Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este documento descreve as políticas de acesso condicional baseadas em dispositivos em um cenário híbrido em que os diretórios locais estão conectados à ID do Microsoft Entra usando o Microsoft Entra Connect.
AD FS e acesso condicional híbrido
O AD FS fornece o componente local de políticas de acesso condicional em um cenário híbrido. Quando registas dispositivos com o ID do Microsoft Entra para acesso condicional a recursos de nuvem, a funcionalidade de write-back de dispositivo do Microsoft Entra Connect disponibiliza informações de registo de dispositivo nas instalações para que as políticas do AD FS possam utilizar e aplicar. Dessa forma, você tem uma abordagem consistente às políticas de controle de acesso para recursos locais e na nuvem.
Tipos de dispositivos registados
Há três tipos de dispositivos registrados, todos representados como objetos Device no Microsoft Entra ID e também podem ser usados para acesso condicional com o AD FS localmente.
| Description | Adicionar Conta Escolar ou Profissional | Microsoft Entra conectar-se | Ingresso no Domínio do Windows 10 |
|---|---|---|---|
| Description | Os usuários adicionam sua conta corporativa ou de estudante ao dispositivo BYOD interativamente. Nota: A opção Adicionar Conta Profissional ou Escolar substitui a funcionalidade de Associação ao Local de Trabalho no Windows 8/8.1 | Os utilizadores associam o seu dispositivo de trabalho Windows 10 ao Microsoft Entra ID. | Os dispositivos associados ao domínio do Windows 10 registam-se automaticamente com o Microsoft Entra ID. |
| Como os utilizadores iniciam sessão no dispositivo | Não iniciar sessão no Windows com a conta corporativa ou de estudante. Inicie sessão com uma conta Microsoft. | Inicie sessão no Windows como a conta (profissional ou escolar) que registou o dispositivo. | Faça login usando a conta do AD. |
| Como os dispositivos são gerenciados | Políticas de MDM (com inscrição adicional no Intune) | Políticas de MDM (com inscrição adicional no Intune) | Política de Grupo, Gestor de Configuração |
| Tipo de confiança do Microsoft Entra ID | Local de trabalho aderido | Microsoft Entra juntou-se | Associado a um domínio |
| Localização das configurações do W10 | Configurações > Contas > Sua conta > Adicionar uma conta corporativa ou de estudante | Configurações > Sistema > Sobre > Ingressar no Microsoft Entra ID | Configurações > Sistema > Sobre > Ingressar num domínio |
| Também está disponível para dispositivos iOS e Android? | Yes | No | No |
Para obter mais informações sobre as diferentes maneiras de registrar dispositivos, consulte também:
- Utilizar dispositivos Windows no seu local de trabalho
- Dispositivos Microsoft Entra registados
- Dispositivos associados no Microsoft Entra
Como o logon de usuário e dispositivo do Windows 10 é diferente das versões anteriores
Para o Windows 10 e o AD FS 2016, há alguns novos aspetos de registro e autenticação de dispositivos que você deve conhecer (especialmente se estiver familiarizado com o registro de dispositivos e a "associação no local de trabalho" em versões anteriores).
Primeiro, no Windows 10 e no AD FS no Windows Server 2016, o registro e a autenticação do dispositivo não se baseiam mais apenas em um certificado de usuário X509. Há um protocolo novo e mais robusto que oferece melhor segurança e uma experiência de usuário mais perfeita. As principais diferenças são que, para o Windows 10 Domain Join e o Microsoft Entra join, há um certificado de computador X509 e uma nova credencial chamada PRT. Você pode ler tudo sobre isso aqui e aqui.
Em segundo lugar, o Windows 10 e o AD FS 2016 oferecem suporte à autenticação do usuário usando o Windows Hello for Business, sobre o qual você pode ler sobre aqui e aqui.
O AD FS 2016 fornece SSO contínuo de dispositivos e utilizadores com base nas credenciais PRT e Passport. Usando as etapas neste documento, você pode habilitar esses recursos e vê-los funcionar.
Políticas de Controle de Acesso a Dispositivos
Os dispositivos podem ser usados em regras simples de controle de acesso do AD FS, como:
- Permitir acesso apenas a partir de um dispositivo registado
- Exigir autenticação multifator quando um dispositivo não está registrado
Essas regras podem ser combinadas com outros fatores, como local de acesso à rede e autenticação multifator, criando políticas avançadas de acesso condicional, como:
- Exigir autenticação multifator para dispositivos não registrados que acessam de fora da rede corporativa, exceto para membros de um grupo ou grupos específicos
Com o AD FS 2016, essas políticas também podem ser configuradas especificamente para exigir um nível de confiança de dispositivo específico: autenticado, gerenciado ou compatível.
Para obter mais informações sobre como configurar políticas de controle de acesso do AD FS, consulte Políticas de controle de acesso no AD FS.
Dispositivos autenticados
Dispositivos autenticados são dispositivos registrados que não estão registrados no MDM (Intune e MDMs de terceiros para Windows 10, Intune apenas para iOS e Android).
Os dispositivos autenticados terão a reivindicação isManaged do AD FS com o valor FALSE. (Considerando que os dispositivos que não estão registrados não terão essa reivindicação.) Os dispositivos autenticados (e todos os dispositivos registrados) terão a declaração isKnown AD FS com valor TRUE.
Dispositivos gerenciados:
Dispositivos gerenciados são dispositivos registrados registrados no MDM.
Os dispositivos gerenciados terão a declaração isManaged AD FS com valor TRUE.
Dispositivos compatíveis (com MDM ou Políticas de Grupo)
Dispositivos compatíveis são dispositivos registrados que não são apenas registrados com MDM, mas compatíveis com as políticas de MDM. (As informações de conformidade têm origem no MDM e são gravadas no Microsoft Entra ID.)
Os dispositivos compatíveis terão a declaração isCompliant AD FS com valor TRUE.
Para obter uma lista completa das declarações de dispositivo e acesso condicional do AD FS 2016, consulte a referência .
Reference
Atualizações e alterações significativas - Plataforma de Identidade da Microsoft | Documentação da Microsoft
Lista completa do novo AD FS 2016 e declarações de dispositivo
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtypehttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdfhttps://schemas.microsoft.com/2014/03/pssohttps://schemas.microsoft.com/2015/09/prthttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdfhttps://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttps://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttps://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2012/01/devicecontext/claims/identifierhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ostypehttps://schemas.microsoft.com/2012/01/devicecontext/claims/osversionhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttps://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2014/02/deviceusagetimehttps://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttps://schemas.microsoft.com/2014/09/devicecontext/claims/trusttypehttps://schemas.microsoft.com/claims/authnmethodsreferenceshttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agenthttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathhttps://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkhttps://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-idhttps://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustidhttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-iphttps://schemas.microsoft.com/2014/09/requestcontext/claims/useriphttps://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod