Solucionar problemas de dispositivos usando o comando dsregcmd

  • Artigo

Este artigo aborda como usar a saída do comando dsregcmd para entender o estado dos dispositivos no Microsoft Entra ID. O utilitário dsregcmd /status deve ser executado como uma conta de usuário de domínio.

Estado do dispositivo

Esta seção lista os parâmetros de estado de ingresso no dispositivo. Os critérios necessários para que o dispositivo esteja em vários estados de ingresso estão listados na tabela abaixo:

AzureAdJoined EnterpriseJoined DomainJoined Estado do dispositivo
YES Não Não Ingressado no Microsoft Entra
Não Não YES Ingressado no domínio
YES Não SIM Ingressado no Microsoft Entra híbrido
Não YES YES Ingressado no DRS local

Observação

O estado de Ingressado no Local de Trabalho (registrado no Microsoft Entra) é exibido na seção "Estado do usuário".

  • AzureAdJoined: defina como SIM se o dispositivo for ingressado no Microsoft Entra ID. Caso contrário, defina o estado como NÃO.
  • EnterpriseJoined: defina o estado como SIM se o dispositivo for ingressado em um DRS (serviço de replicação de dados) local. Um dispositivo não pode ser EnterpriseJoined e AzureAdJoined.
  • DomainJoined: defina como SIM se o dispositivo for Ingressado em um domínio (Active Directory).
  • DomainName: defina o estado como o nome do domínio se o dispositivo for ingressado em um domínio.

Saída de estado do dispositivo de exemplo

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalhes do dispositivo

O estado é exibido somente quando o dispositivo está ingressado no Microsoft Entra ou no Microsoft Entra híbrido (não registrado no Microsoft Entra). Esta seção lista os detalhes de identificação de dispositivo que são armazenados no Microsoft Entra ID.

  • DeviceId: a ID exclusiva do dispositivo no locatário do Microsoft Entra.
  • Impressão digital: : a impressão digital do certificado do dispositivo.
  • DeviceCertificateValidity: o status de validade do certificado do dispositivo.
  • KeyContainerId:: o containerId da chave privada do dispositivo associada ao certificado do dispositivo
  • KeyProvider: o KeyProvider (Hardware/Software) usado para armazenar a chave privada do dispositivo.
  • TpmProtected: o estado é definido como SIM se a chave privada do dispositivo estiver armazenada em um hardware TPM (Trusted Platform Module).
  • DeviceAuthStatus: executa uma verificação para determinar a integridade do dispositivo no Microsoft Entra ID. Os status de integridade são:
    • SUCCESS se o dispositivo estiver presente e habilitado no Microsoft Entra ID.
    • FALHOU. O dispositivo está desabilitado ou excluído se o dispositivo está desabilitado ou excluído. Para mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivo do Microsoft Entra.
    • FALHOU. ERROR se o teste não pôde ser executado. Esse teste requer conectividade de rede com o Microsoft Entra ID no contexto do sistema.

    Observação

    O campo DeviceAuthStatus foi adicionado na atualização de 10 de maio de 2021 do Windows (versão 21H1).

  • Área de Trabalho Virtual: há três casos em que isso aparece.
    • NÃO DEFINIDO: os metadados do dispositivo VDI não estão presentes no dispositivo.
    • SIM – os metadados do dispositivo VDI estão presentes e os metadados associados às saídas dsregcmd, incluindo:
      • Provedor: nome do fornecedor da VDI.
      • Tipo: VDI persistente ou VDI não persistente.
      • Modo de usuário: usuário único ou multiusuário.
      • Extensões: número de pares chave-valor em metadados específicos do fornecedor opcional, seguidos por pares chave-valor.
    • INVÁLIDO – os metadados do dispositivo VDI estão presentes, mas não estão definidos corretamente. Nesse caso, dsregcmd gera metadados incorretos.

Saída de detalhes do dispositivo de exemplo

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalhes do locatário

O estado é exibido somente quando o dispositivo está ingressado no Microsoft Entra ou no Microsoft Entra híbrido, não registrado no Microsoft Entra. Esta seção lista os detalhes comuns do locatário que são exibidos quando um dispositivo é ingressado no Microsoft Entra ID.

Observação

Se os campos de URLs de MDM (gerenciamento de dispositivo móvel) nesta seção estiverem vazios, isso indica que o MDM não foi configurado ou que o usuário atual não está no escopo do registro de MDM. Verifique as Configurações de mobilidade no Microsoft Entra ID para examinar a configuração do MDM.

Mesmo que você veja URLs de MDM, isso não significa que o dispositivo é gerenciado por um MDM. As informações serão exibidas se o locatário tiver a configuração de MDM para registro automático, mesmo que o próprio dispositivo não seja gerenciado.

Saída de detalhes de locatário de exemplo

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado do usuário

Esta seção lista os status de vários atributos para os usuários que estão atualmente conectados ao dispositivo.

Observação

O comando deve ser executado em um contexto de usuário para recuperar um status válido.

  • NgcSet: defina o estado como SIM se uma chave do Windows Hello for definida para o usuário conectado no momento.
  • NgcKeyId: a ID da chave do Windows Hello se alguma estiver definida para o usuário conectado no momento.
  • CanReset: indica se a chave do Windows Hello pode ser redefinida pelo usuário.
  • Valores possíveis: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive ou Unknown se houver erro.
  • WorkplaceJoined: defina o estado como SIM se as contas registradas do Microsoft Entra tiverem sido adicionadas ao dispositivo no contexto NTUSER atual.
  • WamDefaultSet: defina o estado como SIM se uma WebAccount padrão do WAM (Gerenciador de Contas da Web) for criada para o usuário conectado. Esse campo poderá exibir um erro se dsregcmd /status for executado em um prompt de comandos elevados.
  • WamDefaultAuthority: defina o estado como organizações para o Microsoft Entra ID.
  • WamDefaultId: sempre use https://login.microsoft.com para Microsoft Entra ID.
  • WamDefaultGUID: o GUID do provedor de WAM (Microsoft Entra ID/conta Microsoft) para a conta WebAccount padrão.

Saída de estado do usuário de exemplo

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado do SSO

Você pode ignorar esta seção para dispositivos registrados no Microsoft Entra.

Observação

O comando deve ser executado em um contexto de usuário para recuperar o status válido desse usuário.

  • AzureAdPrt: defina o estado como SIM se um PRT (Token de Atualização Primário) estiver presente no dispositivo para o usuário conectado.
  • AzureAdPrtUpdateTime: defina o estado para a hora em UTC (Tempo Universal Coordenado) em que o PRT foi atualizado pela última vez.
  • AzureAdPrtExpiryTime: defina o estado para a hora em UTC em que o PRT expirará se não for renovado.
  • AzureAdPrtAuthority: a URL da autoridade Microsoft Entra
  • EnterprisePrt: defina o estado como SIM se o dispositivo tiver um PRT dos Serviços de Federação do Active Directory (AD FS) local. Para dispositivos ingressados híbridos do Microsoft Entra, o dispositivo pode ter um meio auxiliar de produção do Microsoft Entra ID e do Active Directory local simultaneamente. Os dispositivos ingressados no local têm apenas um PRT corporativo.
  • EnterprisePrtUpdateTime: defina o estado para a hora em UTC quando o PRT corporativo foi atualizado pela última vez.
  • EnterprisePrtExpiryTime: defina o estado para a hora em UTC em que o PRT expirará se não for renovado.
  • EnterprisePrtAuthority: a URL da autoridade do AD FS

Observação

Os seguintes campos de diagnóstico de PRT foram adicionados na atualização de 10 de maio de 2021 do Windows (versão 21H1).

  • As informações de diagnóstico exibidas no campo AzureAdPrt são para aquisição ou atualização de PRT do Microsoft Entra, e as informações de diagnóstico exibidas no campo EnterprisePrt são para aquisição ou atualização de PRT Corporativo.
  • As informações de diagnóstico são exibidas somente se a falha de aquisição ou atualização ocorreu após o último horário de atualização de PRT com sucesso (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Em um dispositivo compartilhado, essas informações de diagnóstico podem ser de uma tentativa de logon de um usuário diferente.
  • AcquirePrtDiagnostics: defina o estado como PRESENTE se as informações de diagnóstico de PRT adquiridas estiverem presentes nos logs.
    • Esse campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
  • Tentativa de PRT Anterior: a hora local em UTC em que a tentativa de PRT com falha ocorreu.
  • Status da Tentativa: o código de erro do cliente retornado (HRESULT).
  • Identidade do Usuário: o UPN do usuário para o qual ocorreu a tentativa de PRT.
  • Tipo de Credencial: a credencial usada para adquirir ou atualizar o PRT. Os tipos de credenciais comuns são a Senha e a NGC (Credencial de Próxima Geração) (para o Windows Hello).
  • ID de correlação: a ID de correlação enviada pelo servidor para a tentativa de PRT com falha.
  • URI do ponto de extremidade: o último ponto de extremidade acessado antes da falha.
  • Método HTTP: o método HTTP usado para acessar o ponto de extremidade.
  • Erro HTTP: código de erro de transporte WinHttp. Saiba mas sobre códigos de erro de rede.
  • Status HTTP: o status HTTP retornado pelo ponto de extremidade.
  • Código de Erro do Servidor: o código de erro do servidor.
  • Descrição do Erro do Servidor: a mensagem de erro do servidor.
  • RefreshPrtDiagnostics: defina o estado como PRESENTE se as informações de diagnóstico de PRT adquiridas estiverem presentes nos logs.
    • Esse campo será ignorado se nenhuma informação de diagnóstico estiver disponível.
    • Os campos de informações de diagnóstico são os mesmos que AcquirePrtDiagnostics.

Observação

Os seguintes campos de diagnóstico do Kerberos na Nuvem foram adicionados à versão original do Windows 11 (versão 21H2).

  • OnPremTgt: defina o estado como SIM se um tíquete do Kerberos na Nuvem para acessar recursos locais estiver presente no dispositivo para o usuário conectado.
  • CloudTgt: defina o estado como SIM se um tíquete do Kerberos na Nuvem para acessar os recursos da nuvem estiver presente no dispositivo para o usuário conectado.
  • KerbTopLevelNames: l lista de nomes de realm do Kerberos de nível superior para o Kerberos na Nuvem.

Saída de estado de SSO de exemplo

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dados de diagnóstico

Diagnóstico de pré-ingresso

Essa seção de diagnóstico é exibida somente se o dispositivo estiver ingressado no domínio e não puder ingressar no Microsoft Entra híbrido.

Esta seção executa vários testes para ajudar a diagnosticar falhas de ingresso. Essas informações incluem: a fase de erro, o código de erro, a ID de solicitação do servidor, o status HTTP de resposta do servidor e a mensagem de erro de resposta do servidor.

  • Contexto do usuário: o contexto no qual o diagnóstico é executado. Valores possíveis: SYSTEM, Usuário UN-ELEVATED, Usuário ELEVATED.

    Observação

    Como o ingresso real é executado no contexto SYSTEM, a execução do diagnóstico no contexto SYSTEM é mais próxima do cenário de ingresso real. Para executar o diagnóstico no contexto SYSTEM, o comando dsregcmd /status deve ser executado em um prompt de comandos elevados.

  • Hora do cliente: a hora do sistema em UTC.

  • Teste de conectividade do AD: o teste executa um teste de conectividade para o controlador de domínio. Um erro neste teste provavelmente resultará em erros de ingresso na fase de verificação prévia.

  • Teste de Configuração do AD: esse teste lê e verifica se o objeto SCP (Ponto de Conexão de Serviço) está configurado corretamente na floresta do Active Directory local. Os erros nesse teste provavelmente resultarão em erros de ingresso na fase de descoberta com o código de erro 0x801c001d.

  • Teste de Descoberta do DRS: esse teste obtém os pontos de extremidade do DRS do ponto de extremidades dos metadados de descoberta e executa uma solicitação de realm do usuário. Os erros nesse teste provavelmente resultarão em erros de ingresso na fase de descoberta.

  • Teste de Conectividade do DRS: esse teste executa um teste de conectividade básica para o ponto de extremidade do DRS.

  • Teste de Aquisição de Token: esse teste tentará obter um token de autenticação do Microsoft Entra se o locatário do usuário for federado. Os erros nesse teste provavelmente resultarão em erros de ingresso na fase de autenticação. Se a autenticação falhar, o ingresso de sincronização será tentado como fallback, a menos que fallback seja explicitamente desabilitado com as configurações de chave do registro abaixo:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback para Sync-Join: defina o estado como Enabled se a chave do registro acima não estiver presente, para evitar que o fallback sincronize o ingresso com falhas de autenticação. Essa opção está disponível no Windows 10 1803 e posterior.

  • Registro Anterior: a hora em que a tentativa de ingresso anterior ocorreu. Somente tentativas de ingresso com falha são registradas.

  • Fase de erro: o estágio do ingresso em que ele foi anulado. Os valores possíveis são pré-verificação, descoberta, autenticação e ingresso.

  • ErrorCode do Cliente: o código de erro do cliente retornado (HRESULT).

  • Servidor ErrorCode: o código de erro do servidor exibido se uma solicitação foi enviada ao servidor e ele respondeu com um código de erro.

  • Mensagem do Servidor: o mensagem do servidor retornada junto com o código de erro.

  • Status HTTPS: o status HTTP retornado pelo servidor.

  • ID da Solicitação: a requestId do cliente enviada ao servidor. A ID da solicitação é útil para correlacionar com logs do lado do servidor.

Exemplo de saída de diagnóstico de pré-ingresso

O exemplo a seguir mostra uma falha do teste de diagnóstico com um erro de descoberta.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

O exemplo a seguir mostra que os testes de diagnóstico estão sendo aprovados, mas a tentativa de registro falhou com um erro de diretório, que é esperado para o ingresso de sincronização. Depois que o trabalho de sincronização do Microsoft Entra Connect for finalizado, o dispositivo poderá ingressar.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico de pré-ingresso

Esta seção de diagnóstico exibe a saída de verificações de sanidade executadas em um dispositivo ingressado na nuvem.

  • AadRecoveryEnabled: se o valor for SIM, as chaves armazenadas no dispositivo não poderão ser usadas e o dispositivo será marcado para recuperação. A próxima entrada irá disparar o fluxo de recuperação e registrar novamente o dispositivo.
  • KeySignTest: se o valor for APROVADO, as chaves do dispositivo estão em boas condições. Se KeySignTest falhar, o dispositivo geralmente é marcado para recuperação. A próxima entrada irá disparar o fluxo de recuperação e registrar novamente o dispositivo. Para dispositivos ingressados híbridos Microsoft Entra, a recuperação é silenciosa. Embora os dispositivos sejam ingressados ou registrados no Microsoft Entra, eles solicitarão a autenticação do usuário para recuperação e novo registro, se necessário.

    Observação

    O KeySignTest exige privilégios elevados.

Exemplo de saída de diagnóstico de pré-ingresso

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Verificação de pré-requisitos do NGC

Esta seção de diagnóstico executa a verificação de pré-requisitos para configurar o WHFB (Windows Hello para Empresas).

Observação

Talvez você não veja os detalhes de verificação de pré-requisitos do NGC no dsregcmd /status se o usuário já tiver configurado o WHFB com êxito.

  • IsDeviceJoined: defina o estado como SIM se o dispositivo for ingressado no Microsoft Entra ID.
  • IsUserAzureAD: defina o estado como SIM se o usuário conectado estiver presente no Microsoft Entra ID.
  • PolicyEnabled: defina o estado como SIM se a política de WHFB estiver habilitada no dispositivo.
  • PostLogonEnabled: defina o estado como SIM se o registro de WHFB for disparado nativamente pela plataforma. Se o estado estiver definido como NÃO, isso indica que o registro do Windows Hello para Empresas é disparado por um mecanismo personalizado.
  • DeviceEligible: defina o estado como SIM se o dispositivo atender ao requisito de hardware para registrar-se com o WHFB.
  • SessionIsNotRemote: defina o estado como SIM se o usuário atual estiver conectado diretamente ao dispositivo e não remotamente.
  • CertEnrollment: essa configuração é específica para a implantação de Confiança de Certificado WHFB, indicando a autoridade de registro de certificado para WHFB. Defina o estado como autoridade de registro se a origem da política WHFB for Política de Grupo, ou defina como gerenciamento de dispositivo móvel se a origem for MDM. Se nenhuma das fontes se aplicar, defina o estado como nenhum.
  • AdfsRefreshToken: essa configuração é específica para a implantação de Confiança de Certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. A configuração indica se o dispositivo tem um PRT corporativo para o usuário.
  • AdfsRaIsReady: essa configuração é específica para a implantação de Confiança de Certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o AD FS indicar nos metadados de descoberta que dá suporte a WHFB e o modelo de certificado de logon estiver disponível.
  • LogonCertTemplateReady: essa configuração é específica para a implantação de Confiança de Certificado WHFB e está presente somente se o estado CertEnrollment for a autoridade de registro. Defina o estado como SIM se o estado do modelo de certificado de logon for válido e ajudar a solucionar problemas da RA (Autoridade de Registro) do AD FS.
  • PreReqResult: fornece o resultado de toda a avaliação de pré-requisitos do WHFB. Defina o estado como Provisionar se o registro WHFB for iniciado como uma tarefa de pós-logon quando o usuário entrar na próxima vez.

Observação

Os seguintes campos de diagnóstico do Kerberos na Nuvem foram adicionados na atualização de maio de 2021 do Windows 10 (versão 21H1).

Antes do Windows 11 versão 23H2, a configuração OnPremTGT foi denominada CloudTGT.

  • OnPremTGT: essa configuração é específica para a implantação da confiança do Kerberos na Nuvem e está presente somente se o estado CertEnrollment for none. Defina o estado como SIM se o dispositivo tiver um tíquete do Kerberos na Nuvem para acessar recursos locais. Antes do Windows 11 versão 23H2, essa configuração era denominada CloudTGT.

Exemplo de saída de verificação de pré-requisitos de NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Próximas etapas

Acesse a Ferramenta de Pesquisa de Erros da Microsoft.