Partilhar via


Solucionar problemas de dispositivos usando o comando dsregcmd

Este artigo explica como usar a saída do comando dsregcmd para entender o estado dos dispositivos no Microsoft Entra ID. Execute o utilitário dsregcmd /status como uma conta de usuário de domínio.

Estado do dispositivo

Esta seção lista os parâmetros de estado de junção do dispositivo. Os critérios necessários para que o dispositivo esteja em vários estados de junção estão listados na tabela a seguir:

AzureAdJoined EmpresaUnida DomínioAssociado Estado do dispositivo
SIM NÃO NÃO Microsoft Entra juntou-se
NÃO NÃO SIM Ingressado no Domínio
SIM NÃO SIM Microsoft Entra híbrido juntou-se
NÃO SIM SIM DRS no local integrado

Observação

O estado Ingressado no Local de Trabalho (registado no Microsoft Entra) é exibido na seção "Estado do usuário".

  • AzureAdJoined: Configure o estado como SIM se o dispositivo estiver associado a Microsoft Entra ID. Caso contrário, defina o estado como NO.

  • EnterpriseJoined: Defina o estado como SIM se o dispositivo estiver ligado a um Active Directory (AD) local. Um dispositivo não pode ser EnterpriseJoined e AzureAdJoined.

  • DomainJoined: defina o estado como SIM se o dispositivo estiver associado a um domínio (Ative Directory).

  • DomainName: defina o estado para o nome do domínio se o dispositivo estiver associado a um domínio.

Saída de estado do dispositivo de amostra

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalhes do dispositivo

O estado é exibido apenas quando o dispositivo está associado ao Microsoft Entra ou em modo híbrido com o Microsoft Entra, e não quando está apenas registado no Microsoft Entra. Esta seção lista os detalhes de identificação do dispositivo armazenados no Microsoft Entra ID.

  • DeviceId: A ID exclusiva do dispositivo no locatário do Microsoft Entra.
  • Impressão digital: A impressão digital do certificado do dispositivo.
  • DeviceCertificateValidity: O estado de validade do certificado do dispositivo.
  • KeyContainerId: O containerId da chave privada do dispositivo associada ao certificado do dispositivo.
  • KeyProvider: O KeyProvider (Hardware/Software) usado para armazenar a chave privada do dispositivo.
  • TpmProtected: O estado é definido como SIM se a chave privada do dispositivo estiver armazenada num módulo TPM (Trusted Platform Module) de hardware.
  • DeviceAuthStatus: Executa uma verificação para determinar a integridade do dispositivo no Microsoft Entra ID. Os estados de saúde são:
    • SUCESSO se o dispositivo estiver presente e ativado no Microsoft Entra ID.
    • FALHOU. O dispositivo está desativado ou excluído se o dispositivo estiver desativado ou excluído. Para obter mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivos do Microsoft Entra.
    • FALHOU. ERRO se o teste não pôde ser executado. Este teste requer conectividade de rede com o Microsoft Entra ID no contexto do sistema.

    Observação

    O campo DeviceAuthStatus foi adicionado na atualização do Windows 10 de maio de 2021 (versão 21H1).

  • Ambiente de Trabalho Virtual: Existem três casos em que esta linha aparece.
    • NOT SET - Os metadados do dispositivo VDI não estão presentes no dispositivo.
    • SIM - Os metadados do dispositivo VDI estão presentes e o dsregcmd exibe os metadados associados, incluindo:
      • Provedor: Nome do fornecedor de VDI.
      • Tipo: VDI persistente ou não persistente.
      • Modo de utilizador: Utilizador único ou multiutilizador.
      • Extensões: Número de pares de valores de chave em metadados opcionais específicos do fornecedor, seguidos por pares de valores de chave.
    • INVÁLIDO - Os metadados do dispositivo VDI estão presentes, mas não estão definidos corretamente. Nesse caso, o dsregcmd gera os metadados incorretos.

Saída de detalhes do dispositivo de exemplo

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalhes do inquilino

Os detalhes do locatário são exibidos apenas quando o dispositivo está associado ao Microsoft Entra ou associado de forma híbrida ao Microsoft Entra, e não quando registado no Microsoft Entra. Esta seção lista os detalhes comuns do locatário que são exibidos quando um dispositivo é associado à ID do Microsoft Entra.

Observação

Se os campos de URL de gerenciamento de dispositivo móvel (MDM) nesta seção estiverem vazios, isso indica que o MDM não foi configurado ou que o usuário atual não está no escopo do registro do MDM. Verifique as configurações de mobilidade no Microsoft Entra ID para revisar sua configuração de MDM.

A presença de URLs MDM não garante que o dispositivo seja gerenciado por um MDM. As informações serão exibidas se o locatário tiver configuração MDM para registro automático, mesmo que o dispositivo em si não seja gerenciado.

Exemplo de resultado de detalhes do locatário

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado do utilizador

Esta seção lista os status de vários atributos para usuários que estão atualmente conectados ao dispositivo.

Observação

O comando deve ser executado em um contexto de usuário para recuperar um status válido.

  • NgcSet: defina o estado como SIM se uma chave do Windows Hello estiver definida para o usuário conectado atual.
  • NgcKeyId: A ID da chave do Windows Hello se estiver definida para o usuário conectado atual.
  • CanReset: indica se a chave do Windows Hello pode ser redefinida pelo usuário.
  • Os valores possíveis: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, ou Unknown se houver erro.
  • WorkplaceJoined: defina o estado como SIM, se as contas registadas do Microsoft Entra tiverem sido adicionadas ao dispositivo no contexto NTUSER atual.
  • WamDefaultSet: defina o estado como SIM se uma Conta Web padrão do Gerenciador de Conta da Web (WAM) for criada para o usuário conectado. Este campo pode apresentar um erro se dsregcmd /status for executado a partir de uma linha de comandos elevada.
  • WamDefaultAuthority: defina o estado para organizações para o Microsoft Entra ID.
  • WamDefaultId: Sempre use https://login.microsoft.com para Microsoft Entra ID.
  • WamDefaultGUID: O GUID do provedor WAM (Microsoft Entra ID / conta Microsoft) para a conta WebAccount WAM padrão.

Exemplo de saída de estado do usuário

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado do Single Sign-On

Você pode ignorar esta seção para dispositivos registrados do Microsoft Entra.

Observação

O comando deve ser executado em um contexto de usuário para recuperar o status válido desse usuário.

  • AzureAdPrt: defina o estado como SIM se um Token de Atualização Primária (PRT) estiver presente no dispositivo para o utilizador conectado.
  • AzureAdPrtUpdateTime: definir o estado para a hora, em Tempo Universal Coordenado (UTC), quando o PRT foi atualizado por último.
  • AzureAdPrtExpiryTime: defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
  • AzureAdPrtAuthority: A URL de autoridade do Microsoft Entra
  • EnterprisePrt: defina o estado como SIM se o dispositivo tiver um PRT dos Serviços de Federação do Active Directory (AD FS) locais. Para dispositivos associados híbridos do Microsoft Entra, o dispositivo pode ter um PRT do Microsoft Entra ID e do Active Directory local simultaneamente. Os dispositivos associados à rede local têm apenas um PRT Empresarial.
  • EnterprisePrtUpdateTime: defina o estado para a hora, em UTC, quando o PRT da empresa foi atualizado pela última vez.
  • EnterprisePrtExpiryTime: Defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
  • EnterprisePrtAuthority: URL da autoridade do AD FS

Observação

Os seguintes campos de diagnóstico PRT foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).

  • As informações de diagnóstico exibidas no campo AzureAdPrt são para aquisição ou atualização do Microsoft Entra PRT e as informações de diagnóstico exibidas no campo do EnterprisePrt são para aquisição ou atualização do Enterprise PRT.
  • As informações de diagnóstico são exibidas apenas se a falha na aquisição ou atualização tiver ocorrido após o último momento em que o PRT foi atualizado com sucesso (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Em um dispositivo compartilhado, essas informações de diagnóstico podem ser da tentativa de login de um usuário diferente.
  • AcquirePrtDiagnostics: defina o estado como PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
    • Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
  • Tentativa PRT AnteriorA hora local, em UTC, em que ocorreu a tentativa PRT falhada.
  • Estado da tentativa: O código de erro retornado do cliente (HRESULT).
  • Identidade do Usuário: O UPN do usuário para quem a tentativa de PRT aconteceu.
  • Tipo de credencial: A credencial usada para adquirir ou atualizar o PRT. Os tipos de credenciais comuns são Password e Next Generation Credential (NGC) (para Windows Hello).
  • ID de correlação: O ID de correlação enviado pelo servidor para a tentativa de PRT falhada.
  • URI do ponto de extremidade: O último ponto de extremidade acessado antes da falha.
  • Método HTTP: O método HTTP usado para aceder o endpoint.
  • Erro HTTP : Código de erro de transporte do WinHttp. Obtenha outros códigos de erro de rede .
  • Estado HTTP: O estado HTTP retornado pelo endpoint.
  • Server Error Code: O código de erro do servidor.
  • Server Error Description: A mensagem de erro do servidor.
  • RefreshPrtDiagnostics: defina o estado para PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
    • Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
    • Os campos de informações de diagnóstico são os mesmos que AcquirePrtDiagnostics.

Observação

Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na versão original do Windows 11 (versão 21H2).

  • OnPremTgt: defina o estado como SIM se um tíquete Kerberos em nuvem para acesso a recursos locais estiver presente no dispositivo para o usuário conectado.
  • CloudTgt: defina o estado como SIM se um tíquete do Cloud Kerberos para acessar recursos de nuvem estiver presente no dispositivo para o usuário conectado.
  • KerbTopLevelNames: Lista de nomes de realm Kerberos de nível superior para Cloud Kerberos.

Exemplo de saída de estado SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dados de diagnóstico

Diagnóstico pré-adesão

Esta secção de diagnóstico é apresentada apenas se o dispositivo estiver associado ao domínio e não conseguir efetuar a ligação híbrida ao Microsoft Entra.

Esta seção executa vários testes para ajudar a diagnosticar falhas de junção. As informações incluem a: fase de erro, código de erro, ID de solicitação do servidor, status HTTP de resposta do servidor e mensagem de erro de resposta do servidor.

  • Contexto do Utilizador: O contexto em que os diagnósticos são executados. Valores possíveis: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Observação

    Como a junção real é executada no contexto SYSTEM, a execução do diagnóstico no contexto SYSTEM é mais próxima do cenário de junção real. Para executar diagnósticos no contexto do SYSTEM, o comando dsregcmd /status tem de ser executado a partir de um prompt de comando com privilégios elevados.

  • Client Time: A hora do sistema, em UTC.

  • Teste de Conectividade do Active Directory: este teste verifica a conectividade com o controlador de domínio do Active Directory. Um erro neste teste provavelmente resulta em erros de junção na fase de pré-verificação.

  • Teste de Configuração do AD: este teste lê e verifica se o objeto SCP (Ponto de Conexão de Serviço) está configurado corretamente na floresta do Active Directory local. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta com o código de erro 0x801c001d.

  • DRS Discovery Test: Este teste obtém os endpoints DRS do ponto de extremidade de metadados de descoberta e realiza uma solicitação de domínio de utilizador. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta.

  • Teste de Conectividade DRS: Este teste realiza um teste básico de conectividade com o ponto de extremidade DRS.

  • Teste de Aquisição de Token: Este teste tenta obter um token de autenticação do Microsoft Entra se o tenant do utilizador for federado. Erros nesse teste provavelmente resultariam em erros de junção na fase de autenticação. Se a autenticação falhar, será tentada a sincronização como alternativa, a menos que esta alternativa seja explicitamente desativada com as seguintes definições de chave do Registo:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Fallback para Sincronizar-Juntar: Defina o estado como Ativado se a chave de Registo anterior para impedir fallback para sincronizar com falhas de autenticação não estiver presente. Esta opção está disponível no Windows 10 1803 e posterior.

  • Registo Anterior: A hora em que ocorreu a tentativa de adesão anterior. Apenas as tentativas de associação falhadas são registadas.

  • Fase de erro: A etapa da junção em que foi abortada. Os valores possíveis são pré-verificação , descoberta , autenticação , e ingresso .

  • Código de erro do cliente : Código de erro retornado pelo cliente (HRESULT).

  • Server ErrorCode: O código de erro do servidor exibido se uma solicitação foi enviada ao servidor e o servidor respondeu com um código de erro.

  • Server Message: A mensagem do servidor devolvida junto com o código de erro.

  • Https Status: O status HTTP retornado pelo servidor.

  • ID da solicitação: O requestId do cliente enviado ao servidor. O ID da solicitação é útil para correlacionar com logs do lado do servidor.

Exemplo de saída de diagnóstico de pré-junção

O exemplo a seguir mostra um teste de diagnóstico falhando com um erro de descoberta.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

O exemplo a seguir mostra que os testes de diagnóstico estão a passar, mas a tentativa de registo falhou com um erro de diretório, o que é esperado para sync-join. Depois que o trabalho de sincronização do Microsoft Entra Connect for concluído, o dispositivo poderá ingressar.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico pós-junção

Esta seção de diagnóstico exibe a saída das verificações realizadas em um dispositivo associado à nuvem.

  • AadRecoveryEnabled: Se o valor for SIM, as chaves armazenadas no dispositivo não são utilizáveis e o dispositivo está marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo.
  • KeySignTest: Se o resultado for APROVADO, as chaves do dispositivo estão em boas condições. Se KeySignTest falhar, o dispositivo geralmente é marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo. Para dispositivos híbridos associados ao Microsoft Entra, a recuperação é silenciosa. Enquanto os dispositivos são associados ao Microsoft Entra ou registrados no Microsoft Entra, eles solicitam a autenticação do usuário para recuperar e registrar novamente o dispositivo, se necessário.

    Observação

    O KeySignTest requer privilégios elevados.

Exemplo de saída de diagnóstico pós-junção

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Verificação de pré-requisitos do NGC

Esta seção de diagnóstico executa a verificação de pré-requisitos para configurar o Windows Hello for Business (WHFB).

Observação

Poderá não ver pormenores de pré-requisitos NGC em dsregcmd /status se o utilizador tiver configurado o WHFB com sucesso.

  • IsDeviceJoined: defina o estado como SIM se o dispositivo estiver associado ao Microsoft Entra ID.
  • IsUserAzureAD: defina o estado como SIM se o usuário conectado estiver presente no Microsoft Entra ID.
  • PolicyEnabled: Defina o estado como SIM se a política WHFB estiver habilitada no dispositivo.
  • PostLogonEnabled: defina o estado como SIM se a inscrição WHFB for acionada nativamente pela plataforma. Se o estado estiver definido como NO, isso indica que o registro no Windows Hello for Business é acionado por um mecanismo personalizado.
  • DeviceEligible: defina o estado como SIM se o dispositivo atender aos requisitos de hardware para se inscrever no WHFB.
  • SessionIsNotRemote: configure o estado como SIM se o utilizador atual estiver conectado diretamente ao dispositivo e não remotamente.
  • CertEnrollment: Esta configuração é específica para a implantação do WHFB Certificate Trust, indicando a autoridade de registro de certificado para WHFB. Defina o estado como autoridade de inscrição se a origem da diretiva WHFB for Diretiva de Grupo, ou defina-o como autoridade de gerenciamento de dispositivos móveis se a origem for gerenciamento de dispositivos móveis (MDM). Se nenhuma das fontes se aplicar, defina o estado como nenhuma.
  • AdfsRefreshToken: Esta configuração é específica para a implantação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. A configuração indica se o dispositivo tem um PRT corporativo para o usuário.
  • AdfsRaIsReady: Esta configuração é específica para a implementação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. Defina o estado como SIM se o AD FS indicar nos metadados de descoberta que suporta WHFB e o modelo de certificado de login estiver disponível.
  • LogonCertTemplateReady: Esta configuração é específica para a implementação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. Defina o estado como SIM se o estado do modelo de certificado de início de sessão for válido e ajudar a resolver problemas da Autoridade de Registo (RA) do AD FS.
  • PreReqResult: Fornece o resultado de todas as avaliações de pré-requisitos do WHFB. Defina o estado como Will Provision se a inscrição no WHFB for iniciada como uma tarefa após o login quando o utilizador iniciar sessão na próxima vez.

Observação

Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).

Antes do Windows 11 versão 23H2, a configuração OnPremTGT era nomeada CloudTGT.

  • OnPremTGT: Esta configuração é específica para a configuração de confiança do Kerberos na Nuvem e está presente somente se o estado CertEnrollment é nenhum. Defina o estado como SIM se o dispositivo tiver um bilhete Cloud Kerberos para acessar recursos locais. Antes da versão 23H2 do Windows 11, essa configuração era nomeada CloudTGT.

Exemplo de saída de verificação de pré-requisitos NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Próximos passos

Vá para a Ferramenta de Pesquisa de Erros da Microsoft.