Microsoft Entra associados vs. Microsoft Entra híbridos associados em pontos finais nativos da cloud
Dica
Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:
- Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
- Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
- Pontos finais nativos da cloud: pontos finais associados ao Microsoft Entra. Eles não estão ingressados no AD local.
- Carga de trabalho: qualquer programa, serviço ou processo.
Muitos serviços críticos e valiosos, incluindo o Acesso Condicional e Microsoft Entra início de sessão único, requerem pontos finais para ter uma identidade na cloud. Para os pontos finais do Windows pertencentes à organização, é criada uma identidade na cloud quando o dispositivo é associado Microsoft Entra ou associado a Microsoft Entra Híbrido.
Ao mudar para pontos finais nativos da cloud, tem de compreender as diferenças entre Microsoft Entra dispositivos associados e híbridos Microsoft Entra associados:
Microsoft Entra associados: os dispositivos estão associados ao Microsoft Entra. Eles não ingressaram no AD local.
Para obter informações mais específicas, aceda a Microsoft Entra dispositivos associados (abre outro site da Microsoft).
Associação a Microsoft Entra híbrida: os dispositivos são registados no Microsoft Entra e associados a um domínio do AD no local.
Para obter informações mais específicas, aceda a Dispositivos híbridos Microsoft Entra associados (abre outro site da Microsoft).
Esse recurso aplica-se a:
- Pontos de extremidade nativos de nuvem do Windows
Este artigo descreve algumas das diferenças entre Microsoft Entra dispositivos associados e associados a Microsoft Entra híbridos. Para obter uma visão geral dos pontos de extremidade nativos de nuvem e seus benefícios, confira O que são pontos de extremidade nativos de nuvem.
Microsoft Entra aderido
Quando um ponto final, como um dispositivo Windows 10/11 é Microsoft Entra associado, estabelece uma confiança com Microsoft Entra e tem uma identidade (device-id) no Microsoft Entra. O ponto de extremidade é gerenciado e controlado pela organização.
O ponto final está associado a Microsoft Entra. Ele não ingressou em um domínio do AD local.
Para associar pontos finais do Windows a Microsoft Entra, tem algumas opções:
Usar o Windows Autopilot. O Windows Autopilot orienta os usuários pela OOBE (Windows Out of Box Experience). Quando os utilizadores introduzem a respetiva conta escolar ou profissional, o ponto final é associado Microsoft Entra.
Todos os dispositivos registrados com Windows Autopilot são automaticamente considerados dispositivos de propriedade da organização. O Windows Autopilot é uma das abordagens mais adotadas para que os dispositivos da organização se associem a Microsoft Entra e geridos por TI.
Use a OOBE (Windows Out of Box Experience). Quando os utilizadores introduzem a respetiva conta escolar ou profissional no dispositivo, o ponto final é associado automaticamente Microsoft Entra.
Use o aplicativo Configurações. No dispositivo, os usuários finais abrem o aplicativo Configurações (Contas>Acesso corporativo ou de estudante>Conectar) e usam sua conta corporativa ou de estudante.
Use um pacote de provisionamento de janela. Veja mais informações em:
Benefícios de TI da organização
- Com o Acesso Condicional, pode permitir ou restringir o acesso aos recursos da organização que cumprem ou não cumprem os seus requisitos.
- Configurações e dados de trabalho percorrem nuvens em conformidade com a empresa. Nenhuma conta pessoal da Microsoft, como o Hotmail, é usada e pode ser bloqueada.
- Usando o Windows Hello para Empresas, você pode reduzir o risco de roubo de credenciais.
Benefícios do usuário final
Para autenticar os utilizadores finais com Microsoft Entra e o ponto final do Windows, os utilizadores precisam de uma conta escolar ou profissional. Nenhuma conta pessoal é usada.
Obtenha SSO (logon único) para o Microsoft 365 e aplicativos SaaS com uma conexão com a Internet.
Use a conveniência e a segurança do Windows Hello para Empresas para entrar no ponto de extremidade do Windows.
Quando eles entrarem com o Windows Hello para Empresas, os usuários usarão automaticamente o SSO para muitos de seus aplicativos e recursos locais e online.
As definições do SO percorrem todos os dispositivos associados Microsoft Entra.
Importante
Os utilizadores finais que trabalham remotamente em dispositivos associados Microsoft Entra não precisam de uma VPN para iniciar sessão quando as credenciais em cache expiram no dispositivo. Em dispositivos híbridos Microsoft Entra associados, precisam de uma VPN para iniciar sessão quando as credenciais em cache expirarem.
Microsoft Entra recursos associados
- O que é a identidade do dispositivo no Microsoft Entra?
- O que é um dispositivo associado Microsoft Entra?
- Como funciona Microsoft Entra registo de dispositivos
- Como planear a implementação da associação Microsoft Entra
- documentação do Windows Hello para Empresas - Segurança do Windows
Associação a Microsoft Entra híbrida
Os dispositivos associados a Microsoft Entra híbridos estão associados ao seu domínio do AD no local e são registados com Microsoft Entra. Esses dispositivos exigem uma linha de visão de rede para seus controladores de domínio (DCs) locais para entrada inicial e gerenciamento de dispositivos.
Se os dispositivos não puderem se conectar ao controlador de domínio, os usuários poderão ser impedidos de entrar e talvez não recebam atualizações de política.
Muitas organizações com dispositivos associados a um domínio existente querem os benefícios e funcionalidades da gestão de pontos finais e Microsoft Entra. Se os seus dispositivos ainda não puderem ser totalmente nativos da cloud, pode registar estes dispositivos existentes com Microsoft Entra. Quando regista dispositivos existentes no Microsoft Entra, é criada uma identidade de dispositivo e os seus dispositivos são híbridos Microsoft Entra associados. Eles não são considerados pontos de extremidade nativos de nuvem.
Se a sua organização estiver pronta e quiser ser nativa da cloud, Microsoft Entra associada (neste artigo) é a escolha correta. Os dispositivos existentes têm de ser repostos. Para obter informações e diretrizes mais específicas, acesse o guia Planejamento de alto nível.
Recursos associados a Microsoft Entra híbridos
Para obter informações sobre como registar os seus dispositivos associados a um domínio existente para Microsoft Entra, aceda a Configurar a associação Microsoft Entra híbrida. A configuração da associação de Microsoft Entra híbrida inclui informações para domínios geridos e domínios federados.
Qual opção é ideal para sua organização
A opção certa depende do seu ambiente, dos pontos de extremidade e das metas da sua organização. Ao tomar essa decisão, considere o impacto futuro e a longo prazo.
Considere as seguintes situações:
| Cenário | associação Microsoft Entra ou associação de Microsoft Entra Híbrida |
|---|---|
| Está a aprovisionar novos pontos finais do Windows | ✔️ Microsoft Entra aderir Se tiver dispositivos Windows novos, recondicionados ou atualizados que esteja a aprovisionar e a inscrever, recomenda-se Microsoft Entra associação. Windows 10/11 tem recursos modernos integrados ao sistema operacional, incluindo gerenciamento moderno, autenticação moderna e muito mais. Microsoft Entra Associação deve ser a opção predefinida para novos pontos finais e repor. ❌Associação Microsoft Entra híbrida Pode utilizar a Associação Microsoft Entra Híbrida para novos pontos finais, mas normalmente não é recomendado. Quando associado com a Associação Microsoft Entra Híbrida, poderá não conseguir utilizar as funcionalidades modernas incorporadas no Windows 10/11. |
| Tem pontos finais do Windows aprovisionados anteriormente que são Microsoft Entra híbridos ou associados ao AD | ✔️ Associação Microsoft Entra híbrida Se tiver pontos finais existentes associados a um domínio do AD no local (incluindo Microsoft Entra associados híbridos), recomenda-se a associação Microsoft Entra híbrida. Os dispositivos obtêm uma identidade de nuvem e podem usar serviços de nuvem que exigem uma identidade de nuvem. Para os utilizadores finais com pontos finais existentes, esta opção tem um impacto mínimo. ❌Microsoft Entra aderir Os dispositivos existentes associados a um domínio do AD no local (incluindo Microsoft Entra associados híbridos) têm de ser repostos para se tornarem Microsoft Entra associados. Se não puderem ser repostos, não existe um caminho suportado da Microsoft para Microsoft Entra aderir aos mesmos. |
Perguntas, respostas e cenários comuns
Esta secção responde a perguntas comuns sobre Microsoft Entra dispositivos associados e associados a Microsoft Entra híbridos.
Os Microsoft Entra híbridos associados devem ser um estado de objetivo de longo prazo ou final para os dispositivos?
Não, a Associação Microsoft Entra Híbrida não deve ser a longo prazo nem o objetivo final para qualquer organização.
Quando não está restrito ou limitado (razões técnicas, políticas ou regulamentares), a sua organização deve mover ou planear mudar para Microsoft Entra associados aos pontos finais do Windows.
Que estratégia deve uma organização adotar para mover dispositivos híbridos Microsoft Entra associados existentes para Microsoft Entra Aderir?
A estratégia depende de muitos fatores, muitos que são específicos da sua organização.
Em geral, a Microsoft recomenda aguardar um evento complementar. Por exemplo, pode mudar para Microsoft Entra Aderir durante um cenário de atualização de hardware, atualização do SO ou resolução de problemas do dispositivo quando existe uma nova (ou reposição) instância do Windows. Com esta abordagem, minimiza a interrupção do utilizador e simplifica o processo de conversão para Microsoft Entra Associar. Lembre-se de que não existe nenhum processo ou caminho suportado pela Microsoft para converter um dispositivo existente da Associação de Microsoft Entra Híbrida para Microsoft Entra Aderir sem uma reposição do Windows.
No Microsoft Entra dispositivos associados híbridos, tem de efetuar uma eliminação completa do dispositivo, uma vez que o Windows Autopilot Reset não suporta Microsoft Entra dispositivos associados híbridos.
Para mudar para Microsoft Entra Aderir, pode repor proativamente os dispositivos existentes. Esta abordagem pode ser mais disruptiva para os utilizadores e requer mais planeamento & testes. No entanto, pode utilizar esta abordagem se tiver alguns dispositivos ou se tiver um caso empresarial forte para mudar para Microsoft Entra Aderir.
Existe um bloqueador que impede a minha organização de mudar para Microsoft Entra Aderir
É possível que existam bloqueios e desafios fora do controlo da Microsoft que possam impedir a sua organização de mudar totalmente para Microsoft Entra Aderir. Também pode haver bloqueadores desconhecidos que são específicos da configuração ou expectativas da sua organização. Estes bloqueadores podem ser técnicos ou acontecer por outros motivos não técnicos.
Lembre-se de que mudar para Microsoft Entra Aderir não é uma proposta de tudo ou nada. Mover dispositivos para Microsoft Entra Participar demora algum tempo, mesmo com ou sem bloqueadores ou inibidores.
Se identificar um potencial bloqueador que o esteja a impedir de utilizar Microsoft Entra Aderir, determine o âmbito, o impacto e a solução. O guia de planeamento de alto nível para mover para pontos finais nativos da cloud pode ajudar.
Os pontos finais de Associação Microsoft Entra Híbrida e Associação Microsoft Entra podem coexistir no mesmo ambiente?
Sim, Microsoft Entra pontos finais de Associação e Associação de Microsoft Entra Híbrida podem coexistir no mesmo ambiente. Não são mutuamente exclusivos.
Ter um ambiente misto aumenta os custos de complexidade, manutenção e suporte. No entanto, pode utilizar a Associação Microsoft Entra Híbrida até que esses pontos finais sejam substituídos ou repostos. Lembre-se de que a Associação Microsoft Entra Híbrida não deve ser o objetivo final da sua organização para o estado do ponto final do Windows.
Os utilizadores no Microsoft Entra Sistemas associados podem aceder a recursos no local?
Sim, os utilizadores em Sistemas de associação Microsoft Entra podem aceder a recursos no local.
Microsoft Entra Pontos finais de associação podem aceder a recursos no local e podem utilizar o início de sessão único (SSO). Para obter informações mais específicas, acesse Pontos de extremidade nativos de nuvem e recursos locais.
Que estados de associação de dispositivos podem Intune gerir?
Microsoft Intune, que é uma solução na cloud a 100%, pode gerir dispositivos cliente Windows Microsoft Entra Associar ou Associar a Microsoft Entra Híbrida. O Intune tem muitos recursos e configurações internos que podem gerenciar configurações, controlar recursos do dispositivo, ajudar a proteger seus pontos de extremidade e muito mais.
O Guia de planejamento de alto nível para migrar para pontos de extremidade nativos de nuvem: Os recursos do Intune que você deve conhecer listam alguns desses recursos. O que é o Intune também é um bom recurso.
Em Pontos finais híbridos Microsoft Entra Associar, pode utilizar objetos de políticas de grupo (GPO) no local ou Intune para controlar as definições de política. Também é possível utilizar uma combinação de GPO e Intune, mas esta combinação adiciona sobrecarga administrativa e complexidade. Se ativar a cogestão (Intune (cloud) + Configuration Manager (no local)), pode utilizar algumas funcionalidades Microsoft Entra, como o Acesso Condicional.
Para obter algumas diretrizes, acesse o Guia de implantação: Configurar ou mover para Microsoft Intune.
Que estados de associação de dispositivos são necessários para a conformidade do dispositivo e/ou Acesso Condicional?
Tanto os pontos finais de Associação Microsoft Entra Híbrida como de Associação Microsoft Entra suportam políticas de conformidade e Acesso Condicional quando geridos por Intune ou cogeridos por Intune e Configuration Manager.
Existem limitações para a Associação Microsoft Entra Híbrida?
Sim, existem limitações para a Associação Microsoft Entra Híbrida.
Geralmente, estas limitações são as mesmas com dispositivos associados apenas ao domínio no local. Especificamente, os pontos finais de Associação de Microsoft Entra Híbrida requerem uma linha de visão para o controlador de domínio do AD no local para iniciar sessão inicial e alterar palavras-passe. Se o domínio estiver inativo ou indisponível, os utilizadores poderão ser impedidos de iniciar sessão nos respetivos pontos finais. Se a sua organização estiver a afastar-se de ter um domínio no local, também tem de se afastar da Associação de Microsoft Entra Híbrida para os seus dispositivos.
Se utilizar a autenticação sem palavra-passe, os utilizadores precisam de acesso à Internet e de uma linha de visão para os controladores de domínio (DCs). Para autenticar, os pontos finais híbridos Microsoft Entra Associar podem utilizar kerberos e NTLM.
A Associação Microsoft Entra Híbrida é considerada nativa da cloud?
Não, a Associação Microsoft Entra Híbrida não é considerada nativa da cloud.
A solução da cloud é Microsoft Entra Associar os seus pontos finais. Os pontos finais e as respetivas identidades são criados e armazenados no Microsoft Entra. Intune gere os pontos finais com definições e políticas. Estes serviços funcionam com outros serviços cloud, incluindo o Microsoft 365, Microsoft Defender XDR e muito mais.
Siga as diretrizes de pontos de extremidade nativos de nuvem
- Visão geral: o que são pontos de extremidade nativos de nuvem?
- Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
- 🡺 Conceito: Microsoft Entra associado vs. Microsoft Entra híbrido associado (está aqui)
- Conceito: pontos de extremidade nativos de nuvem e recursos locais
- Guia de planejamento de alto nível
- Problemas conhecidos e informações importantes