Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como usar a saída do comando dsregcmd
para entender o estado dos dispositivos no Microsoft Entra ID. Execute o utilitário dsregcmd /status
como uma conta de usuário de domínio.
Estado do dispositivo
Esta seção lista os parâmetros de estado de junção do dispositivo. Os critérios necessários para que o dispositivo esteja em vários estados de junção estão listados na tabela a seguir:
AzureAdJoined | EmpresaUnida | DomínioAssociado | Estado do dispositivo |
---|---|---|---|
SIM | NÃO | NÃO | Microsoft Entra juntou-se |
NÃO | NÃO | SIM | Ingressado no Domínio |
SIM | NÃO | SIM | Microsoft Entra híbrido juntou-se |
NÃO | SIM | SIM | DRS no local integrado |
Observação
O estado Ingressado no Local de Trabalho (registado no Microsoft Entra) é exibido na seção "Estado do usuário".
AzureAdJoined: Configure o estado como SIM se o dispositivo estiver associado a Microsoft Entra ID. Caso contrário, defina o estado como NO.
EnterpriseJoined: Defina o estado como SIM se o dispositivo estiver ligado a um Active Directory (AD) local. Um dispositivo não pode ser EnterpriseJoined e AzureAdJoined.
DomainJoined: defina o estado como SIM se o dispositivo estiver associado a um domínio (Ative Directory).
DomainName: defina o estado para o nome do domínio se o dispositivo estiver associado a um domínio.
Saída de estado do dispositivo de amostra
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Detalhes do dispositivo
O estado é exibido apenas quando o dispositivo está associado ao Microsoft Entra ou em modo híbrido com o Microsoft Entra, e não quando está apenas registado no Microsoft Entra. Esta seção lista os detalhes de identificação do dispositivo armazenados no Microsoft Entra ID.
- DeviceId: A ID exclusiva do dispositivo no locatário do Microsoft Entra.
- Impressão digital: A impressão digital do certificado do dispositivo.
- DeviceCertificateValidity: O estado de validade do certificado do dispositivo.
- KeyContainerId: O containerId da chave privada do dispositivo associada ao certificado do dispositivo.
- KeyProvider: O KeyProvider (Hardware/Software) usado para armazenar a chave privada do dispositivo.
- TpmProtected: O estado é definido como SIM se a chave privada do dispositivo estiver armazenada num módulo TPM (Trusted Platform Module) de hardware.
-
DeviceAuthStatus: Executa uma verificação para determinar a integridade do dispositivo no Microsoft Entra ID. Os estados de saúde são:
- SUCESSO se o dispositivo estiver presente e ativado no Microsoft Entra ID.
- FALHOU. O dispositivo está desativado ou excluído se o dispositivo estiver desativado ou excluído. Para obter mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivos do Microsoft Entra.
- FALHOU. ERRO se o teste não pôde ser executado. Este teste requer conectividade de rede com o Microsoft Entra ID no contexto do sistema.
Observação
O campo DeviceAuthStatus foi adicionado na atualização do Windows 10 de maio de 2021 (versão 21H1).
-
Ambiente de Trabalho Virtual: Existem três casos em que esta linha aparece.
- NOT SET - Os metadados do dispositivo VDI não estão presentes no dispositivo.
- SIM - Os metadados do dispositivo VDI estão presentes e o dsregcmd exibe os metadados associados, incluindo:
- Provedor: Nome do fornecedor de VDI.
- Tipo: VDI persistente ou não persistente.
- Modo de utilizador: Utilizador único ou multiutilizador.
- Extensões: Número de pares de valores de chave em metadados opcionais específicos do fornecedor, seguidos por pares de valores de chave.
- INVÁLIDO - Os metadados do dispositivo VDI estão presentes, mas não estão definidos corretamente. Nesse caso, o dsregcmd gera os metadados incorretos.
Saída de detalhes do dispositivo de exemplo
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Detalhes do inquilino
Os detalhes do locatário são exibidos apenas quando o dispositivo está associado ao Microsoft Entra ou associado de forma híbrida ao Microsoft Entra, e não quando registado no Microsoft Entra. Esta seção lista os detalhes comuns do locatário que são exibidos quando um dispositivo é associado à ID do Microsoft Entra.
Observação
Se os campos de URL de gerenciamento de dispositivo móvel (MDM) nesta seção estiverem vazios, isso indica que o MDM não foi configurado ou que o usuário atual não está no escopo do registro do MDM. Verifique as configurações de mobilidade no Microsoft Entra ID para revisar sua configuração de MDM.
A presença de URLs MDM não garante que o dispositivo seja gerenciado por um MDM. As informações serão exibidas se o locatário tiver configuração MDM para registro automático, mesmo que o dispositivo em si não seja gerenciado.
Exemplo de resultado de detalhes do locatário
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Estado do utilizador
Esta seção lista os status de vários atributos para usuários que estão atualmente conectados ao dispositivo.
Observação
O comando deve ser executado em um contexto de usuário para recuperar um status válido.
- NgcSet: defina o estado como SIM se uma chave do Windows Hello estiver definida para o usuário conectado atual.
- NgcKeyId: A ID da chave do Windows Hello se estiver definida para o usuário conectado atual.
- CanReset: indica se a chave do Windows Hello pode ser redefinida pelo usuário.
- Os valores possíveis: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, ou Unknown se houver erro.
- WorkplaceJoined: defina o estado como SIM, se as contas registadas do Microsoft Entra tiverem sido adicionadas ao dispositivo no contexto NTUSER atual.
-
WamDefaultSet: defina o estado como SIM se uma Conta Web padrão do Gerenciador de Conta da Web (WAM) for criada para o usuário conectado. Este campo pode apresentar um erro se
dsregcmd /status
for executado a partir de uma linha de comandos elevada. - WamDefaultAuthority: defina o estado para organizações para o Microsoft Entra ID.
- WamDefaultId: Sempre use https://login.microsoft.com para Microsoft Entra ID.
- WamDefaultGUID: O GUID do provedor WAM (Microsoft Entra ID / conta Microsoft) para a conta WebAccount WAM padrão.
Exemplo de saída de estado do usuário
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Estado do Single Sign-On
Você pode ignorar esta seção para dispositivos registrados do Microsoft Entra.
Observação
O comando deve ser executado em um contexto de usuário para recuperar o status válido desse usuário.
- AzureAdPrt: defina o estado como SIM se um Token de Atualização Primária (PRT) estiver presente no dispositivo para o utilizador conectado.
- AzureAdPrtUpdateTime: definir o estado para a hora, em Tempo Universal Coordenado (UTC), quando o PRT foi atualizado por último.
- AzureAdPrtExpiryTime: defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
- AzureAdPrtAuthority: A URL de autoridade do Microsoft Entra
- EnterprisePrt: defina o estado como SIM se o dispositivo tiver um PRT dos Serviços de Federação do Active Directory (AD FS) locais. Para dispositivos associados híbridos do Microsoft Entra, o dispositivo pode ter um PRT do Microsoft Entra ID e do Active Directory local simultaneamente. Os dispositivos associados à rede local têm apenas um PRT Empresarial.
- EnterprisePrtUpdateTime: defina o estado para a hora, em UTC, quando o PRT da empresa foi atualizado pela última vez.
- EnterprisePrtExpiryTime: Defina o estado para a hora, em UTC, quando o PRT vai expirar se não for renovado.
- EnterprisePrtAuthority: URL da autoridade do AD FS
Observação
Os seguintes campos de diagnóstico PRT foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).
- As informações de diagnóstico exibidas no campo AzureAdPrt são para aquisição ou atualização do Microsoft Entra PRT e as informações de diagnóstico exibidas no campo do EnterprisePrt são para aquisição ou atualização do Enterprise PRT.
- As informações de diagnóstico são exibidas apenas se a falha na aquisição ou atualização tiver ocorrido após o último momento em que o PRT foi atualizado com sucesso (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
Em um dispositivo compartilhado, essas informações de diagnóstico podem ser da tentativa de login de um usuário diferente.
-
AcquirePrtDiagnostics: defina o estado como PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
- Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
- Tentativa PRT AnteriorA hora local, em UTC, em que ocorreu a tentativa PRT falhada.
- Estado da tentativa: O código de erro retornado do cliente (HRESULT).
- Identidade do Usuário: O UPN do usuário para quem a tentativa de PRT aconteceu.
- Tipo de credencial: A credencial usada para adquirir ou atualizar o PRT. Os tipos de credenciais comuns são Password e Next Generation Credential (NGC) (para Windows Hello).
- ID de correlação: O ID de correlação enviado pelo servidor para a tentativa de PRT falhada.
- URI do ponto de extremidade: O último ponto de extremidade acessado antes da falha.
- Método HTTP: O método HTTP usado para aceder o endpoint.
- Erro HTTP : Código de erro de transporte do WinHttp. Obtenha outros códigos de erro de rede .
- Estado HTTP: O estado HTTP retornado pelo endpoint.
- Server Error Code: O código de erro do servidor.
- Server Error Description: A mensagem de erro do servidor.
-
RefreshPrtDiagnostics: defina o estado para PRESENT se as informações de diagnóstico PRT adquiridas estiverem presentes nos logs.
- Este campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
- Os campos de informações de diagnóstico são os mesmos que AcquirePrtDiagnostics.
Observação
Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na versão original do Windows 11 (versão 21H2).
- OnPremTgt: defina o estado como SIM se um tíquete Kerberos em nuvem para acesso a recursos locais estiver presente no dispositivo para o usuário conectado.
- CloudTgt: defina o estado como SIM se um tíquete do Cloud Kerberos para acessar recursos de nuvem estiver presente no dispositivo para o usuário conectado.
- KerbTopLevelNames: Lista de nomes de realm Kerberos de nível superior para Cloud Kerberos.
Exemplo de saída de estado SSO
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Dados de diagnóstico
Diagnóstico pré-adesão
Esta secção de diagnóstico é apresentada apenas se o dispositivo estiver associado ao domínio e não conseguir efetuar a ligação híbrida ao Microsoft Entra.
Esta seção executa vários testes para ajudar a diagnosticar falhas de junção. As informações incluem a: fase de erro, código de erro, ID de solicitação do servidor, status HTTP de resposta do servidor e mensagem de erro de resposta do servidor.
Contexto do Utilizador: O contexto em que os diagnósticos são executados. Valores possíveis: SYSTEM, UN-ELEVATED User, ELEVATED User.
Observação
Como a junção real é executada no contexto SYSTEM, a execução do diagnóstico no contexto SYSTEM é mais próxima do cenário de junção real. Para executar diagnósticos no contexto do SYSTEM, o comando
dsregcmd /status
tem de ser executado a partir de um prompt de comando com privilégios elevados.Client Time: A hora do sistema, em UTC.
Teste de Conectividade do Active Directory: este teste verifica a conectividade com o controlador de domínio do Active Directory. Um erro neste teste provavelmente resulta em erros de junção na fase de pré-verificação.
Teste de Configuração do AD: este teste lê e verifica se o objeto SCP (Ponto de Conexão de Serviço) está configurado corretamente na floresta do Active Directory local. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta com o código de erro 0x801c001d.
DRS Discovery Test: Este teste obtém os endpoints DRS do ponto de extremidade de metadados de descoberta e realiza uma solicitação de domínio de utilizador. Erros neste teste provavelmente resultariam em erros de junção na fase de descoberta.
Teste de Conectividade DRS: Este teste realiza um teste básico de conectividade com o ponto de extremidade DRS.
Teste de Aquisição de Token: Este teste tenta obter um token de autenticação do Microsoft Entra se o tenant do utilizador for federado. Erros nesse teste provavelmente resultariam em erros de junção na fase de autenticação. Se a autenticação falhar, será tentada a sincronização como alternativa, a menos que esta alternativa seja explicitamente desativada com as seguintes definições de chave do Registo:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Fallback para Sincronizar-Juntar: Defina o estado como Ativado se a chave de Registo anterior para impedir fallback para sincronizar com falhas de autenticação não estiver presente. Esta opção está disponível no Windows 10 1803 e posterior.
Registo Anterior: A hora em que ocorreu a tentativa de adesão anterior. Apenas as tentativas de associação falhadas são registadas.
Fase de erro: A etapa da junção em que foi abortada. Os valores possíveis são pré-verificação , descoberta , autenticação , e ingresso .
Código de erro do cliente : Código de erro retornado pelo cliente (HRESULT).
Server ErrorCode: O código de erro do servidor exibido se uma solicitação foi enviada ao servidor e o servidor respondeu com um código de erro.
Server Message: A mensagem do servidor devolvida junto com o código de erro.
Https Status: O status HTTP retornado pelo servidor.
ID da solicitação: O requestId do cliente enviado ao servidor. O ID da solicitação é útil para correlacionar com logs do lado do servidor.
Exemplo de saída de diagnóstico de pré-junção
O exemplo a seguir mostra um teste de diagnóstico falhando com um erro de descoberta.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
O exemplo a seguir mostra que os testes de diagnóstico estão a passar, mas a tentativa de registo falhou com um erro de diretório, o que é esperado para sync-join. Depois que o trabalho de sincronização do Microsoft Entra Connect for concluído, o dispositivo poderá ingressar.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnóstico pós-junção
Esta seção de diagnóstico exibe a saída das verificações realizadas em um dispositivo associado à nuvem.
- AadRecoveryEnabled: Se o valor for SIM, as chaves armazenadas no dispositivo não são utilizáveis e o dispositivo está marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo.
-
KeySignTest: Se o resultado for APROVADO, as chaves do dispositivo estão em boas condições. Se KeySignTest falhar, o dispositivo geralmente é marcado para recuperação. O próximo login acionará o fluxo de recuperação e registrará novamente o dispositivo. Para dispositivos híbridos associados ao Microsoft Entra, a recuperação é silenciosa. Enquanto os dispositivos são associados ao Microsoft Entra ou registrados no Microsoft Entra, eles solicitam a autenticação do usuário para recuperar e registrar novamente o dispositivo, se necessário.
Observação
O KeySignTest requer privilégios elevados.
Exemplo de saída de diagnóstico pós-junção
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Verificação de pré-requisitos do NGC
Esta seção de diagnóstico executa a verificação de pré-requisitos para configurar o Windows Hello for Business (WHFB).
Observação
Poderá não ver pormenores de pré-requisitos NGC em dsregcmd /status
se o utilizador tiver configurado o WHFB com sucesso.
- IsDeviceJoined: defina o estado como SIM se o dispositivo estiver associado ao Microsoft Entra ID.
- IsUserAzureAD: defina o estado como SIM se o usuário conectado estiver presente no Microsoft Entra ID.
- PolicyEnabled: Defina o estado como SIM se a política WHFB estiver habilitada no dispositivo.
- PostLogonEnabled: defina o estado como SIM se a inscrição WHFB for acionada nativamente pela plataforma. Se o estado estiver definido como NO, isso indica que o registro no Windows Hello for Business é acionado por um mecanismo personalizado.
- DeviceEligible: defina o estado como SIM se o dispositivo atender aos requisitos de hardware para se inscrever no WHFB.
- SessionIsNotRemote: configure o estado como SIM se o utilizador atual estiver conectado diretamente ao dispositivo e não remotamente.
- CertEnrollment: Esta configuração é específica para a implantação do WHFB Certificate Trust, indicando a autoridade de registro de certificado para WHFB. Defina o estado como autoridade de inscrição se a origem da diretiva WHFB for Diretiva de Grupo, ou defina-o como autoridade de gerenciamento de dispositivos móveis se a origem for gerenciamento de dispositivos móveis (MDM). Se nenhuma das fontes se aplicar, defina o estado como nenhuma.
- AdfsRefreshToken: Esta configuração é específica para a implantação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. A configuração indica se o dispositivo tem um PRT corporativo para o usuário.
- AdfsRaIsReady: Esta configuração é específica para a implementação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. Defina o estado como SIM se o AD FS indicar nos metadados de descoberta que suporta WHFB e o modelo de certificado de login estiver disponível.
- LogonCertTemplateReady: Esta configuração é específica para a implementação do WHFB Certificate Trust e está presente somente se o estado CertEnrollment for autoridade de registro. Defina o estado como SIM se o estado do modelo de certificado de início de sessão for válido e ajudar a resolver problemas da Autoridade de Registo (RA) do AD FS.
- PreReqResult: Fornece o resultado de todas as avaliações de pré-requisitos do WHFB. Defina o estado como Will Provision se a inscrição no WHFB for iniciada como uma tarefa após o login quando o utilizador iniciar sessão na próxima vez.
Observação
Os seguintes campos de diagnóstico do Cloud Kerberos foram adicionados na atualização do Windows 10 de maio de 2021 (versão 21H1).
Antes do Windows 11 versão 23H2, a configuração OnPremTGT era nomeada CloudTGT.
- OnPremTGT: Esta configuração é específica para a configuração de confiança do Kerberos na Nuvem e está presente somente se o estado CertEnrollment é nenhum. Defina o estado como SIM se o dispositivo tiver um bilhete Cloud Kerberos para acessar recursos locais. Antes da versão 23H2 do Windows 11, essa configuração era nomeada CloudTGT.
Exemplo de saída de verificação de pré-requisitos NGC
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Próximos passos
Vá para a Ferramenta de Pesquisa de Erros da Microsoft.