Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo usar la salida del dsregcmd
comando para comprender el estado de los dispositivos en el identificador de Microsoft Entra. Ejecute la dsregcmd /status
utilidad como una cuenta de usuario de dominio.
Estado del dispositivo
En esta sección se enumeran los parámetros de estado de unión del dispositivo. Los criterios necesarios para que el dispositivo esté en varios estados de unión se enumeran en la tabla siguiente:
AzureAdJoined | EmpresaUnida | DomainJoined | Estado del dispositivo |
---|---|---|---|
SÍ | NO | NO | Microsoft Entra se unió |
NO | NO | SÍ | Dominio unido |
SÍ | NO | SÍ | Unido a Microsoft Entra híbrido |
NO | SÍ | SÍ | Unirse a DRS local |
Nota:
El estado Unido al área de trabajo (registrado en Microsoft Entra) se muestra en la sección "Estado del usuario ".
AzureAdJoined: establezca el estado en YES si el dispositivo está unido al identificador de Microsoft Entra. De lo contrario, establezca el estado en NO.
EnterpriseJoined: establezca el estado en YES si el dispositivo está unido a un Active Directory (AD) local. Un dispositivo no puede ser a la vez EnterpriseJoined y AzureAdJoined.
DomainJoined: establezca el estado en YES si el dispositivo está unido a un dominio (Active Directory).
DomainName: establezca el estado en el nombre del dominio si el dispositivo está unido a un dominio.
Ejemplo de salida de estado del dispositivo
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Detalles del dispositivo
El estado solo se muestra cuando el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido, no registrado como Microsoft Entra. En esta sección se enumeran los detalles de identificación del dispositivo que se almacenan en el identificador de Microsoft Entra.
- DeviceId: el identificador único del dispositivo en el inquilino de Microsoft Entra.
- Huella digital: la huella digital del certificado del dispositivo.
- DeviceCertificateValidity: el estado de validez del certificado de dispositivo.
- KeyContainerId: containerId de la clave privada del dispositivo asociada al certificado del dispositivo.
- KeyProvider: el KeyProvider (hardware/software) utilizado para almacenar la clave privada del dispositivo.
- TpmProtected: el estado se establece en YES si la clave privada del dispositivo está almacenada en un módulo de plataforma segura (TPM) de hardware.
-
DeviceAuthStatus: realiza una comprobación para determinar el estado del dispositivo en el identificador de Microsoft Entra. Los estados de salud son:
- SUCCESS si el dispositivo está presente y habilitado en el identificador de Microsoft Entra.
- FRACASADO. El dispositivo está deshabilitado o eliminado si el dispositivo está deshabilitado o eliminado. Para obtener más información sobre este problema, consulte Preguntas más frecuentes sobre la administración de dispositivos de Microsoft Entra.
- FRACASADO. ERROR Si la prueba no se pudo ejecutar. Esta prueba requiere conectividad de red a Microsoft Entra ID en el contexto del sistema.
Nota:
El campo DeviceAuthStatus se agregó en la actualización de mayo de 2021 de Windows 10 (versión 21H1).
-
Escritorio virtual: Hay tres casos en los que aparece esta línea.
- NOT SET: los metadatos del dispositivo VDI no están presentes en el dispositivo.
- SÍ: los metadatos del dispositivo VDI están presentes y dsregcmd genera metadatos asociados, entre ellos:
- Proveedor: Nombre del proveedor de VDI.
- Tipo: VDI persistente o VDI no persistente.
- Modo de usuario: Usuario único o multiusuario.
- Extensiones: número de pares de clave-valor en metadatos opcionales específicos del proveedor, seguidos de pares de clave-valor.
- INVALID: los metadatos del dispositivo VDI están presentes, pero no están configurados correctamente. En este caso, dsregcmd genera los metadatos incorrectos.
Salida de detalles del dispositivo de muestra
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Detalles del inquilino
Los detalles del inquilino solo se muestran cuando el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido, no registrado como Microsoft Entra. En esta sección se enumeran los detalles comunes del inquilino que se muestran cuando un dispositivo se une a Microsoft Entra ID.
Nota:
Si los campos de URL de administración de dispositivos móviles (MDM) de esta sección están vacíos, indica que el MDM no se configuró o que el usuario actual no está en el ámbito de la inscripción de MDM. Compruebe la configuración de movilidad en el identificador de Microsoft Entra para revisar la configuración de MDM.
La presencia de direcciones URL de MDM no garantiza que el dispositivo esté administrado por una MDM. La información se muestra si el inquilino tiene una configuración de MDM para la inscripción automática, incluso si el dispositivo en sí no está administrado.
Ejemplo de salida de detalles del inquilino
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Estado del usuario
En esta sección se enumeran los estados de varios atributos para los usuarios que han iniciado sesión en el dispositivo.
Nota:
El comando debe ejecutarse en un contexto de usuario para recuperar un estado válido.
- NgcSet: establezca el estado en YES si se establece una clave de Windows Hello para el usuario que ha iniciado sesión actualmente.
- NgcKeyId: el identificador de la clave de Windows Hello, si se establece una para el usuario que ha iniciado sesión actualmente.
- CanReset: indica si el usuario puede restablecer la tecla Windows Hello.
- Valores posibles: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive o Unknown si hay error.
- WorkplaceJoined: establezca el estado en YES si se han agregado cuentas registradas de Microsoft Entra al dispositivo en el contexto NTUSER actual.
-
WamDefaultSet: establezca el estado en YES si se crea una WebAccount predeterminada del Administrador de cuentas web (WAM) para el usuario que ha iniciado sesión. Este campo podría mostrar un error si
dsregcmd /status
se ejecuta desde un símbolo del sistema con privilegios elevados. - WamDefaultAuthority: establezca el estado en organizaciones para el identificador de Microsoft Entra.
- WamDefaultId: Úselo https://login.microsoft.com siempre para el identificador de Microsoft Entra.
- WamDefaultGUID: el GUID del proveedor de WAM (Microsoft Entra ID/cuenta de Microsoft) para la cuenta web de WAM predeterminada.
Ejemplo de salida de estado de usuario
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Estado de SSO
Puede omitir esta sección para los dispositivos registrados en Microsoft Entra.
Nota:
El comando debe ejecutarse en un contexto de usuario para recuperar el estado válido de ese usuario.
- AzureAdPrt: establezca el estado en YES si hay un token de actualización principal (PRT) en el dispositivo para el usuario que ha iniciado sesión.
- AzureAdPrtUpdateTime: establezca el estado en la hora, en hora universal coordinada (UTC), en la que se actualizó por última vez el PRT.
- AzureAdPrtExpiryTime: establezca el estado en la hora, en UTC, en la que el PRT va a expirar si no se renueva.
- AzureAdPrtAuthority: la dirección URL de la autoridad de Microsoft Entra
- EnterprisePrt: establezca el estado en YES si el dispositivo tiene un PRT de Servicios de federación de Active Directory (AD FS) local. En el caso de los dispositivos unidos a híbridos de Microsoft Entra, el dispositivo podría tener un PRT de Microsoft Entra ID y Active Directory local simultáneamente. Los dispositivos unidos localmente solo tienen un PRT empresarial.
- EnterprisePrtUpdateTime: establezca el estado en la hora, en UTC, cuando se actualizó por última vez el PRT de empresa.
- EnterprisePrtExpiryTime: establezca el estado en la hora, en UTC, en la que el PRT va a expirar si no se renueva.
- EnterprisePrtAuthority: la dirección URL de la autoridad de AD FS
Nota:
Los siguientes campos de diagnóstico PRT se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).
- La información de diagnóstico que se muestra en el campo AzureAdPrt es para la adquisición o actualización de Microsoft Entra PRT, y la información de diagnóstico que se muestra en el campo EnterprisePrt es para la adquisición o actualización de Enterprise PRT.
- La información de diagnóstico solo se muestra si el error de adquisición o actualización se produjo después de la última hora de actualización de PRT correcta (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
En un dispositivo compartido, esta información de diagnóstico podría provenir del intento de inicio de sesión de un usuario diferente.
-
AcquirePrtDiagnostics: establezca el estado en PRESENT si la información de diagnóstico PRT adquirida está presente en los registros.
- Este campo se omite si no hay información de diagnóstico disponible.
- Intento de PRT anterior: la hora local, en UTC, en la que se produjo el intento de PRT fallido.
- Estado de intento: el código de error del cliente que se devuelve (HRESULT).
- Identidad de usuario: el UPN del usuario para el que se produjo el intento de PRT.
- Tipo de credencial: la credencial utilizada para adquirir o actualizar el PRT. Los tipos de credenciales comunes son Contraseña y Credencial de próxima generación (NGC) (para Windows Hello).
- ID de correlación: el ID de correlación enviado por el servidor para el intento de PRT fallido.
- URI de punto de conexión: el último punto de conexión al que se accede antes del error.
- Método HTTP: el método HTTP utilizado para acceder al punto de conexión.
- Error HTTP: código de error de transporte WinHttp. Obtener otros códigos de error de red.
- Estado HTTP: el estado HTTP devuelto por el punto de conexión.
- Código de error del servidor: El código de error del servidor.
- Descripción del error del servidor: El mensaje de error del servidor.
-
RefreshPrtDiagnostics: establezca el estado en PRESENT si la información de diagnóstico PRT adquirida está presente en los registros.
- Este campo se omite si no hay información de diagnóstico disponible.
- Los campos de información de diagnóstico son los mismos que los de AcquirePrtDiagnostics.
Nota:
Los siguientes campos de diagnóstico de Cloud Kerberos se agregaron en la versión original de Windows 11 (versión 21H2).
- OnPremTgt: Establezca el estado en YES si hay un vale de Cloud Kerberos para acceder a los recursos locales en el dispositivo para el usuario que ha iniciado sesión.
- CloudTgt: establezca el estado en YES si hay un vale de Cloud Kerberos para acceder a los recursos de la nube en el dispositivo para el usuario que ha iniciado sesión.
- KerbTopLevelNames: lista de nombres de dominio de Kerberos de nivel superior para Cloud Kerberos.
Ejemplo de salida de estado de SSO
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Datos de diagnóstico
Diagnósticos previos a la unión
Esta sección de diagnóstico solo se muestra si el dispositivo está unido a un dominio y no puede unirse a la unión híbrida de Microsoft Entra.
En esta sección se realizan varias pruebas para ayudar a diagnosticar errores de combinación. La información incluye: fase de error, código de error, ID de solicitud del servidor, estado HTTP de respuesta del servidor y mensaje de error de respuesta del servidor.
Contexto de usuario: el contexto en el que se ejecutan los diagnósticos. Valores posibles: SYSTEM, UN-ELEVATED Usuario, Usuario ELEVADO.
Nota:
Dado que la combinación real se realiza en el contexto SYSTEM, la ejecución de los diagnósticos en el contexto SYSTEM es la más cercana al escenario de combinación real. Para ejecutar diagnósticos en el contexto SYSTEM, el
dsregcmd /status
comando debe ejecutarse desde un símbolo del sistema con privilegios elevados.Hora del cliente: La hora del sistema, en UTC.
Prueba de conectividad de AD: esta prueba realiza una prueba de conectividad con el controlador de dominio. Es probable que un error en esta prueba provoque errores de combinación en la fase de comprobación previa.
Prueba de configuración de AD: esta prueba lee y comprueba si el objeto de punto de conexión de servicio (SCP) está configurado correctamente en el bosque de Active Directory local. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de detección con el código de error 0x801c001d.
Prueba de detección de DRS: esta prueba obtiene los puntos de conexión de DRS del punto de conexión de metadatos de detección y realiza una solicitud de dominio de usuario. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de detección.
Prueba de conectividad DRS: Esta prueba realiza una prueba básica de conectividad con el punto de conexión DRS.
Prueba de adquisición de tokens: esta prueba intenta obtener un token de autenticación de Microsoft Entra si el inquilino del usuario está federado. Es probable que los errores de esta prueba den lugar a errores de combinación en la fase de autenticación. Si se produce un error en la autenticación, se intenta sincronizar la combinación como reserva, a menos que la reserva esté deshabilitada explícitamente con la siguiente configuración de clave del Registro:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Respaldo a la combinación de sincronización: establezca el estado en Habilitado si la clave del Registro anterior para evitar la reserva de la combinación de sincronización con errores de autenticación no está presente. Esta opción está disponible desde Windows 10 1803 y versiones posteriores.
Registro anterior: la hora a la que se produjo el intento de unión anterior. Solo se registran los intentos de unión fallidos.
Fase de error: la etapa de la unión en la que se anuló. Los valores posibles son pre-check, discover, autenticar y join.
ClientErrorCode: El código de error del cliente devuelto (HRESULT).
Código de error del servidor: el código de error del servidor que se muestra si se envió una solicitud al servidor y el servidor respondió con un código de error.
Mensaje del servidor: El mensaje del servidor devuelto junto con el código de error.
Estado https: el estado HTTP devuelto por el servidor.
ID de solicitud: el ID de solicitud del cliente enviado al servidor. El ID de solicitud es útil para correlacionarlo con los registros del lado del servidor.
Ejemplo de salida de diagnóstico previo a la unión
En el ejemplo siguiente se muestra un error de detección en una prueba de diagnóstico.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
En el ejemplo siguiente se muestra que las pruebas de diagnóstico se están superando, pero se produjo un error en el intento de registro con un error de directorio, que se espera para sync-join. Una vez finalizado el trabajo de sincronización de Microsoft Entra Connect, el dispositivo puede unirse.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnóstico posterior a la unión
Esta sección de diagnóstico muestra el resultado de las comprobaciones realizadas en un dispositivo unido a la nube.
- AadRecoveryEnabled: si el valor es YES, las claves almacenadas en el dispositivo no se pueden usar y el dispositivo se marca para su recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y volverá a registrar el dispositivo.
-
KeySignTest: si el valor es PASSED, las claves del dispositivo están en buen estado. Si se produce un error en KeySignTest, el dispositivo suele marcarse para su recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y volverá a registrar el dispositivo. En el caso de los dispositivos unidos híbridos de Microsoft Entra, la recuperación es silenciosa. Mientras los dispositivos están unidos a Microsoft Entra o registrados en Microsoft Entra, solicitan la autenticación del usuario para recuperar y volver a registrar el dispositivo, si es necesario.
Nota:
KeySignTest requiere privilegios elevados.
Ejemplo de salida de diagnóstico posterior a la unión
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Comprobación de los requisitos previos de NGC
En esta sección de diagnóstico se realizan las pruebas de requisitos previos para configurar Windows Hello para empresas (WHFB).
Nota:
Es posible que no vea los detalles de verificación de requisitos previos de NGC si dsregcmd /status
el usuario configuró WHFB correctamente.
- IsDeviceJoined: establezca el estado en YES si el dispositivo está unido a Microsoft Entra ID.
- IsUserAzureAD: establezca el estado en YES si el usuario que ha iniciado sesión está presente en el identificador de Microsoft Entra.
- PolicyEnabled: establezca el estado en YES si la directiva WHFB está habilitada en el dispositivo.
- PostLogonEnabled: establezca el estado en YES si la plataforma desencadena la inscripción de WHFB de forma nativa. Si el estado se establece en NO, indica que la inscripción de Windows Hello para empresas se desencadena mediante un mecanismo personalizado.
- DeviceEligible: establezca el estado en YES si el dispositivo cumple con los requisitos de hardware para inscribirse con WHFB.
- SessionIsNotRemote: establezca el estado en YES si el usuario actual ha iniciado sesión directamente en el dispositivo y no de forma remota.
- CertEnrollment: esta configuración es específica de la implementación de WHFB Certificate Trust e indica la entidad de inscripción de certificados para WHFB. Establezca el estado en autoridad de inscripción si el origen de la directiva WHFB es la directiva de grupo, o establézcalo en administración de dispositivos móviles si el origen es MDM. Si no se aplica ninguno de los orígenes, establezca el estado en ninguno.
- AdfsRefreshToken: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. La configuración indica si el dispositivo tiene un PRT de empresa para el usuario.
- AdfsRaIsReady: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. Establezca el estado en YES si AD FS indica en los metadatos de detección que admite WHFB y la plantilla de certificado de inicio de sesión está disponible.
- LogonCertTemplateReady: esta configuración es específica de la implementación de WHFB Certificate Trust y solo está presente si el estado de CertEnrollment es autoridad de inscripción. Establezca el estado en YES si el estado de la plantilla de certificado de inicio de sesión es válido y ayuda a solucionar problemas de la entidad de registro (RA) de AD FS.
- PreReqResult: proporciona el resultado de toda la evaluación de requisitos previos de WHFB. Establezca el estado en Provisión de voluntad si la inscripción de WHFB se iniciaría como una tarea posterior al inicio de sesión cuando el usuario inicie sesión la próxima vez.
Nota:
Los siguientes campos de diagnóstico de Cloud Kerberos se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).
Antes de Windows 11, versión 23H2, la configuración OnPremTGT se denominaba CloudTGT.
- OnPremTGT: esta configuración es específica de la implementación de confianza de Cloud Kerberos y solo está presente si el estado de CertEnrollment es none. Establezca el estado en YES si el dispositivo tiene un vale de Cloud Kerberos para acceder a los recursos locales. Antes de Windows 11 versión 23H2, esta configuración se denominaba CloudTGT.
Ejemplo de salida de comprobación de requisitos previos de NGC
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+