Microsoft Entra ID

Letzte Änderung: 2025-11-01

dsregcmd: Diagnose-Tool für Azure AD-Geräteidentität

dsregcmd.exe ist das essentielle Windows-Kommandozeilenprogramm für Dich als Administrator, um den lokalen Geräteregistrierungsstatus im Systemkontext zu überprüfen. Es ist Deine entscheidende lokale Quelle auf der Client-Seite, die Dir sofort sagt, ob ein Windows-Gerät als Azure AD Joined, Hybrid Azure AD Joined oder Azure AD Registered eingebunden ist.

dsregcmd Übersicht Einleitung

Die sekundäre, aber mindestens ebenso wichtige, Funktion ist die Bereitstellung detaillierter Diagnosedaten. Diese Infos sind Gold wert, um die Ursache von Fehlern bei der Geräteidentität und beim Single Sign-On (SSO) Status schnell zu finden. Ohne diese lokalen Einblicke wäre das Troubleshooting in hybriden Umgebungen extrem zeitaufwendig.

Alles Wichtige auf einen Blick

dsregcmd.exe ist das entscheidende lokale Kommandozeilen-Diagnose-Tool, um den Status der Azure AD Geräteidentität und des Single Sign-On (SSO) direkt auf dem Windows-Client zu überprüfen. Es liefert Dir als Administrator sofort die Fakten, die Du für ein effektives Troubleshooting von Conditional Access (CA) und Authentifizierungs-Fehlern benötigst.

Um das Tool effizient zu nutzen und die Ergebnisse korrekt zu interpretieren, orientiere Dich an diesen fünf Hauptpunkten:

  • Identifikation der Join-Art: Das Tool zeigt Dir sofort, ob das Gerät als Azure AD Joined (AAJ), Hybrid Azure AD Joined (HAADJ) oder Azure AD Registered (AAR) eingebunden ist. Dies ist die grundlegende Statusprüfung.
  • PRT-Status als SSO-Beweis: Der Abschnitt User State mit dem Wert AzureAdPrt: YES bestätigt, dass das Primary Refresh Token (PRT) aktiv ist. Das PRT ist die zwingende technische Basis für funktionierendes Single Sign-On und Conditional Access.
  • Wichtigkeit des Cloud-Abgleichs: Gleiche den lokalen Status (dsregcmd /status) immer mit dem erwarteten Zustand im Entra Admin Center ab. Lokale Fehlercodes sind entscheidend, um zu verstehen, warum die Registrierung möglicherweise gescheitert ist (z. B. wegen SCP oder Proxy).
  • Häufige Fehler in der Discover-Phase: Die kritischsten Fehler (z. B. 0x801c001f oder 0x801c001d) treten oft in der Discovery-Phase auf. Sie deuten fast immer auf Probleme mit dem Netzwerk, Proxy-Einstellungen im SYSTEM-Kontext oder eine fehlerhafte Service Connection Point (SCP)-Konfiguration im lokalen AD hin.
  • Automatisierung zur Skalierung: Da die Ausgabe reiner Text ist, ist Skripting mit PowerShell unerlässlich, um die Key-Value-Paare (AzureAdJoined: YES) zu parsen. Nur so kannst Du den Registrierungsstatus von Hunderten von Geräten effizient und proaktiv überprüfen und Dein Management skalieren.

Erhöhte Sicherheit und effizientes Troubleshooting sind manchmal nur einen Befehl und eine korrekte Analyse entfernt. Wenn Du mehr über die Diagnose von Geräteidentitätsproblemen wissen möchtest, melde Dich gerne direkt bei mir.

Termin mit Aaron buchen
dsregcmd: Diagnose-Tool für Azure AD-Geräteidentität
Alles Wichtige auf einen Blick
Einsatzgebiete in modernen Windows-Umgebungen
Voraussetzungen und Berechtigungen
Unterstützte Windows-Versionen
Rollen und Berechtigungen
Grundlegende Funktionsweise verstehen
Bedeutung für die Geräteidentität
Die wichtigsten dsregcmd-Befehle im Überblick
Ausgabe von dsregcmd /status analysieren
Geräteinformationen (Device State)
SSO-Status und Benutzerinformationen (User State)
Fehlerbehebung mit dsregcmd
Logs und Ereignisanzeige
Häufige Fehlermeldungen und ihre Ursachen
Praktische Troubleshooting-Schritte
Automatisierung und Skripting mit dsregcmd
Sicherheitsaspekte und Compliance
Bedeutung für Conditional Access (CA)
Und jetzt? Sichere Dich weiter ab
Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

Einsatzgebiete in modernen Windows-Umgebungen

dsregcmd ist in allen modernen M365- und Windows-Umgebungen ein fundamental wichtiges Werkzeug:

  • Hybride Infrastrukturen (Hybrid Join): Hier ist das Tool unerlässlich. Du validierst damit, ob Geräte in lokalen Domänen korrekt mit Microsoft Entra ID (Entra ID) synchronisiert und registriert wurden. Nur so stellst Du sicher, dass die Benutzer nahtlos auf lokale und Cloud-Ressourcen zugreifen können.

  • Cloud-Native Umgebungen (reiner Azure AD Join): Es dient zur schnellen Überprüfung des AAD Join Status bei Geräten, die keine lokale AD-Domänenmitgliedschaft haben. Außerdem ist es entscheidend für die Sicherheitsvalidierung, da es bestätigt, dass die lokale Geräteregistrierung erfolgreich war und damit die Basis für Conditional Access (CA) Richtlinien geschaffen ist.

Wichtig: Du musst den Status, den Du im Entra Admin Center siehst, immer mit dem lokalen Status abgleichen. Das Admin Center zeigt Dir den erwarteten oder zuletzt gemeldeten Zustand in der Cloud, aber dsregcmd liefert Dir den aktuellen, lokalen Status – und vor allem die detaillierten Fehlerpfade, die zum Fehlschlag geführt haben. Nur so kannst Du präzise feststellen, ob das Problem beim Client, bei der Synchronisierung (Entra Connect) oder in der Cloud-Konfiguration liegt.

Voraussetzungen und Berechtigungen

Unterstützte Windows-Versionen

Das Tool unterstützt alle relevanten modernen Plattformen:

  • Client-Betriebssysteme: Windows 10 (Pro, Enterprise, Education) und Windows 11.

  • Server-Betriebssysteme: Windows Server 2016, Windows Server 2019 und Windows Server 2022.

Das Tool ist nicht für ältere Down-Level-Betriebssysteme (wie Windows 8.1 oder Server 2012 R2) vorgesehen.

Rollen und Berechtigungen

Die benötigten Rechte variieren je nach Aktion:

  • Standardbenutzer: Für die Ausführung des Befehls dsregcmd /status sind keine erhöhten Rechte notwendig. Das ist ein großer Vorteil, da First-Level-Support und Benutzer einfache Selbsthilfe-Checks durchführen können.

  • Administrator: Alle Aktionen, die eine Zustandsänderung bewirken – wie /join, /leave oder auch /debug – erfordern zwingend eine erhöhte Eingabeaufforderung ("Als Administrator ausführen").

Grundlegende Funktionsweise verstehen

dsregcmd ist das zentrale Werkzeug, um die Geräteidentität im Kontext von Entra ID zu bestimmen:

  • Azure AD Joined (AAJ): Gerät ist vollständig in Entra ID registriert und verwaltet. Status: AzureAdJoined: YES, DomainJoined: NO.

  • Hybrid Azure AD Joined (HAADJ): Standard in vielen Unternehmen. Gerät ist Mitglied der lokalen AD-Domäne und synchronisiert/registriert in Entra ID. Status: AzureAdJoined: YES, DomainJoined: YES.

  • Azure AD Registered (AAR) / Workplace Joined: Meist für private Geräte (BYOD). Gerät selbst ist kein Mitglied, aber der Benutzer hat seine Anmeldeinformationen hinterlegt.

Tabellarische Übersicht zu den dsregcmd Entra ID Join Types

Bedeutung für die Geräteidentität

Eine erfolgreiche Registrierung oder Join-Operation schafft die Basis für moderne Identitäts- und Sicherheitskonzepte:

  • Primary Refresh Token (PRT): Wenn ein Gerät erfolgreich eingebunden ist, erhält das System ein PRT. Dieses Token ermöglicht das Single Sign-On (SSO) zu Cloud-Ressourcen ohne ständige Passworteingabe und ist eine zwingende Voraussetzung für Conditional Access.

  • Geräteobjekt: Die erfolgreiche Registrierung erzeugt ein Geräteobjekt in Entra ID. Dieses Objekt enthält Attribute wie DeviceTrustType und DeviceTrustLevel, die die Bewertungskriterien für CA-Richtlinien darstellen.

Ergänzend zur lokalen Diagnose mit dsregcmd ist die Beherrschung der zentralen Identitätsplattform der nächste logische Schritt zur Absicherung Deiner Umgebung. Wenn Du das Thema also weiter vertiefen möchtest, registriere Dich für meinen virtuellen Ein-Tages-Workshop: Microsoft Entra ID (Azure Active Directory).

Die wichtigsten dsregcmd-Befehle im Überblick

Hier ist eine Übersicht über die Befehle, die Du im IT-Alltag zur Diagnose und Reparatur nutzen wirst:

Befehl

Zweck

Primäre Anwendung

Notwendige Berechtigungen

dsregcmd /status

Überprüfung des aktuellen Geräteregistrier-ungs- und SSO-Status.

Erstdiagnose, Statuscheck.

Standard

-benutzer

dsregcmd /join

Manuelle Initiierung des Registrierungs-prozesses.

(hauptsächlich AAD Joined).

Administrator

dsregcmd /leave

Entfernt die lokale Geräteregistrier-ung und Anmeldeinforma-tionen.

Vorbereitung auf Neuregistrier-ung.

Administrator

dsregcmd /debug /leave

Erzwingt das Löschen der lokalen Registrierung mit erweiterter Protokollierung.

Manuelle Reparatur bei inkonsistentem HAADJ-Status.

Administrator

Ausgabe von dsregcmd /status analysieren

Die Ausgabe gliedert sich primär in die Sektionen Device State, User State und Diagnostic Data. Als M365-Admin prüfst Du zuerst die ersten beiden.

 116 Seiten Entra ID für AdminsKostenlos herunterladen!
Security & Compliance CheckKostenloses Gespräch

Geräteinformationen (Device State)

Dieser Abschnitt liefert die fundamentalen Fakten zur Geräteregistrierung:

  • AzureAdJoined: Zeigt an, ob das Gerät in Entra ID registriert ist (YES/NO).

  • DomainJoined: Zeigt an, ob das Gerät Mitglied einer lokalen AD-Domäne ist (YES/NO).

  • DeviceId: Die eindeutige GUID des Geräts in Entra ID. Sie ist Deine lokale Referenz für die Cloud-Verifizierung.

  • TenantId und TenantName: Bestätigt, mit welchem Cloud-Tenant das Gerät verbunden ist.

Der Hybrid Azure AD Join (HAADJ) ist nur dann erfolgreich abgeschlossen, wenn AzureAdJoined: YES UND DomainJoined: YES angezeigt wird. Findest Du DomainJoined: YES, aber AzureAdJoined: NO, ist der Client beim Entra ID Discovery oder am Registrierungsprozess gescheitert (z. B. wegen Netzwerk- oder SCP-Fehlern).

SCP-Details: Für HAADJ muss der Service Connection Point die Keywords azureADid:<TenantID> und azureADName:<verified domain> enthalten; bei Multi-Forest muss der SCP in allen betroffenen Forests existieren.

dsregcmd Lücken schließen klein

SSO-Status und Benutzerinformationen (User State)

Dieser Abschnitt ist entscheidend, um die Benutzerfreundlichkeit und den Sicherheitsstatus zu verifizieren:

  • AzureAdPrt: YES: Signalisiert, dass das Primary Refresh Token (PRT) für den aktuell angemeldeten Benutzer vorhanden ist.

  • AzureAdPrtUpdateTime: Zeigt den letzten Zeitpunkt, zu dem das PRT erneuert wurde.

  • IsUserAzureAD: Bestätigt, dass der angemeldete Benutzer in Entra ID existiert und authentifiziert werden konnte.

  • TenantId und TenantName: Bestätigt, mit welchem Cloud-Tenant das Gerät verbunden ist.

Ein aktives PRT ist eine notwendige, aber keine hinreichende Bedingung für den Erfolg von Conditional Access. 

Wenn SSO funktioniert, aber CA fehlschlägt, liegt die Ursache oft in einer Diskrepanz der Cloud-Attribute (z. B. wenn das Gerät in Entra ID nicht als Managed markiert wurde).

Sektion

Feldname

Erwarteter Wert (HAADJ)

Bedeutung für Admins

Device State

AzureAdJoined

YES

Erfolgreiche Registrierung in Entra ID.

Device State

DomainJoined

YES

Gerät ist in lokaler AD-Domäne eingebunden.

User State

AzureAdPrt

YES

Primary Refresh Token für SSO ist aktiv.

User State

DeviceTrustLevel

Managed oder Domain Joined

Direkt relevant für Conditional Access.

Fehlerbehebung mit dsregcmd

Die Fehlerbehebung folgt einem klaren Ansatz: Starte mit /status, um die Phase des Fehlschlags zu identifizieren, und nutze dann die Diagnostic Data oder die Event Logs.

Logs und Ereignisanzeige

  • Moderne Windows-Versionen (ab Windows 10 v1803): Du suchst den Abschnitt Diagnostic Data in der /status-Ausgabe. Hier findest Du unter Previous Registration die Error Phase und den Client ErrorCode. Das ist der schnellste Weg zur Fehlerursache.

  • Ältere Windows-Versionen: Du musst die Event Logs konsultieren unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > User Device Registration.

Häufige Fehlermeldungen und ihre Ursachen

Die meisten kritischen Fehler treten in der Discover-Phase auf, wenn das Gerät versucht, die Entra ID Metadaten abzurufen.

  • Fehler 0x801c001f (DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT): Ein Timeout-Fehler. Das Gerät konnte die erforderlichen Entra ID Endpunkte (https://enterpriseregistration.windows.net) nicht erreichen. Lösung: Stelle die Netzwerkkonnektivität sicher und prüfe, dass der Systemkontext Zugriff auf diese URLs hat. System-Proxy-Einstellungen oder Firewall-Ausnahmen sind oft nötig.

  • Fehler 0x801c001d (DSREG_AUTOJOIN_ADCONFIG_READ_FAILED): Das Gerät kann die Service Connection Point (SCP)-Informationen im lokalen Active Directory (AD) nicht lesen. Lösung: Überprüfung der SCP-Konfiguration in ADSI Edit.

Fehlercode (Client ErrorCode)

Fehlerphase

Häufige Ursache

Lösung

0x801c001f

Discover

Timeout beim Erreichen der DRS-Endpunkte.

Überprüfe System-Proxy-Einstellungen und Firewall-Freigaben für den SYSTEM-Account.

0x801c001d

Precheck/ Discover

Service Connection Point (SCP) kann nicht gelesen werden.

Verifiziere die SCP-Konfiguration im lokalen AD (Attribut Keywords).

Praktische Troubleshooting-Schritte

Wenn Du einen Fehler in der Discover-Phase findest, konzentriere Dich auf Proxy und Firewall. Der Registrierungsservice läuft unter dem SYSTEM-Account. Wenn Dein Proxy eine Authentifizierung benötigt, scheitert der SYSTEM-Account oft. Du musst sicherstellen, dass der SYSTEM-Account die Proxy-Authentifizierung stillschweigend durchführen kann, oder dass eine Ausnahme für die Entra ID Endpunkte eingerichtet wurde.

Forcierter Rejoin (HAADJ):

  1. Führe (als Administrator) dsregcmd /debug /leave aus.

  2. Melde Dich ab und wieder an. Dies triggert den geplanten Task Automatic-Device-Join und leitet die erneute Registrierung ein.

Automatisierung und Skripting mit dsregcmd

Die manuelle Verwaltung von Hunderten von Geräten ist nicht praktikabel. Die Skriptfähigkeit von dsregcmd ist daher entscheidend.

Da dsregcmd eine Kommandozeilenanwendung ist, musst Du ihre Textausgabe parsen. Du kannst die Ausgabe in eine PowerShell-Variable leiten und anschließend mit regulären Ausdrücken oder String-Splitting die Key-Value-Paare extrahieren. Die Umwandlung in ein verwaltbares PowerShell-Objekt ist essenziell, um gezielt Werte wie AzureAdJoined abzufragen und weiterzuverarbeiten.

Beispiel aus der Praxis: Mit PowerShell-Skripten, die über Intune Proactive Remediations verteilt werden, kannst Du den Registrierungsstatus regelmäßig proaktiv überprüfen. So identifizierst Du leicht alle Geräte, bei denen die Registrierung fehlt oder inkonsistent ist. 

Die Skalierbarkeit Deines Managements hängt davon ab, ob Du die rohe Textausgabe von dsregcmd automatisiert verarbeiten kannst.

Sicherheitsaspekte und Compliance

dsregcmd ist ein grundlegendes Werkzeug, um die Einhaltung der Entra ID Sicherheits- und Compliance-Anforderungen zu gewährleisten.

Bedeutung für Conditional Access (CA)

CA setzt einen vertrauenswürdigen Gerätestatus voraus, der durch die Join-Operationen generiert wird. Die CA-Richtlinien bewerten die Attribute des Geräteobjekts in Entra ID:

  • HAADJ-Geräte: Der DeviceTrustType muss den Wert Domain Joined aufweisen.

  • Verwaltete Geräte (z. B. Intune): Der DeviceTrustLevel muss den Wert Managed aufweisen.

Die größte Herausforderung für die CA-Konformität entsteht, wenn der lokale Status (dsregcmd /status) erfolgreich ist (PRT vorhanden), die CA-Richtlinie im Zugriff jedoch fehlschlägt. Dies deutet in der Regel darauf hin, dass die Cloud-Attribute (die von Entra Connect oder Intune verwaltet werden) inkorrekt sind. Hier verlagert sich die Diagnose von der Client-Seite zur Cloud-Seite (Überprüfung der Attribute mit Get-MgDevice).

Und jetzt? Sichere Dich weiter ab

Das Tool dsregcmd hat Dir geholfen, den lokalen Status der Geräteidentität und des Primary Refresh Tokens (PRT) zu verifizieren. Du hast die Basis für Conditional Access (CA) geschaffen. Doch die Gerätesicherheit und Compliance sind ein kontinuierlicher Prozess, der weit über die lokale Client-Prüfung hinausgeht.

Die korrekte Entra ID-Konfiguration in der Cloud ist entscheidend, damit die mit dsregcmd geprüften und registrierten Geräte auch wirklich geschützt sind und sicher auf Ressourcen zugreifen können.

Daher verlinke ich Dir hier einige Ratgeber, mit denen Du die Sicherheit Deines Tenants und die Integrität der Geräteverwaltung weiter verstärkst:

  • Entra ID Join-Typen: Anmeldung, Verwaltung, Gruppenrichtlinien und mehr: Der Hauptartikel nutzt dsregcmd, um zwischen Hybrid Joined, Cloud Joined und Registered zu unterscheiden. Dieser Ratgeber vertieft das Verständnis der Join-Typen und erklärt die genauen Unterschiede in Bezug auf Verwaltung (Intune) und die Sicherheitsauswirkungen. Ein Muss, um ungewollte Registrierungen zu vermeiden und den Status, den dsregcmd ausgibt, vollständig zu interpretieren.

  • Microsoft Entra Connect – die sichere Verbindung zwischen lokalem AD und Cloud-Identität: Besonders der Hybrid Azure AD Join (HAADJ), dessen Status Du mit dsregcmd überprüfst, steht und fällt mit der korrekten Synchronisation. Entra Connect ist der Schlüssel, um die Hybrididentität Deiner Geräte zu gewährleisten. Er beleuchtet die Migration von V1 auf V2 und die Nutzung von Connect Health, um sicherzustellen, dass die Cloud-Seite Deiner Geräteobjekte (die Quelle des Problems bei vielen dsregcmd-Fehlern) immer aktuell ist.

  • Entra ID: Verhindere Token-Diebstahl mit Conditional Access!: dsregcmd bestätigt das Vorhandensein des Primary Refresh Tokens (PRT), das für SSO unerlässlich ist. Dieser Artikel erklärt, wie Du dieses lebenswichtige Token selbst vor dem Diebstahl schützt. Du lernst, wie Conditional Access Policies mit Phishing-resistenter MFA (z. B. FIDO2) das Risiko des Token-Diebstahls minimieren – eine kritische Maßnahme, die die durch dsregcmd validierte Authentifizierungsbasis auf ein höheres Sicherheitsniveau hebt.

  • Conditional Access Best Practices: Die 5 Must-Have Richtlinien!: Die dsregcmd-Analyse ist oft der erste Schritt, wenn der Zugriff per CA fehlschlägt. Dieser Artikel bietet Dir die Blaupause für die korrekte Zero Trust-Implementierung. Erfahre, welche 5 Best-Practice-Richtlinien Du unbedingt aktivieren musst, um Geräte-Compliance und starke MFA konsistent durchzusetzen. Diese Richtlinien definieren, was mit den von dsregcmd als "vertrauenswürdig" eingestuften Geräten überhaupt gemacht werden darf.

Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.

Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.

Wenn Du Fragen hast, melde Dich sehr gerne bei mir!

Teilen0
Teilen0
Teilen0
Twittern0
Aaron Siller auf YouTube: @aaronsiller7722
Der Microsoft Security Experte
Jede Woche ein neues Video
Über Aaron Siller

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

Kontakt mit Aaron aufnehmen
Mehr zu Aaron Siller
Share 0
Share 0
Share 0
Kommentare
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>