Compartir a través de

Solución de problemas de dispositivos mediante el comando dsregcmd

En este artículo se explica cómo usar la salida del dsregcmd comando para comprender el estado de los dispositivos en el identificador de Microsoft Entra. Ejecute la dsregcmd /status utilidad como una cuenta de usuario de dominio.

Estado del dispositivo

En esta sección se enumeran los parámetros de estado de unión del dispositivo. Los criterios necesarios para que el dispositivo esté en varios estados de unión se enumeran en la tabla siguiente:

AzureAdJoined EmpresaUnida DomainJoined Estado del dispositivo
NO NO Microsoft Entra se unió
NO NO Dominio unido
NO Unido a Microsoft Entra híbrido
NO Unirse a DRS local

Nota:

El estado Unido al área de trabajo (registrado en Microsoft Entra) se muestra en la sección "Estado del usuario ".

  • AzureAdJoined: establezca el estado en YES si el dispositivo está unido al identificador de Microsoft Entra. De lo contrario, establezca el estado en NO.

  • EnterpriseJoined: establezca el estado en YES si el dispositivo está unido a un Active Directory (AD) local. Un dispositivo no puede ser a la vez EnterpriseJoined y AzureAdJoined.

  • DomainJoined: establezca el estado en YES si el dispositivo está unido a un dominio (Active Directory).

  • DomainName: establezca el estado en el nombre del dominio si el dispositivo está unido a un dominio.

Ejemplo de salida de estado del dispositivo

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalles del dispositivo

El estado solo se muestra cuando el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido, no registrado como Microsoft Entra. En esta sección se enumeran los detalles de identificación del dispositivo que se almacenan en el identificador de Microsoft Entra.

  • DeviceId: el identificador único del dispositivo en el inquilino de Microsoft Entra.
  • Huella digital: la huella digital del certificado del dispositivo.
  • DeviceCertificateValidity: el estado de validez del certificado de dispositivo.
  • KeyContainerId: containerId de la clave privada del dispositivo asociada al certificado del dispositivo.
  • KeyProvider: el KeyProvider (hardware/software) utilizado para almacenar la clave privada del dispositivo.
  • TpmProtected: el estado se establece en YES si la clave privada del dispositivo está almacenada en un módulo de plataforma segura (TPM) de hardware.
  • DeviceAuthStatus: realiza una comprobación para determinar el estado del dispositivo en el identificador de Microsoft Entra. Los estados de salud son:
    • SUCCESS si el dispositivo está presente y habilitado en el identificador de Microsoft Entra.
    • FRACASADO. El dispositivo está deshabilitado o eliminado si el dispositivo está deshabilitado o eliminado. Para obtener más información sobre este problema, consulte Preguntas más frecuentes sobre la administración de dispositivos de Microsoft Entra.
    • FRACASADO. ERROR Si la prueba no se pudo ejecutar. Esta prueba requiere conectividad de red a Microsoft Entra ID en el contexto del sistema.

    Nota:

    El campo DeviceAuthStatus se agregó en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

  • Escritorio virtual: Hay tres casos en los que aparece esta línea.
    • NOT SET: los metadatos del dispositivo VDI no están presentes en el dispositivo.
    • SÍ: los metadatos del dispositivo VDI están presentes y dsregcmd genera metadatos asociados, entre ellos:
      • Proveedor: Nombre del proveedor de VDI.
      • Tipo: VDI persistente o VDI no persistente.
      • Modo de usuario: Usuario único o multiusuario.
      • Extensiones: número de pares de clave-valor en metadatos opcionales específicos del proveedor, seguidos de pares de clave-valor.
    • INVALID: los metadatos del dispositivo VDI están presentes, pero no están configurados correctamente. En este caso, dsregcmd genera los metadatos incorrectos.

Salida de detalles del dispositivo de muestra

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalles del inquilino

Los detalles del inquilino solo se muestran cuando el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido, no registrado como Microsoft Entra. En esta sección se enumeran los detalles comunes del inquilino que se muestran cuando un dispositivo se une a Microsoft Entra ID.

Nota:

Si los campos de URL de administración de dispositivos móviles (MDM) de esta sección están vacíos, indica que el MDM no se configuró o que el usuario actual no está en el ámbito de la inscripción de MDM. Compruebe la configuración de movilidad en el identificador de Microsoft Entra para revisar la configuración de MDM.

La presencia de direcciones URL de MDM no garantiza que el dispositivo esté administrado por una MDM. La información se muestra si el inquilino tiene una configuración de MDM para la inscripción automática, incluso si el dispositivo en sí no está administrado.

Ejemplo de salida de detalles del inquilino

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado del usuario

En esta sección se enumeran los estados de varios atributos para los usuarios que han iniciado sesión en el dispositivo.

Nota:

El comando debe ejecutarse en un contexto de usuario para recuperar un estado válido.

  • NgcSet: establezca el estado en YES si se establece una clave de Windows Hello para el usuario que ha iniciado sesión actualmente.
  • NgcKeyId: el identificador de la clave de Windows Hello, si se establece una para el usuario que ha iniciado sesión actualmente.
  • CanReset: indica si el usuario puede restablecer la tecla Windows Hello.
  • Valores posibles: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive o Unknown si hay error.
  • WorkplaceJoined: establezca el estado en YES si se han agregado cuentas registradas de Microsoft Entra al dispositivo en el contexto NTUSER actual.
  • WamDefaultSet: establezca el estado en YES si se crea una WebAccount predeterminada del Administrador de cuentas web (WAM) para el usuario que ha iniciado sesión. Este campo podría mostrar un error si dsregcmd /status se ejecuta desde un símbolo del sistema con privilegios elevados.
  • WamDefaultAuthority: establezca el estado en organizaciones para el identificador de Microsoft Entra.
  • WamDefaultId: Úselo https://login.microsoft.com siempre para el identificador de Microsoft Entra.
  • WamDefaultGUID: el GUID del proveedor de WAM (Microsoft Entra ID/cuenta de Microsoft) para la cuenta web de WAM predeterminada.

Ejemplo de salida de estado de usuario

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado de SSO

Puede omitir esta sección para los dispositivos registrados en Microsoft Entra.

Nota:

El comando debe ejecutarse en un contexto de usuario para recuperar el estado válido de ese usuario.

  • AzureAdPrt: establezca el estado en YES si hay un token de actualización principal (PRT) en el dispositivo para el usuario que ha iniciado sesión.
  • AzureAdPrtUpdateTime: establezca el estado en la hora, en hora universal coordinada (UTC), en la que se actualizó por última vez el PRT.
  • AzureAdPrtExpiryTime: establezca el estado en la hora, en UTC, en la que el PRT va a expirar si no se renueva.
  • AzureAdPrtAuthority: la dirección URL de la autoridad de Microsoft Entra
  • EnterprisePrt: establezca el estado en YES si el dispositivo tiene un PRT de Servicios de federación de Active Directory (AD FS) local. En el caso de los dispositivos unidos a híbridos de Microsoft Entra, el dispositivo podría tener un PRT de Microsoft Entra ID y Active Directory local simultáneamente. Los dispositivos unidos localmente solo tienen un PRT empresarial.
  • EnterprisePrtUpdateTime: establezca el estado en la hora, en UTC, cuando se actualizó por última vez el PRT de empresa.
  • EnterprisePrtExpiryTime: establezca el estado en la hora, en UTC, en la que el PRT va a expirar si no se renueva.
  • EnterprisePrtAuthority: la dirección URL de la autoridad de AD FS

Nota:

Los siguientes campos de diagnóstico PRT se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

  • La información de diagnóstico que se muestra en el campo AzureAdPrt es para la adquisición o actualización de Microsoft Entra PRT, y la información de diagnóstico que se muestra en el campo EnterprisePrt es para la adquisición o actualización de Enterprise PRT.
  • La información de diagnóstico solo se muestra si el error de adquisición o actualización se produjo después de la última hora de actualización de PRT correcta (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    En un dispositivo compartido, esta información de diagnóstico podría provenir del intento de inicio de sesión de un usuario diferente.
  • AcquirePrtDiagnostics: establezca el estado en PRESENT si la información de diagnóstico PRT adquirida está presente en los registros.
    • Este campo se omite si no hay información de diagnóstico disponible.
  • Intento de PRT anterior: la hora local, en UTC, en la que se produjo el intento de PRT fallido.
  • Estado de intento: el código de error del cliente que se devuelve (HRESULT).
  • Identidad de usuario: el UPN del usuario para el que se produjo el intento de PRT.
  • Tipo de credencial: la credencial utilizada para adquirir o actualizar el PRT. Los tipos de credenciales comunes son Contraseña y Credencial de próxima generación (NGC) (para Windows Hello).
  • ID de correlación: el ID de correlación enviado por el servidor para el intento de PRT fallido.
  • URI de punto de conexión: el último punto de conexión al que se accede antes del error.
  • Método HTTP: el método HTTP utilizado para acceder al punto de conexión.
  • Error HTTP: código de error de transporte WinHttp. Obtener otros códigos de error de red.
  • Estado HTTP: el estado HTTP devuelto por el punto de conexión.
  • Código de error del servidor: El código de error del servidor.
  • Descripción del error del servidor: El mensaje de error del servidor.
  • RefreshPrtDiagnostics: establezca el estado en PRESENT si la información de diagnóstico PRT adquirida está presente en los registros.
    • Este campo se omite si no hay información de diagnóstico disponible.
    • Los campos de información de diagnóstico son los mismos que los de AcquirePrtDiagnostics.

Nota:

Los siguientes campos de diagnóstico de Cloud Kerberos se agregaron en la versión original de Windows 11 (versión 21H2).

  • OnPremTgt: Establezca el estado en YES si hay un vale de Cloud Kerberos para acceder a los recursos locales en el dispositivo para el usuario que ha iniciado sesión.
  • CloudTgt: establezca el estado en YES si hay un vale de Cloud Kerberos para acceder a los recursos de la nube en el dispositivo para el usuario que ha iniciado sesión.
  • KerbTopLevelNames: lista de nombres de dominio de Kerberos de nivel superior para Cloud Kerberos.

Ejemplo de salida de estado de SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Datos de diagnóstico

Diagnósticos previos a la unión

Esta sección de diagnóstico solo se muestra si el dispositivo está unido a un dominio y no puede unirse a la unión híbrida de Microsoft Entra.

En esta sección se realizan varias pruebas para ayudar a diagnosticar errores de combinación. La información incluye: fase de error, código de error, ID de solicitud del servidor, estado HTTP de respuesta del servidor y mensaje de error de respuesta del servidor.

  • Contexto de usuario: el contexto en el que se ejecutan los diagnósticos. Valores posibles: SYSTEM, UN-ELEVATED Usuario, Usuario ELEVADO.

    Nota:

    Dado que la combinación real se realiza en el contexto SYSTEM, la ejecución de los diagnósticos en el contexto SYSTEM es la más cercana al escenario de combinación real. Para ejecutar diagnósticos en el contexto SYSTEM, el dsregcmd /status comando debe ejecutarse desde un símbolo del sistema con privilegios elevados.

  • Hora del cliente: La hora del sistema, en UTC.

  • Prueba de conectividad de AD: esta prueba realiza una prueba de conectividad con el controlador de dominio. Es probable que un error en esta prueba provoque errores de combinación en la fase de comprobación previa.

  • Prueba de configuración de AD: esta prueba lee y comprueba si el objeto de punto de conexión de servicio (SCP) está configurado correctamente en el bosque de Active Directory local. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de detección con el código de error 0x801c001d.

  • Prueba de detección de DRS: esta prueba obtiene los puntos de conexión de DRS del punto de conexión de metadatos de detección y realiza una solicitud de dominio de usuario. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de detección.

  • Prueba de conectividad DRS: Esta prueba realiza una prueba básica de conectividad con el punto de conexión DRS.

  • Prueba de adquisición de tokens: esta prueba intenta obtener un token de autenticación de Microsoft Entra si el inquilino del usuario está federado. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de autenticación. Si se produce un error en la autenticación, se intenta sincronizar la combinación como reserva, a menos que la reserva esté deshabilitada explícitamente con la siguiente configuración de clave del Registro:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Respaldo a la combinación de sincronización: establezca el estado en Habilitado si la clave del Registro anterior para evitar la reserva de la combinación de sincronización con errores de autenticación no está presente. Esta opción está disponible desde Windows 10 1803 y versiones posteriores.

  • Registro anterior: la hora a la que se produjo el intento de unión anterior. Solo se registran los intentos de unión fallidos.

  • Fase de error: la etapa de la unión en la que se anuló. Los valores posibles son pre-check, discover, autenticar y join.

  • ClientErrorCode: El código de error del cliente devuelto (HRESULT).

  • Código de error del servidor: el código de error del servidor que se muestra si se envió una solicitud al servidor y el servidor respondió con un código de error.

  • Mensaje del servidor: El mensaje del servidor devuelto junto con el código de error.

  • Estado https: el estado HTTP devuelto por el servidor.

  • ID de solicitud: el ID de solicitud del cliente enviado al servidor. El ID de solicitud es útil para correlacionarlo con los registros del lado del servidor.

Ejemplo de salida de diagnóstico previo a la unión

En el ejemplo siguiente se muestra un error de detección en una prueba de diagnóstico.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

En el ejemplo siguiente se muestra que las pruebas de diagnóstico se están superando, pero se produjo un error en el intento de registro con un error de directorio, que se espera para sync-join. Una vez finalizado el trabajo de sincronización de Microsoft Entra Connect, el dispositivo puede unirse.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico posterior a la unión

Esta sección de diagnóstico muestra el resultado de las comprobaciones realizadas en un dispositivo unido a la nube.

  • AadRecoveryEnabled: si el valor es YES, las claves almacenadas en el dispositivo no se pueden usar y el dispositivo se marca para su recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y volverá a registrar el dispositivo.
  • KeySignTest: si el valor es PASSED, las claves del dispositivo están en buen estado. Si se produce un error en KeySignTest, el dispositivo suele marcarse para su recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y volverá a registrar el dispositivo. En el caso de los dispositivos unidos híbridos de Microsoft Entra, la recuperación es silenciosa. Mientras los dispositivos están unidos a Microsoft Entra o registrados en Microsoft Entra, solicitan la autenticación del usuario para recuperar y volver a registrar el dispositivo, si es necesario.

    Nota:

    KeySignTest requiere privilegios elevados.

Ejemplo de salida de diagnóstico posterior a la unión

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Comprobación de los requisitos previos de NGC

En esta sección de diagnóstico se realizan las pruebas de requisitos previos para configurar Windows Hello para empresas (WHFB).

Nota:

Es posible que no vea los detalles de verificación de requisitos previos de NGC si dsregcmd /status el usuario configuró WHFB correctamente.

  • IsDeviceJoined: establezca el estado en YES si el dispositivo está unido a Microsoft Entra ID.
  • IsUserAzureAD: establezca el estado en YES si el usuario que ha iniciado sesión está presente en el identificador de Microsoft Entra.
  • PolicyEnabled: establezca el estado en YES si la directiva WHFB está habilitada en el dispositivo.
  • PostLogonEnabled: establezca el estado en YES si la plataforma desencadena la inscripción de WHFB de forma nativa. Si el estado se establece en NO, indica que la inscripción de Windows Hello para empresas se desencadena mediante un mecanismo personalizado.
  • DeviceEligible: establezca el estado en YES si el dispositivo cumple con los requisitos de hardware para inscribirse con WHFB.
  • SessionIsNotRemote: establezca el estado en YES si el usuario actual ha iniciado sesión directamente en el dispositivo y no de forma remota.
  • CertEnrollment: esta configuración es específica de la implementación de WHFB Certificate Trust e indica la entidad de inscripción de certificados para WHFB. Establezca el estado en autoridad de inscripción si el origen de la directiva WHFB es la directiva de grupo, o establézcalo en administración de dispositivos móviles si el origen es MDM. Si no se aplica ninguno de los orígenes, establezca el estado en ninguno.
  • AdfsRefreshToken: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. La configuración indica si el dispositivo tiene un PRT de empresa para el usuario.
  • AdfsRaIsReady: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. Establezca el estado en YES si AD FS indica en los metadatos de detección que admite WHFB y la plantilla de certificado de inicio de sesión está disponible.
  • LogonCertTemplateReady: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. Establezca el estado en YES si el estado de la plantilla de certificado de inicio de sesión es válido y ayuda a solucionar problemas de la entidad de registro (RA) de AD FS.
  • PreReqResult: proporciona el resultado de toda la evaluación de requisitos previos de WHFB. Establezca el estado en Provisión de voluntad si la inscripción de WHFB se iniciaría como una tarea posterior al inicio de sesión cuando el usuario inicie sesión la próxima vez.

Nota:

Los siguientes campos de diagnóstico de Cloud Kerberos se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

Antes de Windows 11, versión 23H2, la configuración OnPremTGT se denominaba CloudTGT.

  • OnPremTGT: esta configuración es específica de la implementación de confianza de Cloud Kerberos y solo está presente si el estado de CertEnrollment es none. Establezca el estado en YES si el dispositivo tiene un vale de Cloud Kerberos para acceder a los recursos locales. Antes de Windows 11 versión 23H2, esta configuración se denominaba CloudTGT.

Ejemplo de salida de comprobación de requisitos previos de NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Pasos siguientes

Vaya a la herramienta de búsqueda de errores de Microsoft.