ハイブリッド Windows Hello for Business のキー信頼構成について

ハイブリッド Windows Hello for Business のキー信頼の設定の構成をしたいと考えています。
問題点や環境構成については下記に詳細を記載しております。お手数ですが内容をご確認いただき、
クライアント端末のNgcset と AzureADPrtをYESとさせて、 ハイブリッド Windows Hello for Business のキー信頼の設定を完了させるために必要なことや現在の手順での不足点についてご存じでしたらご教示ください。


[環境説明]
DC(Windows Sever 2016)、AADC(Windows Sever 2016)、クライアント端末(Windows10)の3台構成をしています。
すでにクライアント端末はAADCを経由してAzure AD参加(ハイブリット)構成をしています。

[問題点]
ハイブリッド Windows Hello for Business のキー信頼の設定の構成をするために、以下1~8を実施しました。しかし、
クライアント端末の状態が想定していた出力結果とならず、構成が失敗しているように見えます。

1．Hybrid Azure AD Join環境の構築 
2．Azure AD Connect サービス アカウントにKey admin権限付与
3．証明機関をインストール
4．ドメイン コントローラー認証 (Kerberos) 証明書テンプレートの作成
5．ドメインコントローラー認証 (Kerberos) 証明書テンプレートの優先する証明書を構成する
6．証明機関への証明テンプレートの公開
7．優先する証明書テンプレートの非公開化
(3～7に関してはサイトを参考にして実施しています。https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-hybrid-key-whfb-settings-pki)

8．ハイブリッド Windows Hello for Business のGPO展開
　　[Windows Hello for Businessを使用する：有効]
　　[Authenticated Usersの追加]

[クライアント端末の状態]
DomainJoined :YES
AzureAdJoined :YES
Ngcset と AzureADPrt が NOとなっている。
※構成が完了したら YESとなる認識です。