Compartilhar via

Solucionar problemas de dispositivos usando o comando dsregcmd

Este artigo explica como usar a saída do dsregcmd comando para entender o estado dos dispositivos na ID do Microsoft Entra. Execute o utilitário dsregcmd /status como uma conta de usuário de domínio.

Estado do dispositivo

Esta seção lista os parâmetros de estado de junção do dispositivo. Os critérios necessários para que o dispositivo esteja em vários estados de junção estão listados na tabela a seguir:

AzureAdJoined EnterpriseJoined DomainJoined Estado do dispositivo
SIM NÃO NÃO Microsoft Entra aderiu
NÃO NÃO SIM Ingressado no domínio
SIM NÃO SIM Ingressado no Microsoft Entra híbrido
NÃO SIM SIM Ingressado no DRS local

Observação

O estado de Ingressado no local de trabalho (registrado no Microsoft Entra) é exibido na seção "Estado do usuário".

  • AzureAdJoined: defina como SIM se o dispositivo for ingressado no Microsoft Entra ID. Caso contrário, defina o estado como NO.

  • EnterpriseJoined: defina o estado como SIM se o dispositivo estiver associado a um AD (Active Directory) local. Um dispositivo não pode ser EnterpriseJoined e AzureAdJoined.

  • DomainJoined: defina como SIM se o dispositivo for Ingressado em um domínio (Active Directory).

  • DomainName: Configure o estado para o nome do domínio se o dispositivo estiver conectado a um domínio.

Saída de estado do dispositivo de exemplo

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalhes do dispositivo

O estado é exibido somente quando o dispositivo é associado ao Microsoft Entra ou associado ao Microsoft Entra híbrido, mas não registrado no Microsoft Entra. Esta seção lista os detalhes de identificação do dispositivo armazenados na ID do Microsoft Entra.

  • DeviceId: a ID exclusiva do dispositivo no locatário do Microsoft Entra.
  • Impressão digital: a impressão digital do certificado do dispositivo.
  • DeviceCertificateValidity: o status de validade do certificado do dispositivo.
  • KeyContainerId: a containerId da chave privada do dispositivo associada ao certificado do dispositivo.
  • KeyProvider: o KeyProvider (Hardware/Software) usado para armazenar a chave privada do dispositivo.
  • TpmProtected: o estado é definido como SIM se a chave privada do dispositivo estiver armazenada em um hardware TPM (Trusted Platform Module).
  • DeviceAuthStatus: executa uma verificação para determinar a integridade do dispositivo na ID do Microsoft Entra. Os estados de saúde são:
    • ÊXITO se o dispositivo estiver presente e habilitado na ID do Microsoft Entra.
    • FALHOU. O dispositivo está desabilitado ou excluído se o dispositivo estiver desabilitado ou excluído. Para mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivo do Microsoft Entra.
    • FALHOU. ERRO se o teste não pôde ser executado. Esse teste requer conectividade de rede com o Microsoft Entra ID no contexto do sistema.

    Observação

    O campo DeviceAuthStatus foi adicionado na atualização de maio de 2021 do Windows 10 (versão 21H1).

  • Área de Trabalho Virtual: há três casos em que essa linha é exibida.
    • NOT SET - Os metadados do dispositivo VDI não estão presentes no dispositivo.
    • SIM – os metadados do dispositivo VDI estão presentes e os metadados associados às saídas dsregcmd, incluindo:
      • Provedor: nome do fornecedor de VDI.
      • Tipo: VDI persistente ou VDI não persistente.
      • Modo de usuário: usuário único ou multiusuário.
      • Extensões: número de pares chave-valor em metadados específicos do fornecedor opcional, seguidos por pares chave-valor.
    • INVALID - Os metadados do dispositivo VDI estão presentes, mas não estão definidos corretamente. Nesse caso, dsregcmd gera os metadados incorretos.

Saída de detalhes do dispositivo de exemplo

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalhes do locatário

O estado é exibido somente quando o dispositivo está ingressado no Microsoft Entra ou no Microsoft Entra híbrido, não registrado no Microsoft Entra. Esta seção lista os detalhes comuns do inquilino exibidos quando um dispositivo é associado ao Microsoft Entra ID.

Observação

Se os campos de URL do MDM (gerenciamento de dispositivo móvel) nesta seção estiverem vazios, isso indicará que o MDM não foi configurado ou que o usuário atual não está no escopo do registro de MDM. Verifique as configurações de mobilidade na ID do Microsoft Entra para examinar a configuração do MDM.

A presença de URLs de MDM não garante que o dispositivo seja gerenciado por um MDM. As informações serão exibidas se o locatário tiver configuração de MDM para registro automático, mesmo que o próprio dispositivo não seja gerenciado.

Saída de detalhes de locatário de exemplo

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado do usuário

Esta seção lista os status de vários atributos para usuários que estão conectados ao dispositivo no momento.

Observação

O comando deve ser executado em um contexto de usuário para recuperar um status válido.

  • NgcSet: defina o estado como SIM se uma chave do Windows Hello for definida para o usuário conectado no momento.
  • NgcKeyId: A ID da chave do Windows Hello se uma estiver definida para o usuário conectado atual.
  • CanReset: indica se a chave do Windows Hello pode ser redefinida pelo usuário.
  • Valores possíveis: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive ou Unknown se houver erro.
  • WorkplaceJoined: defina o estado como SIM se as contas registradas do Microsoft Entra tiverem sido adicionadas ao dispositivo no contexto NTUSER atual.
  • WamDefaultSet: defina o estado como SIM se uma WebAccount padrão do WAM (Gerenciador de Contas da Web) for criada para o usuário conectado. Esse campo poderá exibir um erro se dsregcmd /status for executado a partir de um prompt de comando com privilégios elevados.
  • WamDefaultAuthority: defina o estado como organizações para o Microsoft Entra ID.
  • WamDefaultId: sempre use https://login.microsoft.com para Microsoft Entra ID.
  • WamDefaultGUID: o GUID do provedor de WAM (Microsoft Entra ID/conta Microsoft) para a conta WebAccount padrão.

Saída de estado do usuário de exemplo

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado do SSO

Você pode ignorar esta seção para dispositivos registrados do Microsoft Entra.

Observação

O comando deve ser executado em um contexto de usuário para recuperar o status válido desse usuário.

  • AzureAdPrt: defina o estado como SIM se um PRT (Token de Atualização Primário) estiver presente no dispositivo para o usuário conectado.
  • AzureAdPrtUpdateTime: defina o estado como o tempo, em UTC (Tempo Universal Coordenado), quando o PRT foi atualizado pela última vez.
  • AzureAdPrtExpiryTime: Ajuste o estado para o horário, em UTC, quando o PRT expirará se não for renovado.
  • AzureAdPrtAuthority: A URL de autoridade do Microsoft Entra
  • EnterprisePrt: defina o estado como SIM se o dispositivo tiver um PRT dos Serviços de Federação do Active Directory (AD FS) local. Para dispositivos ingressados híbridos do Microsoft Entra, o dispositivo pode ter um meio auxiliar de produção do Microsoft Entra ID e do Active Directory local simultaneamente. Os dispositivos ingressados no local têm apenas um PRT corporativo.
  • EnterprisePrtUpdateTime: defina o estado como a hora, em UTC, quando o PRT da Empresa foi atualizado pela última vez.
  • EnterprisePrtExpiryTime: defina o estado como a hora, em UTC, quando o PRT expirará se não for renovado.
  • EnterprisePrtAuthority: A URL de autoridade do AD FS

Observação

Os seguintes campos de diagnóstico PRT foram adicionados na atualização de maio de 2021 do Windows 10 (versão 21H1).

  • As informações de diagnóstico exibidas no campo AzureAdPrt são para aquisição ou atualização do Microsoft Entra PRT e as informações de diagnóstico exibidas no campo EnterprisePrt são para aquisição ou atualização do Enterprise PRT.
  • As informações de diagnóstico são exibidas somente se a falha de aquisição ou atualização ocorreu após o último horário de atualização de PRT com sucesso (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Em um dispositivo compartilhado, essas informações de diagnóstico podem ser provenientes de uma tentativa de logon de um usuário diferente.
  • AcquirePrtDiagnostics: defina o estado como PRESENT se as informações adquiridas do diagnóstico PRT estiverem presentes nos registros.
    • Esse campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
  • Tentativa de Prt anterior: a hora local, em UTC, na qual ocorreu a tentativa de PRT com falha.
  • Status da Tentativa: o código de erro do cliente retornado (HRESULT).
  • Identidade do usuário: o UPN do usuário para o qual ocorreu a tentativa de PRT.
  • Tipo de credencial: a credencial usada para adquirir ou atualizar o PRT. Os tipos de credencial comuns são Senha e NGC (Credencial de Próxima Geração) (para Windows Hello).
  • ID de correlação: a ID de correlação enviada pelo servidor para a tentativa de PRT com falha.
  • URI do ponto de extremidade: o último ponto de extremidade acessado antes da falha.
  • Método HTTP: o método HTTP utilizado para acessar o endpoint.
  • Erro HTTP: código de erro de transporte WinHttp. Obtenha outros códigos de erro de rede.
  • Status HTTP: o status HTTP retornado pelo endpoint.
  • Código de erro do servidor: o código de erro do servidor.
  • Descrição do erro do servidor: a mensagem de erro do servidor.
  • RefreshPrtDiagnostics: defina o estado como PRESENT se as informações de diagnóstico PRT adquiridas estiverem presente nos logs.
    • Esse campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
    • Os campos de informações de diagnóstico são os mesmos que AcquirePrtDiagnostics.

Observação

Os seguintes campos de diagnóstico do Kerberos na Nuvem foram adicionados na versão original do Windows 11 (versão 21H2).

  • OnPremTgt: defina o estado como SIM se um tíquete do Kerberos na Nuvem para acessar recursos locais estiver presente no dispositivo para o usuário conectado.
  • CloudTgt: defina o estado como SIM se um tíquete do Kerberos na Nuvem para acessar os recursos da nuvem estiver presente no dispositivo para o usuário conectado.
  • KerbTopLevelNames: Lista de nomes de domínios Kerberos de nível superior para o Cloud Kerberos.

Saída de estado de SSO de exemplo

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dados de diagnóstico

Diagnóstico de pré-ingresso

Essa seção de diagnóstico é exibida somente se o dispositivo estiver ingressado no domínio e não puder ingressar no Microsoft Entra híbrido.

Esta seção executa vários testes para ajudar a diagnosticar falhas de junção. As informações incluem: fase de erro, código de erro, ID da solicitação do servidor, status HTTP de resposta do servidor e mensagem de erro de resposta do servidor.

  • Contexto do Usuário: o contexto no qual o diagnóstico é executado. Valores possíveis: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Observação

    Como a junção real é executada no contexto SYSTEM, a execução do diagnóstico no contexto SYSTEM está mais próxima do cenário de junção real. Para executar o diagnóstico no contexto SYSTEM, o comando dsregcmd /status deve ser executado em um prompt de comando com privilégios elevados.

  • Hora do cliente: a hora do sistema, em UTC.

  • Teste de conectividade do AD: este teste executa um teste de conectividade com o controlador de domínio. Um erro neste teste provavelmente resulta em erros de junção na fase de pré-verificação.

  • Teste de configuração do AD: este teste lê e verifica se o objeto SCP (Ponto de Conexão de Serviço) está configurado corretamente na floresta do Active Directory local. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta com o código de erro 0x801c001d.

  • Teste de Descoberta do DRS: esse teste obtém os pontos de extremidade do DRS do ponto de extremidades dos metadados de descoberta e executa uma solicitação de realm do usuário. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta.

  • Teste de Conectividade DRS: este teste executa um teste de conectividade básico para o endpoint DRS.

  • Teste de aquisição de token: este teste tenta obter um token de autenticação do Microsoft Entra se o tenant do usuário for federado. Erros neste teste provavelmente resultariam em erros de junção na fase de autenticação. Se a autenticação obtiver falha, haverá a tentativa de sincronizar o ingresso como fallback, a menos que isso esteja explicitamente desabilitado nas seguintes configurações de chave do Registro:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback para Sync-Join: defina o estado como Habilitado se a chave do registro acima não estiver presente, para evitar que o fallback sincronize o ingresso com falhas de autenticação. Essa opção está disponível no Windows 10 1803 e posterior.

  • Registro anterior: a hora em que ocorreu a tentativa de junção anterior. Somente tentativas de junção com falha são registradas em log.

  • Fase de erro: o estágio da junção na qual ela foi anulada. Os valores possíveis são pré-verificar, descobrir, autenticar e ingressar.

  • Código de Erro do Cliente: O código de erro retornado pelo cliente (HRESULT).

  • Código de Erro do Servidor: o código de erro do servidor exibido se uma solicitação foi enviada ao servidor e o servidor respondeu com um código de erro.

  • Mensagem do servidor: a mensagem do servidor retornada junto com o código de erro.

  • Status https: o status HTTP retornado pelo servidor.

  • ID da solicitação: o requestId do cliente enviado ao servidor. A ID da solicitação é útil para correlacionar com logs do lado do servidor.

Exemplo de saída de diagnóstico de pré-ingresso

O exemplo a seguir mostra um teste de diagnóstico falhando com um erro de descoberta.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

O exemplo a seguir mostra que os testes de diagnóstico estão sendo aprovados, mas a tentativa de registro falhou com um erro de diretório, que é esperado para o ingresso de sincronização. Depois que o trabalho de sincronização do Microsoft Entra Connect for concluído, o dispositivo poderá ingressar.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico de pré-ingresso

Esta seção de diagnóstico exibe a saída de verificações executadas em um dispositivo conectado à nuvem.

  • AadRecoveryEnabled: se o valor for YES, as chaves armazenadas no dispositivo não poderão ser usadas e o dispositivo será marcado para recuperação. O próximo login acionará o processo de recuperação e reativará o registro do dispositivo.
  • KeySignTest: se o valor for APROVADO, as chaves do dispositivo estão em boas condições. Se KeySignTest falhar, o dispositivo geralmente será marcado para recuperação. O próximo login acionará o processo de recuperação e reativará o registro do dispositivo. Para dispositivos ingressados híbridos Microsoft Entra, a recuperação é silenciosa. Enquanto os dispositivos estiverem associados ao Microsoft Entra ou registrados no Microsoft Entra, eles solicitam autenticação do usuário para recuperar e registrar novamente o dispositivo, se necessário.

    Observação

    O KeySignTest requer privilégios elevados.

Exemplo de saída de diagnóstico de pré-ingresso

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Verificação de pré-requisitos do NGC

Esta seção de diagnóstico executa a verificação de pré-requisitos para configurar o WHFB (Windows Hello for Business).

Observação

Talvez você não consiga ver os detalhes de verificação de pré-requisitos do NGC em dsregcmd /status se o usuário configurou o WHFB com sucesso.

  • IsDeviceJoined: defina o estado como SIM se o dispositivo for ingressado no Microsoft Entra ID.
  • IsUserAzureAD: defina o estado como YES se o usuário conectado estiver presente na ID do Microsoft Entra.
  • PolicyEnabled: defina o estado como SIM se a política de WHFB estiver habilitada no dispositivo.
  • PostLogonEnabled: defina o estado como SIM se o registro de WHFB for disparado nativamente pela plataforma. Se o estado estiver definido como NO, ele indicará que o registro do Windows Hello para Empresas é disparado por um mecanismo personalizado.
  • DeviceEligible: defina o estado como SIM se o dispositivo atender ao requisito de hardware para registrar-se com o WHFB.
  • SessionIsNotRemote: defina o estado como SIM se o usuário atual estiver conectado diretamente ao dispositivo e não remotamente.
  • CertEnrollment: essa configuração é específica para a implantação de Confiança de Certificado WHFB, indicando a autoridade de registro de certificado para WHFB. Defina o estado como autoridade de registro se a origem da política WHFB for Política de Grupo, ou defina como gerenciamento de dispositivo móvel se a origem for MDM. Se nenhuma das fontes se aplicar, defina o estado como nenhum.
  • AdfsRefreshToken: essa configuração é específica para a implantação de confiança de certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. A configuração indica se o dispositivo tem um PRT corporativo para o usuário.
  • AdfsRaIsReady: essa configuração é específica para a implantação de Confiança de Certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o AD FS indicar nos metadados de descoberta que ele dá suporte ao WHFB e o modelo de certificado de logon estiver disponível.
  • LogonCertTemplateReady: essa configuração é específica para a implantação de Confiança de Certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o estado do modelo de certificado de logon for válido e ajudar a solucionar problemas da RA (Autoridade de Registro) do AD FS.
  • PreReqResult: fornece o resultado de todas as avaliações de pré-requisitos do WHFB. Defina o estado como Provisionar se o registro WHFB for iniciado como uma tarefa de pós-logon quando o usuário entrar na próxima vez.

Observação

Os seguintes campos de diagnóstico do Kerberos na Nuvem foram adicionados na atualização de maio de 2021 do Windows 10 (versão 21H1).

Antes do Windows 11 versão 23H2, a configuração OnPremTGT se chamava CloudTGT.

  • OnPremTGT: essa configuração é específica para a implantação de confiança do Kerberos na nuvem e só será apresentada se o estado CertEnrollment não for nenhum. Defina o estado como SIM se o dispositivo tiver um tíquete do Kerberos na nuvem para acessar recursos locais. Antes do Windows 11 versão 23H2, essa configuração se chamava CloudTGT.

Exemplo de saída de verificação de pré-requisitos de NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Próximas etapas

Acesse a Ferramenta de Pesquisa de Erros da Microsoft.

  • Last updated on