Anavem
FrancaisEnglish
Anavem
Languageen
Comment utiliser Dsregcmd pour vérifier le statut de l'appartenance à Azure AD sur Windows

Comment utiliser Dsregcmd pour vérifier le statut de l'appartenance à Azure AD sur Windows

Maîtrisez l'outil en ligne de commande dsregcmd pour vérifier et dépanner l'état de jonction des appareils Microsoft Entra ID (Azure AD) sur les systèmes Windows 10/11.

Evan MaelEvan Mael
26 mars 2026 12 min
mediumazure-ad 7 étapes 12 min

Pourquoi utiliser Dsregcmd pour la gestion des appareils Azure AD ?

Gérer l'identité des appareils dans des environnements hybrides modernes nécessite une visibilité précise sur l'état d'enregistrement et la connectivité. L'outil en ligne de commande dsregcmd sert de principal utilitaire de diagnostic pour l'enregistrement des appareils Microsoft Entra ID (anciennement Azure AD), fournissant aux administrateurs informatiques des informations complètes sur l'état de jonction des appareils, les jetons d'authentification et les problèmes de connectivité.

Dans les environnements d'entreprise où les appareils ont besoin d'un accès transparent aux ressources sur site et dans le cloud, comprendre l'état d'enregistrement des appareils devient crucial. Que vous soyez en train de résoudre des échecs de connexion unique, d'enquêter sur des blocages de politiques d'accès conditionnel ou de valider des configurations de jonction hybride Azure AD, dsregcmd fournit les informations détaillées nécessaires pour diagnostiquer et résoudre rapidement les problèmes.

Quels états d'appareil Dsregcmd peut-il identifier ?

Les appareils Windows modernes peuvent exister dans plusieurs états d'enregistrement : purement joints au domaine pour les environnements traditionnels sur site, joints à Azure AD pour les organisations axées sur le cloud, ou joints de manière hybride à Azure AD pour les entreprises reliant les deux mondes. Chaque état offre différentes capacités pour l'authentification, la gestion des appareils et l'accès aux ressources. Dsregcmd révèle non seulement l'état actuel, mais aussi les détails de configuration sous-jacents, l'état des jetons et la santé de la connectivité qui déterminent si les utilisateurs bénéficient d'une authentification transparente ou rencontrent des demandes de connexion répétées.

L'outil expose également les informations du Primary Refresh Token (PRT), qui régit le comportement de connexion unique à travers les applications Microsoft 365 et d'autres services intégrés à Azure AD. Comprendre l'état du PRT aide les administrateurs à identifier rapidement pourquoi les utilisateurs pourraient rencontrer des problèmes d'authentification ou pourquoi les politiques d'accès conditionnel ne s'appliquent pas correctement.

Guide de mise en oeuvre

Procédure complète

01

Ouvrir l'invite de commande avec des privilèges administratifs

Commencez par lancer l'invite de commandes ou PowerShell avec des privilèges élevés. La plupart des opérations dsregcmd nécessitent un accès administratif pour lire les informations d'enregistrement de l'appareil et effectuer des opérations de jonction/séparation.

Appuyez sur Windows + R, tapez cmd, puis appuyez sur Ctrl + Shift + Entrée pour exécuter en tant qu'administrateur. Alternativement, faites un clic droit sur le bouton Démarrer et sélectionnez "Windows PowerShell (Admin)" ou "Invite de commandes (Admin)".

Astuce pro : Vous pouvez également rechercher "cmd" dans le menu Démarrer, faire un clic droit sur "Invite de commandes" et sélectionner "Exécuter en tant qu'administrateur".

Vérifiez que vous avez des privilèges administratifs en exécutant :

whoami /priv

Vous devriez voir des privilèges comme "SeDebugPrivilege" et "SeSystemtimePrivilege" listés comme "Activé" ou "Désactivé".

02

Exécuter la vérification de l'état de base de l'appareil

Exécutez la commande principale dsregcmd pour obtenir un aperçu complet de l'état d'enregistrement de votre appareil. Cette commande fournit des informations détaillées sur l'état de l'adhésion à Azure AD, l'appartenance au domaine et la configuration SSO.

dsregcmd /status

La sortie est divisée en plusieurs sections. Concentrez-vous d'abord sur la section État de l'appareil, qui montre trois valeurs critiques :

  • AzureAdJoined - Indique si l'appareil est enregistré avec Microsoft Entra ID
  • DomainJoined - Montre si l'appareil est joint à un domaine Active Directory sur site
  • EnterpriseJoined - Indique l'état de l'adhésion au lieu de travail (moins courant)

Voici ce que signifient les différentes combinaisons :

AzureAdJoinedDomainJoinedÉtat
OUINONMicrosoft Entra joint (uniquement cloud)
NONOUIJoint au domaine (uniquement sur site)
OUIOUIMicrosoft Entra joint hybride
NONNONNon joint à aucun annuaire

Vérification : Recherchez des valeurs claires "OUI" ou "NON" dans la section État de l'appareil. Si vous voyez "---" ou des valeurs vides, il peut y avoir un problème de configuration.

03

Analyser l'état SSO et le jeton de rafraîchissement principal

La section État SSO fournit des informations cruciales sur les capacités de connexion unique et le statut du Primary Refresh Token (PRT). Cela détermine si les utilisateurs peuvent accéder sans interruption aux ressources cloud sans authentification répétée.

Dans la sortie dsregcmd, localisez la section État SSO et examinez ces champs clés :

  • AzureAdPrt - Statut du Primary Refresh Token (doit être "YES" pour un SSO fonctionnel)
  • AzureAdPrtUpdateTime - Date de la dernière actualisation du PRT
  • AzureAdPrtExpiryTime - Date d'expiration du PRT actuel
  • EnterprisePrt - Statut du PRT d'entreprise pour les scénarios hybrides
Avertissement : Si AzureAdPrt affiche "NO", les utilisateurs rencontreront des demandes d'authentification et le SSO ne fonctionnera pas correctement. Cela indique souvent des problèmes de connectivité réseau ou des politiques d'accès conditionnel mal configurées.

Pour un dépannage détaillé du PRT, exécutez la commande en tant qu'utilisateur connecté (pas en tant qu'administrateur) pour obtenir des informations spécifiques au jeton utilisateur :

dsregcmd /status

Comparez les résultats lorsqu'ils sont exécutés en tant qu'administrateur par rapport à un utilisateur régulier. Le contexte utilisateur fournit des informations plus précises sur le statut du PRT.

Vérification : Confirmez AzureAdPrt : YES et vérifiez que l'heure de mise à jour est récente (dans les dernières heures ou jours).

04

Examiner les détails et la configuration du locataire

La section Détails du locataire révèle des informations de configuration importantes sur votre locataire Azure AD et les paramètres de gestion des appareils. Cela aide à vérifier que l'appareil se connecte au locataire correct et dispose d'une inscription MDM appropriée.

Dans la sortie dsregcmd, examinez la section Détails du locataire pour :

  • TenantName - Nom du locataire Azure AD de votre organisation
  • TenantId - Identifiant unique pour votre locataire Azure AD
  • AuthCodeUrl - URL du point de terminaison d'authentification
  • AccessTokenUrl - Point de terminaison du jeton pour l'accès à l'API
  • MdmUrl - URL d'inscription à la gestion des appareils mobiles
  • MdmTouUrl - URL des conditions d'utilisation MDM
  • MdmComplianceUrl - Point de terminaison de la politique de conformité

Recoupez le TenantId avec votre portail Azure AD pour vous assurer que l'appareil est enregistré auprès du locataire correct :

# Dans PowerShell, vous pouvez également vérifier les informations du locataire avec :
Get-AzureADTenantDetail | Select-Object ObjectId, DisplayName
Astuce pro : Enregistrez la valeur TenantId - vous en aurez besoin lors du dépannage des problèmes d'enregistrement des appareils ou lors de la prise de contact avec le support Microsoft.

Recherchez les URL liées au MDM si votre organisation utilise Intune ou une autre solution MDM. L'absence d'URL MDM pourrait indiquer des problèmes d'inscription.

Vérification : Confirmez que le TenantName correspond à votre organisation et que le TenantId est au format GUID valide (xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).

05

Examiner les données de diagnostic pour les problèmes de connectivité

La section Données de diagnostic fournit des résultats détaillés des tests de connectivité qui aident à identifier les problèmes de réseau, de DNS ou de configuration empêchant une communication correcte avec Azure AD.

Examinez ces tests de diagnostic dans le résultat :

  • AD Connectivity - Teste la connexion aux contrôleurs de domaine Active Directory sur site
  • AD Configuration - Vérifie la configuration du Point de Connexion de Service (SCP) pour la jonction hybride
  • DRS Discovery - Teste la découverte du point de terminaison du Service d'Enregistrement des Appareils
  • DRS Connectivity - Vérifie la connexion au Service d'Enregistrement des Appareils Azure
  • Token acquisition - Teste la capacité à obtenir des jetons d'authentification
  • Fallback to Sync-Join - Indique si l'appareil est revenu au processus de jonction synchrone

Chaque test affiche soit "SUCCESS" soit un code d'erreur. Les codes d'erreur courants incluent :

  • 0x801c001d - Échec de la découverte DRS (problème de DNS ou de connectivité)
  • 0x801c0021 - Échec de l'authentification
  • 0x801c0003 - Appareil non trouvé dans Azure AD

Pour une analyse détaillée des erreurs, exécutez dsregcmd en mode débogage :

dsregcmd /status /debug
Avertissement : Le mode débogage produit une sortie détaillée qui peut contenir des informations sensibles. Utilisez-le uniquement pour le dépannage et évitez de partager les journaux de débogage sans les avoir d'abord nettoyés.

Vérification : Tous les tests de diagnostic doivent afficher "SUCCESS". Tout échec indique des domaines spécifiques nécessitant une attention avant que l'appareil puisse communiquer correctement avec Azure AD.

06

Effectuer des opérations de jonction Azure AD

Utilisez dsregcmd pour effectuer des opérations de jonction, de départ ou de rafraîchissement lors du dépannage des problèmes d'enregistrement des appareils. Ces commandes modifient l'état d'enregistrement Azure AD de l'appareil.

Pour la jonction hybride Azure AD (la plus courante dans les environnements d'entreprise) :

dsregcmd /join

Cette commande planifie une tâche pour enregistrer l'appareil avec Azure AD tout en maintenant l'appartenance au domaine. Le processus s'exécute de manière asynchrone, vous ne verrez donc pas de résultats immédiats.

Pour quitter Azure AD (supprime l'enregistrement cloud mais conserve la jonction au domaine) :

dsregcmd /leave

Pour dépanner les enregistrements bloqués, utilisez le mode débogage :

dsregcmd /debug /join

Pour rafraîchir le jeton de rafraîchissement principal sans réenregistrement complet :

dsregcmd /refreshprt

Séquence de réadhésion complète pour les problèmes persistants :

# Vérifier l'état actuel
dsregcmd /status

# Quitter Azure AD
dsregcmd /leave

# Forcer la mise à jour de la stratégie de groupe
gpupdate /force

# Redémarrer l'ordinateur
shutdown /r /t 0

Après le redémarrage, connectez-vous en tant qu'utilisateur de domaine et exécutez :

dsregcmd /join
Astuce pro : Exécutez toujours /status avant et après les opérations de jonction/départ pour vérifier que les changements ont pris effet. Le processus de jonction peut prendre plusieurs minutes pour se terminer.

Vérification : Exécutez dsregcmd /status après chaque opération. Pour les opérations de jonction, attendez 5-10 minutes puis vérifiez que AzureAdJoined affiche "YES".

07

Dépanner les problèmes d'inscription courants

Lorsque dsregcmd révèle des problèmes, utilisez des commandes et techniques de dépannage spécifiques pour résoudre les problèmes courants de jonction Azure AD.

Pour les appareils affichant le statut de jonction hybride "En attente", vérifiez la tâche planifiée :

schtasks /query /tn "\Microsoft\Windows\Workplace Join\Automatic-Device-Join"

Si la tâche existe mais ne s'exécute pas, déclenchez-la manuellement :

schtasks /run /tn "\Microsoft\Windows\Workplace Join\Automatic-Device-Join"

Pour les problèmes liés aux certificats, vérifiez les certificats de l'appareil :

certlm.msc

Accédez à Personnel > Certificats et recherchez les certificats émis par "MS-Organization-Access" ou l'AC de votre organisation.

Mettez à jour les attributs de l'appareil s'il y a des discordances :

dsregcmd /updatedevice

Vérifiez les journaux d'événements Windows pour des informations d'erreur détaillées :

eventvwr.msc

Accédez à Journaux des applications et services > Microsoft > Windows > User Device Registration > Admin pour les événements d'enregistrement.

Pour les problèmes de connectivité réseau, vérifiez que ces URL sont accessibles :

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com

Testez la connectivité avec PowerShell :

Test-NetConnection -ComputerName enterpriseregistration.windows.net -Port 443
Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Avertissement : Certaines organisations bloquent ces URL via un proxy ou un pare-feu. Travaillez avec votre équipe réseau pour assurer un accès approprié aux points de terminaison Microsoft.

Vérification : Après avoir appliqué les correctifs, exécutez dsregcmd /status pour confirmer que les problèmes sont résolus. Vérifiez que les tests de diagnostic affichent "SUCCESS" et que l'état de l'appareil reflète le statut de jonction attendu.

Questions Fréquentes

Que signifie AzureAdJoined YES dans la sortie dsregcmd ?+
AzureAdJoined OUI indique que votre appareil Windows est enregistré avec succès auprès de Microsoft Entra ID (Azure AD) et peut authentifier les utilisateurs contre les services d'identité cloud. Cela permet une authentification unique aux applications Microsoft 365, l'application des politiques d'accès conditionnel et la gestion des appareils basée sur le cloud via Intune. L'appareil a établi une relation de confiance avec votre locataire Azure AD et possède les certificats nécessaires pour une communication sécurisée.
Comment puis-je résoudre le problème de dsregcmd affichant AzureAdPrt NO pour les problèmes de SSO ?+
AzureAdPrt NON signifie que le Primary Refresh Token est manquant ou invalide, ce qui perturbe la fonctionnalité de single sign-on. Tout d'abord, exécutez dsregcmd /refreshprt pour tenter le renouvellement du jeton. Si cela échoue, vérifiez la connectivité réseau vers login.microsoftonline.com et assurez-vous que l'appareil peut atteindre les points de terminaison Azure AD. Vérifiez que le compte utilisateur n'est pas bloqué par des politiques d'accès conditionnel. Dans les cas persistants, essayez dsregcmd /leave suivi de dsregcmd /join pour rétablir l'enregistrement de l'appareil et obtenir un nouveau PRT.
Quelle est la différence entre joint au domaine et joint hybride à Azure AD ?+
Les appareils joints au domaine (DomainJoined OUI, AzureAdJoined NON) s'authentifient uniquement contre Active Directory sur site et ne peuvent pas accéder aux ressources cloud sans informations d'identification supplémentaires. Les appareils hybrides joints à Azure AD (les deux valeurs OUI) conservent l'appartenance au domaine tout en s'enregistrant avec Azure AD, permettant un accès transparent aux ressources sur site et cloud. L'adhésion hybride offre le meilleur des deux mondes : des fonctionnalités de domaine traditionnelles comme les stratégies de groupe, ainsi que des capacités cloud modernes comme l'accès conditionnel et le SSO pour les applications cloud.
Pourquoi la commande dsregcmd /join échoue-t-elle avec l'erreur 0x801c001d ?+
L'erreur 0x801c001d indique généralement un échec de découverte du DRS (Device Registration Service), ce qui signifie que l'appareil ne peut pas localiser les points de terminaison d'enregistrement Azure AD. Cela provient généralement de problèmes de résolution DNS, de blocage d'accès par un proxy/pare-feu à enterpriseregistration.windows.net, ou d'une configuration manquante du Service Connection Point (SCP) dans Active Directory sur site. Vérifiez la connectivité réseau aux points de terminaison Microsoft, vérifiez la résolution DNS, et assurez-vous que votre serveur AD Connect a correctement configuré l'objet SCP avec les informations de votre locataire.
À quelle fréquence devrais-je exécuter dsregcmd /status pour la surveillance des appareils ?+
Exécutez dsregcmd /status de manière réactive lors du dépannage des problèmes d'authentification, des échecs SSO ou des problèmes de gestion des appareils plutôt que sur une base planifiée. Pour une surveillance proactive, intégrez-le dans les scripts de connexion ou les vérifications de santé du système mensuellement pour détecter les dérives d'enregistrement ou les problèmes d'expiration de certificat. Exécutez-le toujours avant et après avoir effectué des opérations de jonction/séparation pour vérifier le succès. Dans les environnements avec des changements fréquents de politique d'accès conditionnel, des vérifications hebdomadaires aident à identifier les appareils qui peuvent avoir perdu le statut de conformité ou la validité du PRT.
Evan Mael
Écrit par

Evan Mael

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#azure-ad#windows#gestion des appareils

Intelligence Complémentaire

Approfondissez vos connaissances

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Comment configurer le blocage des fichiers suspects dans Microsoft Defender à l'aide d'Intune
tutorial
Cybersecurity

Comment configurer le blocage des fichiers suspects dans Microsoft Defender à l'aide d'Intune

Explorer
Comment contrôler les raccourcis du menu Démarrer de Windows à l'aide de Microsoft Intune
tutorial
Cloud Computing

Comment contrôler les raccourcis du menu Démarrer de Windows à l'aide de Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte