Partilhar via


Solucionar problemas de dispositivos usando o comando dsregcmd

Este artigo aborda como usar a saída do dsregcmd comando para entender o estado dos dispositivos no Microsoft Entra ID. O dsregcmd /status utilitário deve ser executado como uma conta de usuário de domínio.

Estado do dispositivo

Esta seção lista os parâmetros de estado de junção do dispositivo. Os critérios necessários para que o dispositivo esteja em vários estados de junção estão listados na tabela a seguir:

AzureAdJoined EnterpriseJoined DomainJoined Estado do dispositivo
SIM NÃO Não Associados ao Microsoft Entra
Não NÃO SIM Ingressado no Domínio
SIM NÃO SIM Associados ao Microsoft Entra híbrido
Não SIM SIM DRS local ingressado

Nota

O estado Ingressado no Local de Trabalho (registrado no Microsoft Entra) é exibido na seção "Estado do usuário".

  • AzureAdJoined: defina o estado como SIM se o dispositivo estiver associado ao Microsoft Entra ID. Caso contrário, defina o estado como NO.
  • EnterpriseJoined: defina o estado como SIM se o dispositivo estiver associado a um serviço de replicação de dados (DRS) local. Um dispositivo não pode ser EnterpriseJoined e AzureAdJoined.
  • DomainJoined: defina o estado como SIM se o dispositivo estiver associado a um domínio (Ative Directory).
  • DomainName: defina o estado para o nome do domínio se o dispositivo estiver associado a um domínio.

Saída de estado do dispositivo de amostra

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalhes do dispositivo

O estado é exibido somente quando o dispositivo é Microsoft Entra ingressado ou Microsoft Entra híbrido ingressado (não Microsoft Entra registrado). Esta seção lista os detalhes de identificação do dispositivo armazenados no Microsoft Entra ID.

  • DeviceId: A ID exclusiva do dispositivo no locatário do Microsoft Entra.
  • Impressão digital: A impressão digital do certificado do dispositivo.
  • DeviceCertificateValidity: O status de validade do certificado do dispositivo.
  • KeyContainerId: O containerId da chave privada do dispositivo associada ao certificado do dispositivo.
  • KeyProvider: O KeyProvider (Hardware/Software) usado para armazenar a chave privada do dispositivo.
  • TpmProtected: O estado é definido como SIM se a chave privada do dispositivo estiver armazenada em um TPM (Trusted Platform Module) de hardware.
  • DeviceAuthStatus: Executa uma verificação para determinar a integridade do dispositivo no Microsoft Entra ID. Os estados de saúde são:
    • SUCESSO se o dispositivo estiver presente e ativado no Microsoft Entra ID.
    • FALHOU. O dispositivo está desativado ou excluído se o dispositivo estiver desativado ou excluído. Para obter mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivos do Microsoft Entra.
    • FALHOU. ERRO se o teste não pôde ser executado. Este teste requer conectividade de rede com o Microsoft Entra ID no contexto do sistema.

    Nota

    O campo DeviceAuthStatus foi adicionado na atualização do Windows 10 de maio de 2021 (versão 21H1).

  • Área de trabalho virtual: Há três casos em que isso aparece.
    • NOT SET - Os metadados do dispositivo VDI não estão presentes no dispositivo.
    • SIM - Os metadados do dispositivo VDI estão presentes e os metadados associados às saídas dsregcmd, incluindo:
      • Provedor: Nome do fornecedor de VDI.
      • Tipo: VDI persistente ou não persistente.
      • Modo de utilizador: Utilizador único ou multiutilizador.
      • Extensões: Número de pares de valores de chave em metadados opcionais específicos do fornecedor, seguidos por pares de valores de chave.
    • INVÁLIDO - Os metadados do dispositivo VDI estão presentes, mas não estão definidos corretamente. Nesse caso, o dsregcmd gera os metadados incorretos.

Saída de detalhes do dispositivo de amostra

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalhes do inquilino

Os detalhes do locatário são exibidos somente quando o dispositivo é Microsoft Entra ingressado ou Microsoft Entra híbrido associado, não Microsoft Entra registrado. Esta seção lista os detalhes comuns do locatário que são exibidos quando um dispositivo é associado à ID do Microsoft Entra.

Nota

Se os campos de URL de gerenciamento de dispositivo móvel (MDM) nesta seção estiverem vazios, isso indica que o MDM não foi configurado ou que o usuário atual não está no escopo do registro do MDM. Verifique as configurações de mobilidade no Microsoft Entra ID para revisar sua configuração de MDM.

Mesmo que você veja URLs MDM, isso não significa que o dispositivo é gerenciado por um MDM. As informações serão exibidas se o locatário tiver configuração MDM para registro automático, mesmo que o dispositivo em si não seja gerenciado.

Exemplo de saída de detalhes do locatário

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado do utilizador

Esta seção lista os status de vários atributos para usuários que estão atualmente conectados ao dispositivo.

Nota

O comando deve ser executado em um contexto de usuário para recuperar um status válido.

  • NgcSet: defina o estado como SIM se uma chave do Windows Hello estiver definida para o usuário conectado atual.
  • NgcKeyId: A ID da chave do Windows Hello se estiver definida para o usuário conectado atual.
  • CanReset: indica se a chave do Windows Hello pode ser redefinida pelo usuário.
  • Valores possíveis: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, ou Unknown if error.
  • WorkplaceJoined: defina o estado como SIM se as contas registradas do Microsoft Entra tiverem sido adicionadas ao dispositivo no contexto NTUSER atual.
  • WamDefaultSet: defina o estado como SIM se uma Conta Web padrão do Gerenciador de Contas da Web (WAM) for criada para o usuário conectado. Este campo pode apresentar um erro se dsregcmd /status for executado a partir de uma linha de comandos elevada.
  • WamDefaultAuthority: defina o estado para organizações para o Microsoft Entra ID.
  • WamDefaultId: Sempre use para o https://login.microsoft.com Microsoft Entra ID.
  • WamDefaultGUID: O GUID do provedor WAM (Microsoft Entra ID / conta da Microsoft) para a WebAccount WAM padrão.

Exemplo de saída de estado do usuário

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado SSO

Você pode ignorar esta seção para dispositivos registrados do Microsoft Entra.

Nota

O comando deve ser executado em um contexto de usuário para recuperar o status válido desse usuário.

  • AzureAdPrt: defina o estado como SIM se um Token de Atualização Primária (PRT) estiver presente no dispositivo para o usuário conectado.
  • AzureAdPrtUpdateTime: defina o estado para a hora, em Tempo Universal Coordenado (UTC), quando o PRT foi atualizado pela última vez.
  • AzureAdPrtExpiryTime: defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
  • AzureAdPrtAuthority: A URL da autoridade do Microsoft Entra
  • EnterprisePrt: defina o estado como SIM se o dispositivo tiver um PRT dos Serviços de Federação do Ative Directory (AD FS) locais. Para dispositivos associados híbridos do Microsoft Entra, o dispositivo pode ter um PRT do Microsoft Entra ID e do Ative Directory local simultaneamente. Os dispositivos associados no local têm apenas um PRT Empresarial.
  • EnterprisePrtUpdateTime: defina o estado para a hora, em UTC, quando o Enterprise PRT foi atualizado pela última vez.
  • EnterprisePrtExpiryTime: defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
  • EnterprisePrtAuthority: A URL da autoridade do AD FS

Nota

Os seguintes campos de diagnóstico PRT foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).

  • As informações de diagnóstico exibidas no campo AzureAdPrt são para aquisição ou atualização do Microsoft Entra PRT e as informações de diagnóstico exibidas no campo EnterprisePrt são para aquisição ou atualização do Enterprise PRT.
  • As informações de diagnóstico são exibidas somente se a falha de aquisição ou atualização tiver ocorrido após o último tempo de atualização PRT bem-sucedido (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Em um dispositivo compartilhado, essas informações de diagnóstico podem ser da tentativa de login de um usuário diferente.
  • AcquirePrtDiagnostics: defina o estado como PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
    • Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
  • Tentativa de Prt anterior: A hora local, em UTC, em que ocorreu a tentativa de PRT falhada.
  • Status da tentativa: O código de erro do cliente retornado (HRESULT).
  • Identidade do usuário: O UPN do usuário para o qual a tentativa de PRT aconteceu.
  • Tipo de credencial: a credencial usada para adquirir ou atualizar o PRT. Os tipos de credenciais comuns são Password e Next Generation Credential (NGC) (para Windows Hello).
  • ID de correlação: A ID de correlação enviada pelo servidor para a tentativa de PRT com falha.
  • URI do ponto de extremidade: o último ponto de extremidade acessado antes da falha.
  • Método HTTP: O método HTTP usado para acessar o ponto de extremidade.
  • Erro HTTP: código de erro de transporte WinHttp. Obtenha outros códigos de erro de rede.
  • Status HTTP: O status HTTP retornado pelo ponto de extremidade.
  • Código de erro do servidor: O código de erro do servidor.
  • Descrição do erro do servidor: A mensagem de erro do servidor.
  • RefreshPrtDiagnostics: defina o estado como PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
    • Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
    • Os campos de informações de diagnóstico são os mesmos que AcquirePrtDiagnostics.

Nota

Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na versão original do Windows 11 (versão 21H2).

  • OnPremTgt: defina o estado como SIM se um tíquete Kerberos na nuvem para acessar recursos locais estiver presente no dispositivo para o usuário conectado.
  • CloudTgt: defina o estado como SIM se um tíquete do Cloud Kerberos para acessar recursos de nuvem estiver presente no dispositivo para o usuário conectado.
  • KerbTopLevelNames: Lista de nomes de realm Kerberos de nível superior para Cloud Kerberos.

Exemplo de saída de estado SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

dados de diagnóstico

Diagnóstico pré-adesão

Esta seção de diagnóstico será exibida somente se o dispositivo estiver associado ao domínio e não puder ingressar no Microsoft Entra.

Esta seção executa vários testes para ajudar a diagnosticar falhas de junção. As informações incluem a: fase de erro, código de erro, ID de solicitação do servidor, status HTTP de resposta do servidor e mensagem de erro de resposta do servidor.

  • Contexto do usuário: O contexto no qual os diagnósticos são executados. Valores possíveis: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Nota

    Como a junção real é executada no contexto SYSTEM, a execução do diagnóstico no contexto SYSTEM é mais próxima do cenário de junção real. Para executar diagnósticos no contexto SYSTEM, o comando deve ser executado a dsregcmd /status partir de um prompt de comando elevado.

  • Hora do Cliente: A hora do sistema, em UTC.

  • Teste de Conectividade do AD: este teste executa um teste de conectividade com o controlador de domínio. Um erro neste teste provavelmente resulta em erros de junção na fase de pré-verificação.

  • Teste de Configuração do AD: este teste lê e verifica se o objeto SCP (Ponto de Conexão de Serviço) está configurado corretamente na floresta do Ative Directory local. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta com o código de erro 0x801c001d.

  • Teste de descoberta de DRS: esse teste obtém os pontos de extremidade DRS do ponto de extremidade de metadados de descoberta e executa uma solicitação de território do usuário. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta.

  • Teste de conectividade DRS: este teste executa um teste de conectividade básica para o ponto de extremidade DRS.

  • Teste de aquisição de token: este teste tenta obter um token de autenticação do Microsoft Entra se o locatário do usuário for federado. Erros nesse teste provavelmente resultariam em erros de junção na fase de autenticação. Se a autenticação falhar, a associação de sincronização será tentada como fallback, a menos que o fallback seja explicitamente desabilitado com as seguintes configurações de chave do Registro:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Fallback para Sync-Join: defina o estado como Enabled se a chave do Registro anterior para evitar fallback para sync-join com falhas de autenticação não estiver presente. Esta opção está disponível no Windows 10 1803 e posterior.

  • Registo Anterior: A hora em que ocorreu a tentativa de adesão anterior. Apenas as tentativas de associação falhadas são registadas.

  • Fase de erro: O estágio da junção em que foi abortado. Os valores possíveis são pré-verificação, descoberta, autenticação e junção.

  • Código de erro do cliente: O código de erro do cliente retornado (HRESULT).

  • Server ErrorCode: O código de erro do servidor exibido se uma solicitação foi enviada ao servidor e o servidor respondeu com um código de erro.

  • Mensagem do servidor: A mensagem do servidor retornada junto com o código de erro.

  • Status Https: O status HTTP retornado pelo servidor.

  • ID da solicitação: O requestId do cliente enviado ao servidor. O ID da solicitação é útil para correlacionar com logs do lado do servidor.

Exemplo de saída de diagnóstico de pré-junção

O exemplo a seguir mostra um teste de diagnóstico falhando com um erro de descoberta.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

O exemplo a seguir mostra que os testes de diagnóstico estão sendo aprovados, mas a tentativa de registro falhou com um erro de diretório, que é esperado para a associação sincronizada. Depois que o trabalho de sincronização do Microsoft Entra Connect for concluído, o dispositivo poderá ingressar.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico pós-junção

Esta seção de diagnóstico exibe a saída das verificações de sanidade realizadas em um dispositivo associado à nuvem.

  • AadRecoveryEnabled: Se o valor for YES, as chaves armazenadas no dispositivo não são utilizáveis e o dispositivo está marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo.
  • KeySignTest: Se o valor for PASSED, as chaves do dispositivo estão em boa saúde. Se KeySignTest falhar, o dispositivo geralmente é marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo. Para dispositivos associados híbridos Microsoft Entra, a recuperação é silenciosa. Enquanto os dispositivos são associados ao Microsoft Entra ou registrados no Microsoft Entra, eles solicitam a autenticação do usuário para recuperar e registrar novamente o dispositivo, se necessário.

    Nota

    O KeySignTest requer privilégios elevados.

Exemplo de saída de diagnóstico pós-junção

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Verificação de pré-requisitos NGC

Esta seção de diagnóstico executa a verificação de pré-requisitos para configurar o Windows Hello for Business (WHFB).

Nota

Talvez você não veja os detalhes de verificação de pré-requisitos do dsregcmd /status NGC se o usuário já tiver configurado o WHFB com êxito.

  • IsDeviceJoined: defina o estado como SIM se o dispositivo estiver associado à ID do Microsoft Entra.
  • IsUserAzureAD: defina o estado como SIM se o usuário conectado estiver presente na ID do Microsoft Entra.
  • PolicyEnabled: defina o estado como SIM se a política WHFB estiver habilitada no dispositivo.
  • PostLogonEnabled: defina o estado como SIM se o registro WHFB for acionado nativamente pela plataforma. Se o estado estiver definido como NO, isso indica que o registro no Windows Hello for Business é acionado por um mecanismo personalizado.
  • DeviceElegible: defina o estado como SIM se o dispositivo atender aos requisitos de hardware para se registrar no WHFB.
  • SessionIsNotRemote: defina o estado como SIM se o usuário atual estiver conectado diretamente ao dispositivo e não remotamente.
  • CertEnrollment: essa configuração é específica para a implantação do WHFB Certificate Trust, indicando a autoridade de registro de certificado para WHFB. Defina o estado como autoridade de registro se a origem da política WHFB for Diretiva de Grupo ou defina-o como gerenciamento de dispositivos móveis se a origem for MDM. Se nenhuma das fontes se aplicar, defina o estado como nenhum.
  • AdfsRefreshToken: essa configuração é específica para a implantação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for a autoridade de registro. A configuração indica se o dispositivo tem um PRT corporativo para o usuário.
  • AdfsRaIsReady: essa configuração é específica para a implantação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o AD FS indicar nos metadados de descoberta que ele suporta WHFB e o modelo de certificado de logon está disponível.
  • LogonCertTemplateReady: essa configuração é específica para a implantação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o estado do modelo de certificado de início de sessão for válido e ajudar a resolver problemas da Autoridade de Registo (RA) do AD FS.
  • PreReqResult: Fornece o resultado de todas as avaliações de pré-requisitos do WHFB. Defina o estado como Will Provision se o registro do WHFB for iniciado como uma tarefa pós-login quando o usuário entrar na próxima vez.

Nota

Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).

Antes do Windows 11 versão 23H2, a configuração OnPremTGT era chamada CloudTGT.

  • OnPremTGT: essa configuração é específica para a implantação de confiança do Cloud Kerberos e está presente somente se o estado CertEnrollment não for nenhum. Defina o estado como SIM se o dispositivo tiver um tíquete Cloud Kerberos para acessar recursos locais. Antes do Windows 11 versão 23H2, essa configuração era chamada CloudTGT.

Exemplo de saída de verificação de pré-requisitos NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Próximos passos

Vá para a Ferramenta de Pesquisa de Erros da Microsoft.