositivo in Microsoft Entra ID. Gli stati di integrità sono:
- RIUSCITO se il dispositivo è presente e abilitato in Microsoft Entra ID.
- NON RIUSCITO. Il dispositivo è disabilitato o eliminato se il dispositivo è disabilitato o eliminato. Per altre informazioni su questo problema, vedere Domande frequenti sulla gestione dei dispositivi di Microsoft Entra.
- NON RIUSCITO. ERROR se il test non è stato in grado di eseguire. Questo test richiede la connettività di rete all'ID Microsoft Entra nel contesto di sistema.
Nota
Il campo DeviceAuthStatus è stato aggiunto nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).
- Desktop virtuale: in questo caso vengono visualizzati tre casi.
- NON IMPOSTATO: i metadati del dispositivo VDI non sono presenti nel dispositivo.
- Sì - I metadati del dispositivo VDI sono presenti e gli output dsregcmd associati ai metadati, tra cui:
- Provider: nome del fornitore VDI.
- Tipo: VDI persistente o VDI non persistente.
- Modalità utente: utente singolo o multiutente.
- Estensioni: numero di coppie chiave-valore nei metadati specifici del fornitore facoltativi, seguite da coppie chiave-valore.
- NON VALIDO: i metadati del dispositivo VDI sono presenti ma non sono impostati correttamente. In questo caso, dsregcmd restituisce i metadati non corretti.
Output dei dettagli del dispositivo di esempio
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Dettagli del tenant
I dettagli del tenant vengono visualizzati solo quando il dispositivo è aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido, non a Microsoft Entra registrato. Questa sezione elenca i dettagli comuni del tenant visualizzati quando un dispositivo viene aggiunto a Microsoft Entra ID.
Nota
Se i campi URL di gestione dei dispositivi mobili (MDM) in questa sezione sono vuoti, indica che MDM non è stato configurato o che l'utente corrente non è nell'ambito della registrazione MDM. Controllare le impostazioni di mobilità in Microsoft Entra ID per esaminare la configurazione MDM.
Anche se vengono visualizzati gli URL MDM, questo non significa che il dispositivo sia gestito da un MDM. Le informazioni vengono visualizzate se il tenant ha la configurazione MDM per la registrazione automatica anche se il dispositivo stesso non è gestito.
Output dei dettagli del tenant di esempio
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Stato utente
In questa sezione vengono elencati gli stati dei vari attributi per gli utenti attualmente connessi al dispositivo.
Nota
Il comando deve essere eseguito in un contesto utente per recuperare uno stato valido.
- NgcSet: impostare lo stato su SÌ se è impostata una chiave di Windows Hello per l'utente connesso corrente.
- NgcKeyId: ID della chiave di Windows Hello se ne è impostata una per l'utente connesso corrente.
- CanReset: indica se la chiave di Windows Hello può essere reimpostata dall'utente.
- Valori possibili: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, o Unknown in caso di errore.
- WorkplaceJoined: impostare lo stato su SÌ se gli account registrati di Microsoft Entra sono stati aggiunti al dispositivo nel contesto NTUSER corrente.
- WamDefaultSet: impostare lo stato su SÌ se viene creato un WebAccount Web Manager (WAM) predefinito per l'utente connesso. Questo campo potrebbe visualizzare un errore se
dsregcmd /status
viene eseguito da un prompt dei comandi con privilegi elevati. - WamDefaultAuthority: impostare lo stato sulle organizzazioni per Microsoft Entra ID.
- WamDefaultId: usare https://login.microsoft.com sempre per Microsoft Entra ID.
- WamDefaultGUID: GUID del provider WAM (Microsoft Entra ID/account Microsoft) per l'account Web WAM predefinito.
Output dello stato utente di esempio
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Stato SSO
È possibile ignorare questa sezione per i dispositivi registrati da Microsoft Entra.
Nota
Il comando deve essere eseguito in un contesto utente per recuperare lo stato valido dell'utente.
- AzureAdPrt: impostare lo stato su SÌ se nel dispositivo è presente un token di aggiornamento primario per l'utente connesso.
- AzureAdPrtUpdateTime: impostare lo stato sull'ora, nell'ora UTC (Coordinated Universal Time), quando il token di aggiornamento primario è stato aggiornato per l’ultima volta.
- AzureAdPrtExpiryTime: impostare lo stato sull'ora, in formato UTC, quando il token di aggiornamento primario scadrà se non viene rinnovato.
- AzureAdPrtAuthority: URL dell'autorità di Microsoft Entra
- EnterprisePrt: impostare lo stato su SÌ se il dispositivo dispone di un token di aggiornamento primario da Active Directory Federation Services (AD FS) locale. Per i dispositivi aggiunti a Microsoft Entra ibrido, il dispositivo potrebbe avere un token di aggiornamento primario sia da Microsoft Entra ID che da Active Directory locale contemporaneamente. I dispositivi aggiunti in locale hanno solo un token di aggiornamento primario aziendale.
- EnterprisePrtUpdateTime: impostare lo stato sull'ora, in formato UTC, dell'ultimo aggiornamento di Enterprise PRT.
- EnterprisePrtExpiryTime: impostare lo stato sull'ora, in formato UTC, quando il token di aggiornamento primario scadrà se non viene rinnovato.
- EnterprisePrtAuthority: URL dell'autorità AD FS
Nota
I campi di diagnostica PRT seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).
- Le informazioni di diagnostica visualizzate nel campo AzureAdPrt sono relative all'acquisizione o all'aggiornamento di Microsoft Entra PRT e le informazioni di diagnostica visualizzate nel campo EnterprisePrt sono relative all'acquisizione o all'aggiornamento di Enterprise PRT.
- Le informazioni di diagnostica vengono visualizzate solo se l'acquisizione o l'errore di aggiornamento si è verificato dopo l'ora dell'ultimo aggiornamento PRT riuscito (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
In un dispositivo condiviso queste informazioni di diagnostica potrebbero derivare da un tentativo di accesso di un utente diverso.
- AcquirePrtDiagnostics: impostare lo stato su PRESENTE se le informazioni di diagnostica PRT acquisite sono presenti nei log.
- Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
- Tentativo di Prt precedente: ora locale, in formato UTC, in cui si è verificato il tentativo di token di aggiornamento primario non riuscito.
- Stato tentativo: codice di errore del client restituito (HRESULT).
- Identità utente: UPN dell'utente per cui si è verificato il tentativo di aggiornamento primario.
- Tipo di credenziale: le credenziali usate per acquisire o aggiornare il token di aggiornamento primario. I tipi di credenziali comuni sono Password e NGC (Next Generation Credential) (per Windows Hello).
- ID di correlazione: ID di correlazione inviato dal server per il tentativo PRT non riuscito.
- URI dell'endpoint: ultimo endpoint a cui si accede prima dell'errore.
- Metodo HTTP: metodo HTTP usato per accedere all'endpoint.
- Errore HTTP: codice di errore del trasporto WinHttp. Ottenere altri codici di errore di rete.
- Stato HTTP: stato HTTP restituito dall'endpoint.
- Codice di errore del server: codice di errore del server.
- Descrizione dell'errore del server: messaggio di errore del server.
- RefreshPrtDiagnostics: impostare lo stato su PRESENTE se le informazioni di diagnostica PRT acquisite sono presenti nei log.
- Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
- I campi di informazioni di diagnostica sono uguali a AcquirePrtDiagnostics.
Nota
I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nella versione originale di Windows 11 (versione 21H2).
- OnPremTgt: impostare lo stato su SÌ se un ticket Kerberos cloud per accedere alle risorse locali è presente nel dispositivo per l'utente connesso.
- CloudTgt: impostare lo stato su SÌ se un ticket Kerberos cloud per accedere alle risorse cloud è presente nel dispositivo per l'utente connesso.
- KerbTopLevelNames: elenco dei nomi dell'area di autenticazione Kerberos di primo livello per Cloud Kerberos.
Output dello stato SSO di esempio
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
dati di diagnostica
Diagnostica di pre-join
Questa sezione di diagnostica viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è possibile accedere all'aggiunta ibrida a Microsoft Entra.
In questa sezione vengono eseguiti vari test per diagnosticare gli errori di join. Le informazioni includono la fase di errore, il codice di errore, l'ID richiesta del server, lo stato HTTP della risposta del server e il messaggio di errore di risposta del server.
contesto utente: contesto in cui vengono eseguiti i dati di diagnostica. Valori possibili: SISTEMA, Utente NON ELEVATO, Utente ELEVATO.
Nota
Poiché il join effettivo viene eseguito nel contesto SYSTEM, l'esecuzione della diagnostica nel contesto SYSTEM è più vicina allo scenario di join effettivo. Per eseguire la diagnostica nel contesto SYSTEM, è necessario eseguire il comando
dsregcmd /status
da un prompt dei comandi con privilegi elevati.Ora client: ora di sistema, in formato UTC.
Test di connettività di Active Directory: questo test esegue un test di connettività al controller di dominio. Un errore in questo test genera probabilmente errori di join nella fase di pre-controllo.
Test di configurazione di ACTIVE Directory: questo test legge e verifica se l'oggetto Punto di connessione del servizio (SCP) è configurato correttamente nella foresta Active Directory locale. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione con il codice di errore 0x801c001d.
Test di individuazione DRS: questo test ottiene gli endpoint DRS dall'endpoint dei metadati di individuazione ed esegue una richiesta dell'area di autenticazione dell'utente. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione.
Test di connettività DRS: questo test esegue un test di connettività di base all'endpoint DRS.
Test di acquisizione token: questo test prova a ottenere un token di autenticazione Di Microsoft Entra se il tenant utente è federato. Gli errori in questo test potrebbero causare errori di join nella fase di autenticazione. Se l'autenticazione non riesce, il join di sincronizzazione viene tentato come fallback, a meno che il fallback non venga disabilitato in modo esplicito con le impostazioni della chiave del Registro di sistema seguenti:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Fallback all'aggiunta alla sincronizzazione: impostare lo stato su Abilitato se la chiave del Registro di sistema precedente per impedire il fallback all'aggiunta alla sincronizzazione con errori di autenticazione non è presente. Questa opzione è disponibile in Windows 10 1803 e versioni successive.
Registrazione precedente: ora in cui si è verificato il tentativo di join precedente. Vengono registrati solo i tentativi di join non riusciti.
Fase di errore: fase del join in cui è stata interrotta. I valori possibili sono controllo preliminare, individuare, autenticazione e join.
Client ErrorCode: codice di errore client restituito (HRESULT).
Server ErrorCode: codice di errore del server visualizzato se una richiesta è stata inviata al server e il server ha risposto con un codice di errore.
Messaggio del server: il messaggio del server restituito insieme al codice di errore.
Stato HTTPS: stato HTTP restituito dal server.
ID richiesta: l’id richiesta client inviato al server. L'ID richiesta è utile per la correlazione con i log lato server.
Output di diagnostica di pre-join di esempio
L'esempio seguente mostra un test di diagnostica che ha esito negativo con un errore di individuazione.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
L'esempio seguente mostra che i test di diagnostica stanno riuscendo ma il tentativo di registrazione non è riuscito con un errore di directory, previsto per il join di sincronizzazione. Al termine del processo di sincronizzazione di Microsoft Entra Connect, il dispositivo è in grado di partecipare.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnostica post-join
Questa sezione di diagnostica visualizza l'output dei controlli di integrità eseguiti in un dispositivo aggiunto al cloud.
- AadRecoveryEnabled: se il valore è SÌ, le chiavi archiviate nel dispositivo non sono utilizzabili e il dispositivo viene contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e registrerà nuovamente il dispositivo.
- KeySignTest: se il valore è SUPERATO, le chiavi del dispositivo sono integre. Se KeySignTest ha esito negativo, il dispositivo viene in genere contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e registrerà nuovamente il dispositivo. Per i dispositivi aggiunti a Microsoft Entra ibrido, il ripristino è invisibile all'utente. Mentre i dispositivi sono aggiunti a Microsoft Entra o Microsoft Entra registrati, richiedono l'autenticazione dell'utente per ripristinare e registrare nuovamente il dispositivo, se necessario.
Nota
KeySignTest richiede privilegi elevati.
Output di diagnostica post-join di esempio
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Controllo dei prerequisiti NGC
Questa sezione di diagnostica esegue il controllo dei prerequisiti per la configurazione di Windows Hello for Business (WHFB).
Nota
È possibile che non vengano visualizzati i dettagli dei prerequisiti NGC in dsregcmd /status
se l'utente ha già configurato WHFB correttamente.
- IsDeviceJoined: impostare lo stato su SÌ se il dispositivo viene aggiunto a Microsoft Entra ID.
- IsUserAzureAD: impostare lo stato su SÌ se l'utente connesso è presente in Microsoft Entra ID.
- PolicyEnabled: impostare lo stato su SÌ se il criterio WHFB è abilitato nel dispositivo.
- PostLogonEnabled: impostare lo stato su SÌ se la registrazione WHFB viene attivata in modo nativo dalla piattaforma. Se lo stato è impostato su NO, indica che la registrazione di Windows Hello for Business viene attivata da un meccanismo personalizzato.
- DeviceEligible: impostare lo stato su SÌ se il dispositivo soddisfa il requisito hardware per la registrazione con WHFB.
- SessionIsNotRemote: impostare lo stato su SÌ se l'utente corrente è connesso direttamente al dispositivo e non in remoto.
- CertEnrollment: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB, che indica l'autorità di registrazione certificati per WHFB. Impostare lo stato su autorità di registrazione se l'origine dei criteri WHFB è Criteri di gruppo, o impostarla su gestione dei dispositivi mobili se l'origine è MDM. Se nessuna delle due origini si applica, impostare lo stato su nessuno.
- AdfsRefreshToken: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. L'impostazione indica se il dispositivo ha un token di aggiornamento primario aziendale per l'utente.
- AdfsRaIsReady: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. Impostare lo stato su SÌ se AD FS indica nei metadati di individuazione che supporta WHFB e il modello di certificato di accesso è disponibile.
- LogonCertTemplateReady: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. Impostare lo stato su SÌ se lo stato del modello di certificato di accesso è valido e consente di risolvere i problemi dell'autorità di registrazione di AD FS.
- PreReqResult: fornisce il risultato di tutta la valutazione dei prerequisiti WHFB. Impostare lo stato su Eseguirà il provisioning se la registrazione WHFB verrà avviata come attività di post-accesso quando l'utente esegue l'accesso successivo.
Nota
I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).
Prima di Windows 11 versione 23H2, l'impostazione OnPremTGT era denominata CloudTGT.
- OnPremTGT: questa impostazione è specifica per la distribuzione trust Kerberos cloud e presente solo se lo stato CertEnrollment è nessuno. Impostare lo stato su SÌ se il dispositivo dispone di un ticket Kerberos cloud per accedere alle risorse locali. Prima di Windows 11 versione 23H2, questa impostazione era denominata CloudTGT.
Esempio di output di controllo dei prerequisiti NGC
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Passaggi successivi
Passare allo strumento di ricerca degli errori Microsoft.