Partager via

Résoudre les problèmes de jeton d’actualisation principaux sur les appareils Windows

  • Article

Cet article explique comment résoudre les problèmes impliquant le jeton d'actualisation principal (PRT) lorsque vous vous authentifiez sur un appareil Windows rejoint par Microsoft Entra à l'aide de vos informations d'identification Microsoft Entra.

Sur les appareils associés à Microsoft Entra ID ou à Microsoft Entra ID hybride, le principal composant d’authentification est le PRT. Vous obtenez ce jeton en vous connectant à Windows 10 à l’aide des informations d’identification Microsoft Entra sur un appareil joint à Microsoft Entra pour la première fois. Le PRT est mis en cache sur cet appareil. Pour les connexions suivantes, le jeton mis en cache est utilisé pour vous permettre d’utiliser le bureau.

Dans le cadre du processus de verrouillage et de déverrouillage de l’appareil ou de reconnexion à Windows, une tentative d’authentification réseau en arrière-plan est effectuée une fois toutes les quatre heures pour actualiser le PRT. Si des problèmes empêchent l’actualisation du jeton, le PRT finit par expirer. L’expiration affecte l’authentification unique (SSO) aux ressources Microsoft Entra. Cela entraîne également l’affichage d’invites de connexion.

Si vous soupçonnez l’existence d’un problème PRT, nous vous recommandons de collecter d’abord les journaux Microsoft Entra et de suivre les étapes décrites dans la liste de contrôle pour la résolution des problèmes. Faites-le d’abord pour tout problème de client Microsoft Entra, idéalement au cours d’une session de repro. Effectuez ce processus avant de déposer une demande de support.

Liste de contrôle pour la résolution des problèmes

Étape 1 : obtenir l’état du jeton d’actualisation principal

  1. Connectez-vous à Windows sous le compte d’utilisateur dans lequel vous rencontrez des problèmes de PRT.

  2. Sélectionnez Démarrer, puis recherchez et sélectionnez Invite de commandes.

  3. Pour exécuter la commande d’inscription d’appareil (dsregcmd), entrez dsregcmd /status.

  4. Recherchez la section SSO state de la sortie de la commande d’inscription d’appareil. Le texte suivant montre un exemple de cette section :

    +----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs

+----------------------------------------------------------------------+

  5. Notez la valeur du champ AzureAdPrt. S'il est défini sur NO, une erreur s'est produite lorsque vous avez tenté d'acquérir le statut PRT à partir de Microsoft Entra ID.

  6. Notez la valeur du champ AzureAdPrtUpdateTime. Si la valeur du champ AzureAdPrtUpdateTime est supérieure à quatre heures, un problème empêche probablement le PRT de s’actualiser. Verrouillez et déverrouillez l’appareil pour forcer l’actualisation du PRT, puis vérifiez si l’heure est mise à jour.

Étape 2 : rechercher le code d’erreur

L’étape suivante consiste à obtenir le code d’erreur qui provoque l’erreur PRT. Le moyen le plus rapide d’obtenir le code d’erreur PRT consiste à examiner la sortie de la commande d’inscription d’appareil. Toutefois, cette méthode nécessite la mise à jour Windows 10 de mai 2021 (version 21H1) ou une version ultérieure. L'autre méthode consiste à rechercher le code d'erreur dans les journaux analytiques et opérationnels de Microsoft Entra.

Méthode 1 : examiner la sortie de la commande d’inscription d’appareil

Notes

Cette méthode est disponible uniquement si vous utilisez la mise à jour Windows de 10 mai 2021 (version 21H1) ou une version ultérieure de Windows.

Pour obtenir le code d’erreur PRT, exécutez la commande dsregcmd, puis recherchez la section SSO State. Dans le champ AzureAdPrt, le champ Attempt Status contient le code d’erreur. Dans l’exemple suivant, le code d’erreur est 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Méthode 2 : Utiliser l’observateur d’événements pour examiner les journaux analytiques et opérationnels AAD

  1. Sélectionnez Démarrer, puis recherchez et sélectionnez Observateur d'événements.

  2. Si l’arborescence de la console n’apparaît pas dans la fenêtre Observateur d'événements, sélectionnez l’icône Afficher/Masquer l’arborescence de la console pour rendre l’arborescence de la console visible.

  3. Dans l’arborescence de la console, sélectionnez Observateur d'événements (local). Si les nœuds enfants n’apparaissent pas sous cet élément, double-cliquez sur votre sélection pour les afficher.

  4. Sélectionnez le menu Afficher. Si aucune coche n’est affichée en regard de Afficher les journaux d’analyse et de débogage, sélectionnez cet élément de menu pour activer cette fonctionnalité.

  5. Dans l’arborescence de la console, développez Journaux des applications et services>Microsoft>Windows>AAD. Les nœuds enfants Opérationnels et Analytiques s’affichent.

    Notes

    Dans le plug-in Microsoft Entra Cloud Authentication Provider (CloudAP), les événements d'erreur sont écrits dans les journaux d'événements opérationnels et les événements d'information sont écrits dans les journaux d'événements analytiques. Vous devez examiner les journaux des événements Opérationnels et Analytiques pour résoudre les problèmes PRT.

  6. Dans l’arborescence de la console, sélectionnez le nœud Analytique pour afficher les événements analytiques liés à AAD.

  7. Dans la liste des événements analytiques, recherchez les ID d’événements 1006 et 1007. L’ID d’événement 1006 indique le début du flux d’acquisition de PRT et l’ID d’événement 1007 indique la fin du flux d’acquisition PRT. Tous les événements dans les journaux AAD (analytiques et opérationnels) qui se sont produits entre l’ID d’événement 1006 et l’ID d’événement 1007 sont enregistrés dans le cadre du flux d’acquisition PRT. Le tableau ci-après en fournit un exemple de liste d’événements.

    Level Date et heure Source ID de l’événement Catégorie de la tâche
    Information 6/24/2020 3:35:35 AM AAD 1006 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1018 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1144 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1022 Opération AadCloudAPPlugin
    Error 6/24/2020 3:35:35 AM AAD 1084 Opération AadCloudAPPlugin
    Error 6/24/2020 3:35:35 AM AAD 1086 Opération AadCloudAPPlugin
    Error 6/24/2020 3:35:35 AM AAD 1160 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1007 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1157 Opération AadCloudAPPlugin
    Information 6/24/2020 3:35:35 AM AAD 1158 Opération AadCloudAPPlugin

  8. Double-cliquez sur la ligne qui contient l’ID d’événement 1007. La boîte de dialogue Propriétés d’événement s’affiche.

  9. Dans la zone de description de l’onglet Général, copiez le code d’erreur. Le code d’erreur est une chaîne de 10 caractères qui commence par 0x, suivie d’un nombre hexadécimal à 8 chiffres.

Étape 3 : obtenir des instructions de résolution des problèmes pour certains codes d’erreur

Codes d’état (préfixe « STATUS_ », codes commençant par « 0xc000 »)

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)
Cause

  • L'appareil ne parvient pas à se connecter au service d'authentification Microsoft Entra.

  • L’appareil a reçu une réponse d’erreur HTTP 400 Bad Request de l’une des sources suivantes :

    • Le service d'authentification Microsoft Entra
    • Un point de terminaison pour le protocole WS-Trust (requis pour l’authentification fédérée)
Solution

  • Si l’environnement local nécessite un proxy sortant, assurez-vous que le compte d’ordinateur de l’appareil peut découvrir le proxy sortant et s’y authentifier en mode silencieux.

  • Obtenez le code d’erreur du serveur et la description de l’erreur, puis accédez à la section Codes d’erreur de serveur courants (préfixe « AADSTS ») pour trouver la cause de ce code d’erreur de serveur et les détails de la solution.

    Dans les journaux opérationnels de Microsoft Entra, l'ID d'événement 1081 contient le code d'erreur du serveur et la description de l'erreur si l'erreur se produit dans le service d'authentification de Microsoft Entra. Si l’erreur se produit dans un point de terminaison WS-Trust, le code d’erreur du serveur et la description de l’erreur se trouvent dans l’ID d’événement 1088. Dans les journaux d’analyse Microsoft Entra, la première instance de l’ID d’événement 1022 (qui précède les ID d’événement opérationnels 1081 et 1088) contient l’URL à laquelle on accède.

    Pour afficher les ID d'événement dans les journaux opérationnels et analytiques de Microsoft Entra, reportez-vous à la section Méthode 2 : Utiliser l'Observateur d'événements pour examiner les journaux analytiques et opérationnels de Microsoft Entra.

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)
Cause

L’appareil a reçu une réponse d’erreur HTTP 400 Bad Request de l’une des sources suivantes :

  • Le service d'authentification Microsoft Entra
  • Un point de terminaison pour le protocole WS-Trust (requis pour l’authentification fédérée)
Solution

Obtenez le code d’erreur du serveur et la description de l’erreur, puis accédez à la section Codes d’erreur de serveur courants (préfixe « AADSTS ») pour trouver la cause de ce code d’erreur de serveur et les détails de la solution.

Dans les journaux opérationnels de Microsoft Entra, l'ID d'événement 1081 contient le code d'erreur du serveur et la description de l'erreur si l'erreur se produit dans le service d'authentification de Microsoft Entra. Si l’erreur se produit dans un point de terminaison WS-Trust, le code d’erreur du serveur et la description de l’erreur se trouvent dans l’ID d’événement 1088. Dans les journaux d’analyse Microsoft Entra, la première instance de l’ID d’événement 1022 (qui précède les ID d’événement opérationnels 1081 et 1088) contient l’URL à laquelle on accède.

Pour afficher les ID d'événement dans les journaux opérationnels et analytiques de Microsoft Entra, reportez-vous à la section Méthode 2 : Utiliser l'Observateur d'événements pour examiner les journaux analytiques et opérationnels de Microsoft Entra.

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)
Cause

  • L’appareil a reçu une réponse d’erreur HTTP 4xx de l’une des sources suivantes :

    • Le service d'authentification Microsoft Entra
    • Un point de terminaison pour le protocole WS-Trust (requis pour l’authentification fédérée)

  • Il existe un problème de connectivité réseau à un point de terminaison requis.

Solution

  • Obtenez le code d’erreur du serveur et la description de l’erreur, puis accédez à la section Codes d’erreur de serveur courants (préfixe « AADSTS ») pour trouver la cause de ce code d’erreur de serveur et les détails de la solution.

    Dans les journaux opérationnels de Microsoft Entra, l'ID d'événement 1081 contient le code d'erreur du serveur et la description de l'erreur si l'erreur se produit dans le service d'authentification de Microsoft Entra. Si l’erreur se produit dans un point de terminaison WS-Trust, le code d’erreur du serveur et la description de l’erreur se trouvent dans l’ID d’événement 1088.

  • Pour un problème de connectivité réseau, récupérez l’URL consultée et le code de sous-erreur à partir de la pile réseau. L'ID d'événement 1022 dans les journaux d'analyse Microsoft Entra contient l'URL à laquelle l'utilisateur accède. L'ID d'événement 1084 dans les journaux opérationnels de Microsoft Entra contient le code d'erreur secondaire de la pile réseau.

Pour afficher les ID d'événement dans les journaux opérationnels et analytiques de Microsoft Entra, reportez-vous à la section Méthode 2 : Utiliser l'Observateur d'événements pour examiner les journaux analytiques et opérationnels de Microsoft Entra.

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)
Cause

La découverte du domaine utilisateur a échoué car le service d'authentification Microsoft Entra ne parvient pas à trouver le domaine de l'utilisateur.

Solution

Codes d’erreur courants du plug-in CloudAP (préfixe « AAD_CLOUDAP_E_ », codes commençant par « 0xc004 »)

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)
Cause

L’UPN de l’utilisateur n’est pas au format attendu. La valeur UPN varie en fonction du type d’appareil, comme indiqué dans le tableau suivant.

Type de jointure d’appareil Valeur UPN
Microsoft Entra Appareils joints Texte entré lorsque l’utilisateur se connecte
Périphériques hybrides joints Microsoft Entra UPN que le contrôleur de domaine renvoie pendant le processus de connexion
Solution
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)
Cause

L’identifiant de sécurité utilisateur (SID) est manquant dans le jeton d’ID renvoyé par le service d’authentification Microsoft Entra.

Solution

Assurez-vous que le proxy réseau n’interfère pas avec la réponse du serveur et ne la modifie pas.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)
Cause

Vous avez reçu une erreur du point de terminaison du protocole WS-Trust (requis pour l’authentification fédérée).

Solution
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)
Cause

Le point de terminaison Metadata Exchange (MEX) n’est pas configuré de manière incorrecte. La réponse MEX ne contient aucune URL de mot de passe.

Solution

  • Assurez-vous que le proxy réseau n’interfère pas avec la réponse du serveur et ne la modifie pas.

  • Corrigez la configuration MEX pour renvoyer des URL valides en réponse.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)
Cause

Le point de terminaison Metadata Exchange (MEX) n’est pas configuré de manière incorrecte. La réponse MEX ne contient aucune URL de point de terminaison de certificat.

Solution

  • Assurez-vous que le proxy réseau n’interfère pas avec la réponse du serveur et ne la modifie pas.

  • Corrigez la configuration MEX dans le fournisseur d’identité pour renvoyer des URL de certificats valides en réponse.

Codes d’erreur XML courants (codes commençant par « 0xc00c »)

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)
Cause

La réponse XML du point de terminaison de protocole WS-Trust (requis pour l’authentification fédérée) incluait une définition de type de document (DTD). La DTD n’est pas attendue dans la réponse XML, et l’analyse de la réponse échoue si la DTD est incluse.

Solution

Codes d’erreur de serveur courants (préfixe « AADSTS »)

Vous pouvez trouver une liste complète et une description des codes d'erreur du serveur dans Codes d'erreur d'authentification et d'autorisation Microsoft Entra.

AADSTS50155 : échec de l’authentification de l’appareil
Cause
Solution

Inscrivez-vous à nouveau l’appareil en fonction du type de jonction de l’appareil. Pour obtenir des instructions, reportez-vous à la J’ai désactivé ou supprimé mon appareil. Mais l’état local sur l’appareil indique qu’il est toujours inscrit. Que dois-je faire ?.

AADSTS50034 : le compte utilisateur <Account> n’existe pas dans le répertoire <tenant-id>
Cause

Microsoft Entra ID ne trouve pas le compte utilisateur dans le locataire.

Solution
AADSTS50126 : erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide
Cause

  • L’utilisateur a entré un nom d’utilisateur ou un mot de passe incorrect dans l’interface utilisateur de connexion.

  • Le mot de passe n'a pas été synchronisé avec Microsoft Entra ID en raison du scénario suivant :

Solution

Pour obtenir un PRT actualisé avec les nouvelles informations d’identification, attendez la fin de la synchronisation Microsoft Entra.

Codes d’erreur réseau courants (préfixe « ERROR_WINHTTP_ »)

Vous trouverez la liste complète et une description des codes d’erreur réseau dans Messages d’erreur (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)
Cause

Problèmes courants liés au réseau général.

Solution

  • Obtenez l’URL consultée. Vous pouvez trouver l’URL dans l’ID d’événement 1084 du journal opérationnel Microsoft Entra ou dans l’ID d’événement 1022 du journal analytique Microsoft Entra.

    Pour afficher les ID d'événement dans les journaux opérationnels et analytiques de Microsoft Entra, reportez-vous à la section Méthode 2 : Utiliser l'Observateur d'événements pour examiner les journaux analytiques et opérationnels de Microsoft Entra.

  • Si l’environnement local nécessite un proxy sortant, assurez-vous que le compte d’ordinateur de l’appareil peut découvrir le proxy sortant et s’y authentifier en mode silencieux.

  • Collectez les traces réseau en procédant comme suit :

    Important

    N’utilisez pas Fiddler pendant cette procédure.

    1. Exécutez la commande netsh trace start suivante :

      netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes

    2. Verrouillez l’appareil.

    3. Si l’appareil est un appareil hybride Microsoft Entra, attendez au moins 60 secondes pour laisser la tâche d’acquisition PRT se terminer.

    4. Déverrouillez l’appareil.

    5. Exécutez la commande netsh trace stop suivante :

      netsh trace stop

Étape 4 : collecter les journaux et les traces

Journaux standard

  1. Téléchargez l’archive de script d’authentification et extrayez les scripts dans un répertoire local. Si nécessaire, passez en revue les instructions d’utilisation dans KB 4487175.

  2. Ouvrez une session PowerShell d’administration et remplacez le répertoire actif par le répertoire dans lequel vous avez enregistré les scripts d’authentification.

  3. Pour commencer la session de suivi des erreurs, entrez la commande suivante :

    .\Start-auth.ps1 -v -acceptEULA

  4. Basculez le compte d’utilisateur Windows pour accéder à la session de l’utilisateur problématique.

  5. Verrouillez l’appareil.

  6. Si l’appareil est un appareil hybride Microsoft Entra, attendez au moins 60 secondes pour laisser la tâche d’acquisition PRT se terminer.

  7. Déverrouillez l’appareil.

  8. Rebasculez le compte d’utilisateur Windows sur votre session d’administration qui exécute la session de suivi.

  9. Après avoir reproduit le problème, exécutez la commande suivante pour mettre fin à la session de suivi :

    .\stop-auth.ps1

  10. Attendez que tout le suivi s’arrête complètement.

Traces de voyage dans le temps

La procédure suivante décrit comment capturer des traces à l’aide de la fonctionnalité TTD (Time Travel Debugging).

Avertissement

Les traces de voyage dans le temps contiennent des données personnelles. En outre, les traces LSASS (Local Security Authority Subsystem Service ou lsass.exe) contiennent des informations extrêmement sensibles. Lorsque vous gérez ces traces, veillez à utiliser les meilleures pratiques pour le stockage et le partage de ce type d’informations.

  1. Sélectionnez Démarrer, entrez cmd, recherchez et cliquez avec le bouton droit sur Invite de commandes dans les résultats de la recherche, puis sélectionnez Exécuter en tant qu’administrateur.

  2. À l’invite de commandes, créez un répertoire temporaire :

    mkdir c:\temp

  3. Exécutez la commande tasklist suivante :

    tasklist /m lsasrv.dll

  4. Dans la sortie de commande tasklist, recherchez l’identificateur de processus (PID) de lsass.exe.

  5. Pour commencer une session de suivi du processus lsass.exe, exécutez la commande de débogage de voyage dans le temps suivante (TTD.exe) :

    TTD.exe -attach <lsass-pid> -out c:\temp

  6. Verrouillez l’appareil connecté sous le compte de domaine.

  7. Déverrouillez l’appareil.

  8. Pour mettre fin à la session de suivi des déplacements dans le temps, exécutez la commande TTD suivante :

    TTD.exe -stop all

  9. Obtenez le dernier fichier lsass##.run.