Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode ingressar dispositivos diretamente no Microsoft Entra ID, sem a necessidade de ingressar no Active Directory local, ao mesmo tempo que mantém seus usuários produtivos e seguros. O ingresso no Microsoft Entra está pronto para empresas para implantações em escala e no escopo. O acesso por autenticação única (SSO) a recursos locais também está disponível para dispositivos que estão conectados ao Microsoft Entra. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
Esse artigo fornece as informações necessárias para planejar a implantação do ingresso no Microsoft Entra.
Pré-requisitos
Este artigo pressupõe que você esteja familiarizado com a Introdução ao gerenciamento de dispositivos na ID do Microsoft Entra.
Planejar sua implementação
Para planejar a implementação do ingresso no Microsoft Entra, você deve se familiarizar com:
- Revise seus cenários
- Revisar sua infraestrutura de identidade
- Avaliar o gerenciamento de dispositivo
- Entenda as considerações para aplicativos e recursos
- Entenda suas opções de provisionamento
- Configurar o Enterprise State Roaming
- Configurar acesso condicional
Revise seus cenários
O ingresso no Microsoft Entra permite que você faça a transição para um modelo que prioriza a nuvem com o Windows. Se você estiver planejando modernizar o gerenciamento de dispositivos e reduzir os custos de TI relacionados ao dispositivo, a junção do Microsoft Entra fornecerá uma ótima base para atingir essas metas.
Considere o ingresso no Microsoft Entra se as suas metas se alinharem com os seguintes critérios:
- Você está adotando o Microsoft 365 como o conjunto de produtividade para seus usuários.
- Você deseja gerenciar dispositivos com uma solução de gerenciamento de dispositivo de nuvem.
- Você deseja simplificar o provisionamento de dispositivos para usuários distribuídos geograficamente.
- Você planeja modernizar sua infraestrutura de aplicativo.
Revisar sua infraestrutura de identidade
O ingresso no Microsoft Entra funciona em ambientes gerenciados e federados. A maioria das organizações implanta domínios gerenciados. Os cenários de domínio gerenciado não exigem a configuração e o gerenciamento de um servidor de federação como os Serviços de Federação do Active Directory (AD FS).
Ambiente gerenciado
Um ambiente gerenciado pode ser implantado por meio de Password Hash Sync ou Pass Through Authentication com logon único contínuo.
Ambiente federado
Um ambiente federado deve ter um provedor de identidade que dá suporte aos protocolos WS-Trust e WS-Fed:
- WS-Fed: Esse protocolo é necessário para associar um dispositivo ao Microsoft Entra ID.
- WS-Trust: Esse protocolo é necessário para entrar em um dispositivo associado ao Microsoft Entra.
Quando você estiver usando o AD FS, será necessário habilitar os seguintes pontos de extremidade WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Se o seu provedor de identidade não é compatível com esses protocolos, o ingresso no Microsoft Entra não funcionará nativamente.
Observação
Atualmente, o ingresso no Microsoft Entra não funciona com o AD FS 2019 configurado com provedores de autenticação externa como o método de autenticação principal. O ingresso no Microsoft Entra usa como padrão a autenticação de senha como o método principal, o que resulta em falhas de autenticação nesse cenário
Configuração do usuário
Se você criar usuários no seu:
- No Active Directory local, você precisa sincronizá-los com a ID do Microsoft Entra usando o Microsoft Entra Connect.
- ID do Microsoft Entra, nenhuma configuração extra é necessária.
Os nomes UPNs locais que são diferentes dos UPNs do Microsoft Entra não têm suporte em dispositivos ingressados no Microsoft Entra. Se os usuários utilizam um UPN local, você deve planejar fazer a transição para o uso do UPN principal deles no Microsoft Entra ID.
As alterações de UPN só têm suporte a partir da atualização do Windows 10 2004. Os usuários em dispositivos com essa atualização não terão problemas depois de alterar os respectivos UPNs. Em dispositivos anteriores à atualização do Windows 10 2004, os usuários encontrarão problemas ao realizar acesso condicional e SSO nos dispositivos. Os usuários precisam entrar no Windows por meio do bloco "Outro usuário" usando o novo UPN para resolver esse problema.
Avaliar o gerenciamento de dispositivo
Dispositivos com suporte
Ingressar no Microsoft Entra:
- É compatível com dispositivos Windows 10 e Windows 11.
- Não é compatível com versões anteriores do Windows nem com outros sistemas operacionais. Se você tiver dispositivos Windows 7/8.1, deverá atualizar para, pelo menos, o Windows 10, para implantar o ingresso no Microsoft Entra.
- É compatível com Trusted Platform Module (TPM) 2.0 compatível com Federal Information Processing Standard (FIPS), mas não é compatível com TPM 1.2. Se seus dispositivos têm o TPM 1.2 compatível com FIPS, você precisa desabilitá-los antes de prosseguir com o ingresso no Microsoft Entra. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.
Recomendação: Sempre use a versão mais recente do Windows para aproveitar os recursos atualizados.
Plataforma de gerenciamento
O gerenciamento de dispositivo para dispositivos ingressados no Microsoft Entra é baseado em uma plataforma MDM (gerenciamento de dispositivo móvel), como Intune e CSPs de MDM. A partir do Windows 10, há um agente de MDM interno que funciona com todas as soluções de MDM compatíveis.
Observação
Não há suporte para políticas de grupo para os dispositivos ingressados no Microsoft Entra, já que eles não estão conectados ao Active Directory local. O gerenciamento de dispositivos ingressados no Microsoft Entra só é possível por meio do MDM.
Há duas abordagens para gerenciar dispositivos ingressados no Microsoft Entra:
- Somente MDM – um dispositivo é gerenciado exclusivamente por um provedor de MDM como o Intune. Todas as políticas são fornecidas como parte do processo de registro de MDM. Para clientes do Microsoft Entra ID P1 ou P2 ou EMS, o registro de MDM é uma etapa automatizada que faz parte de um ingresso no Microsoft Entra.
- Cogerenciamento – um dispositivo é gerenciado por um provedor de MDM e pelo Microsoft Configuration Manager. Nessa abordagem, o agente Microsoft Configuration Manager está instalado em um dispositivo gerenciado pelo MDM para administrar certos aspectos.
Se você estiver usando Políticas de Grupo, avalie seu Objeto de Política de Grupo (GPO) e a paridade da política MDM usando Análise de Política de Grupo no Microsoft Intune.
Revisar as políticas compatíveis ou não compatíveis para determinar se você pode usar uma solução MDM em vez de políticas de Grupo. Para políticas sem suporte, considere as seguintes perguntas:
- As políticas sem suporte são necessárias para dispositivos ou usuários ingressados no Microsoft Entra?
- As políticas sem suporte são aplicáveis em uma implantação direcionada à nuvem?
Se sua solução de MDM não estiver disponível por meio da galeria de aplicativos do Microsoft Entra, você poderá adicioná-la após o processo descrito na integração do Microsoft Entra ao MDM.
Por meio do cogerenciamento, você pode usar o Microsoft Configuration Manager para gerenciar certos aspectos de seus dispositivos enquanto as políticas são entregues através da sua plataforma de MDM. O Microsoft Intune permite o cogerenciamento com o Microsoft Configuration Manager. Para obter mais informações sobre o cogerenciamento para dispositivos Windows 10 ou mais recentes, consulte o que é cogerenciamento?. Se você usar um produto de MDM que não seja o Intune, entre em contato com o seu provedor de MDM sobre os cenários de cogerenciamento aplicáveis.
Recomendação: Considere o gerenciamento somente de MDM para dispositivos ingressados no Microsoft Entra.
Entenda as considerações para aplicativos e recursos
Recomendamos a migração de aplicativos do local para a nuvem para melhorar a experiência do usuário e o controle de acesso. Os dispositivos ingressados no Microsoft Entra podem fornecer acesso contínuo a aplicativos locais e de nuvem. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
As seções a seguir listam considerações para diferentes tipos de aplicativos e recursos.
Aplicativos baseados em nuvem
Se um aplicativo for adicionado à galeria de aplicativo do Microsoft Entra, os usuários terão SSO por meio de dispositivos ingressados no Microsoft Entra. Nenhuma configuração adicional é necessária. Os usuários obtêm SSO nos navegadores Microsoft Edge e Chrome. Para o Chrome, você precisa implantar a extensão Contas do Windows 10.
Todos os aplicativos Win32 que:
- Confie no Gerenciador de Contas da Web (WAM) para solicitações de token e obtenha SSO em dispositivos ingressados no Microsoft Entra.
- Não confie no WAM, pois pode solicitar autenticação dos usuários.
Aplicativos Web locais
Se seus aplicativos forem personalizados ou hospedados no local, você precisará adicioná-los aos sites confiáveis do seu navegador para:
- Habilitar autenticação integrada do Windows para trabalhar
- Fornecer uma experiência de SSO sem prompt aos usuários.
Se você usar o AD FS, consulte Verificar e gerenciar o logon único com o AD FS.
Recomendação: Considere a hospedagem na nuvem (por exemplo, Azure) e a integração com a ID do Microsoft Entra para uma experiência melhor.
Aplicativos locais que dependem de protocolos legados
Os usuários conseguem SSO a partir de dispositivos associados ao Microsoft Entra se o dispositivo tiver acesso a um controlador de domínio.
Observação
Os dispositivos ingressados no Microsoft Entra podem fornecer acesso contínuo a aplicativos locais e de nuvem. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
Recomendação: Implante o proxy de aplicativo do Microsoft Entra para habilitar o acesso seguro para esses aplicativos.
Compartilhamento de rede local
Seus usuários têm o SSO a partir de dispositivos ingressados no Microsoft Entra quando um dispositivo tem acesso a um controlador de domínio local. Saiba como isso funciona
Impressoras
Recomendamos implantar a Impressão Universal para ter uma solução de gerenciamento de impressão baseada em nuvem sem nenhuma dependência local.
Aplicativos locais que dependem da autenticação do computador
Os dispositivos ingressados no Microsoft Entra não oferecem suporte a aplicativos locais que dependem de autenticação do computador.
Recomendação: Considere desativar esses aplicativos e migrar para suas alternativas modernas.
Serviços de Área de Trabalho Remota
A conexão de área de trabalho remota com dispositivos ingressados no Microsoft Entra exige que o computador host seja ingressado ou ingressado híbrido no Microsoft Entra. Não há suporte para a área de trabalho remota em dispositivos não Windows ou não ingressados. Para obter mais informações, veja Conectar-se ao PC remoto conectado ao Microsoft Entra
Após a atualização 2004 do Windows 10, os usuários poderão usar a área de trabalho remota de um dispositivo Windows 10 ou mais recente registrado na Microsoft Entra para outro dispositivo registrado no Microsoft Entra.
Autenticação RADIUS e Wi-Fi
Atualmente, os dispositivos ingressados no Microsoft Entra não dão suporte à autenticação RADIUS usando um objeto de computador local e um certificado para conexão a pontos de acesso Wi-Fi, uma vez que o RADIUS depende da presença de um objeto de computador local neste cenário. Como alternativa, você pode usar certificados enviados por push através do Intune ou credenciais do usuário para autenticar-se no Wi-Fi.
Entenda suas opções de provisionamento
Observação
Os dispositivos ingressados no Microsoft Entra não podem ser implantados usando a Sysprep (Ferramentas de Preparação do Sistema) ou ferramentas de imagem semelhantes.
Você pode provisionar dispositivos ingressados no Microsoft Entra usando as seguintes abordagens:
- Autoatendimento em OOBE/Configurações – no modo de autoatendimento, os usuários passam pelo processo de ingresso do Microsoft Entra durante o OOBE (Windows Out of Box Experience) ou nas Configurações do Windows. Para obter mais informações, consulte Ingressar seu dispositivo de trabalho na rede da sua organização.
- Windows Autopilot – O Windows Autopilot permite a pré-configuração de dispositivos para uma experiência de junção mais suave do Microsoft Entra no OOBE. Para obter mais informações, consulte a visão geral do Windows Autopilot.
- Registro em massa - O registro em massa permite uma associação ao Microsoft Entra conduzida pelo administrador usando uma ferramenta de provisionamento em massa para configurar dispositivos. Para obter mais informações, consulte Registro em massa para dispositivos Windows.
Aqui está uma comparação dessas três abordagens.
| Elemento | Instalação do autoatendimento | Piloto automático do Windows | Registro em massa |
|---|---|---|---|
| Requer interação do usuário para configurar | Sim | Sim | Não |
| Requer trabalho de TI | Não | Sim | Sim |
| Fluxos aplicáveis | OOBE e Configurações | OOBE somente | OOBE somente |
| Direitos de administrador local para o usuário primário | Sim, por padrão | Configurável | Não |
| Exigir suporte do fabricante do dispositivo OEM | Não | Sim | Não |
| Versões com suporte | 1511+ | 1709+ | 1703+ |
Escolha sua abordagem ou abordagens de implantação examinando a tabela anterior e examinando as seguintes considerações para adotar qualquer uma das abordagens:
- Seus usuários são entendidos de tecnologia para passarem pela configuração sozinhos?
- Autoatendimento pode funcionar melhor para esses usuários. Considere o Windows Autopilot para aprimorar a experiência do usuário.
- Os seus usuários são remotos ou dentro das instalações corporativas?
- O autoatendimento ou o modo automático funcionam melhor para usuários remotos, proporcionando uma configuração sem complicações.
- Você prefere uma configuração orientada pelo usuário ou gerenciada pelo administrador?
- O registro em massa funciona melhor em implantações orientadas pelo administrador para configurar os dispositivos antes de entregá-los aos usuários.
- Você compra dispositivos do 1-2 OEMS ou você tem uma distribuição grande de dispositivos OEM?
- Se você adquirir de OEMs limitados que também dão suporte a Autopilot, você pode aproveitar uma integração maior com o Autopilot.
Configurar suas configurações de dispositivo
O Centro de administração do Microsoft Entra permite controlar a implantação de dispositivos conectados ao Microsoft Entra em sua organização. Para definir as configurações relacionadas, navegue até Entra ID>Dispositivos>Todos os dispositivos>Configurações do dispositivo. Saiba Mais
Os usuários podem associar dispositivos ao Microsoft Entra ID
Defina essa opção como Todos ou Selecionado com base no escopo de sua implantação e em quem você deseja que configure um dispositivo associado ao Microsoft Entra.
Administradores locais adicionais em dispositivos ingressados no Microsoft Entra
Escolha Selecionado e selecione os usuários que você deseja adicionar ao grupo de administradores locais em todos os dispositivos ingressados no Microsoft Entra.
Requer MFA (autenticação multifator) para adicionar dispositivos
Selecione Sim se você exigir que os usuários façam MFA ao ingressar dispositivos na ID do Microsoft Entra.
Recomendação: Use a ação de usuário Registrar ou ingressar dispositivos no Acesso Condicional para impor MFA ao ingressar dispositivos.
Configurar as suas configurações de mobilidade
Antes de poder definir suas configurações de mobilidade, talvez seja necessário adicionar um provedor de MDM primeiro.
Para adicionar um provedor de MDM:
Na página ID do Microsoft Entra, na seção Gerenciar , selecione
Mobility (MDM and MAM).Selecione Adicionar aplicativo.
Selecione seu provedor de MDM da lista.
Selecione seu provedor de MDM para definir as configurações relacionadas.
Escopo do usuário do MDM
Selecione Alguns ou Todos com base no escopo de sua implantação.
Com base no seu escopo, acontecerá o seguinte:
- O usuário está no escopo do MDM: Se você tiver uma assinatura do Microsoft Entra ID P1 ou P2, o registro do MDM será automatizado juntamente com o ingresso no Microsoft Entra. Todos os usuários abrangidos devem ter uma licença apropriada para o MDM. Se o registro no MDM falhar nesse cenário, o Microsoft Entra join será revertido.
- O usuário não está no escopo do MDM: Se os usuários não estiverem no escopo do MDM, a junção do Microsoft Entra será concluída sem qualquer registro de MDM. Esse escopo resulta em um dispositivo não gerenciado.
URLs do MDM
Há três URLs que estão relacionadas à sua configuração de MDM:
- URL dos Termos de uso do MDM
- URL de descoberta de MDM
- URL de conformidade de MDM
Cada URL tem um valor padrão predefinido. Se esses campos estiverem vazios, entre em contato com o provedor de MDM para obter mais informações.
Configurações de MAM
O Gerenciamento de aplicativo móvel (MAM) não se aplica ao ingresso no Microsoft Entra.
Configurar o Enterprise State Roaming
Se você quiser habilitar o roaming de estado para a ID do Microsoft Entra para que os usuários possam sincronizar suas configurações entre dispositivos, consulte Habilitar o Enterprise State Roaming na ID do Microsoft Entra.
Recomendação: habilite essa configuração mesmo para dispositivos associados de forma híbrida ao Microsoft Entra.
Configurar acesso condicional
Se você tiver um provedor de MDM configurado para os dispositivos ingressados no Microsoft Entra, o provedor marca o dispositivo como compatível assim que ele estiver sob gerenciamento.
Você pode usar essa implementação para exigir dispositivos gerenciados para acesso ao aplicativo de nuvem com acesso condicional.