Como planejar a implementação do ingresso no Microsoft Entra
Você pode ingressar dispositivos diretamente no Microsoft Entra ID, sem a necessidade de ingressar no Active Directory local, ao mesmo tempo que mantém seus usuários produtivos e seguros. O ingresso no Microsoft Entra está pronto para empresas para implantações em escala e no escopo. O acesso por login único (SSO) a recursos locais também está disponível para dispositivos que são ingressados no Microsoft Entra. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
Esse artigo fornece as informações necessárias para planejar a implantação do ingresso no Microsoft Entra.
Pré-requisitos
Este artigo presume que você esteja familiarizado com a Introdução ao gerenciamento de dispositivos no Microsoft Entra ID.
Planejar sua implementação
Para planejar a implementação do ingresso no Microsoft Entra, você deve se familiarizar com:
- Revisar seus cenários
- Revisar sua infraestrutura de identidade
- Avaliar o gerenciamento de dispositivo
- Entenda as considerações para aplicativos e recursos
- Entenda suas opções de provisionamento
- Configurar o roaming de estado
- Configurar acesso condicional
Revisar seus cenários
O ingresso no Microsoft Entra permite que você faça a transição para um modelo que prioriza a nuvem com o Windows. Se você planeja modernizar o gerenciamento de seus dispositivos e reduzir os custos de TI relacionados a dispositivos, a adesão ao Microsoft Entra fornece uma excelente base para atingir esses objetivos.
Considere o ingresso no Microsoft Entra se as suas metas se alinharem com os seguintes critérios:
- Você está adotando o Microsoft 365 como o conjunto de produtividade para seus usuários.
- Você deseja gerenciar dispositivos com uma solução de gerenciamento de dispositivo de nuvem.
- Você deseja simplificar o provisionamento de dispositivos para usuários distribuídos geograficamente.
- Você planeja modernizar sua infraestrutura de aplicativo.
Revisar sua infraestrutura de identidade
O ingresso no Microsoft Entra funciona em ambientes gerenciados e federados. A maioria das organizações implanta domínios gerenciados. Os cenários de domínio gerenciado não exigem a configuração e o gerenciamento de um servidor de federação como os Serviços de Federação do Active Directory (AD FS).
Ambiente de leitura
Um ambiente gerenciado pode ser implantado por meio de Password Hash Sync ou Pass Through Authentication com logon único contínuo.
Ambiente federado
Um ambiente federado deve ter um provedor de identidade que dá suporte aos protocolos WS-Trust e WS-Fed:
- WS-Fed: esse protocolo é necessário para ingressar um dispositivo no Microsoft Entra ID.
- WS-Trust: esse protocolo é necessário para entrar em um dispositivo ingressado no Microsoft Entra.
Quando você estiver usando o AD FS, será necessário habilitar os pontos de extremidade WS-Trust a seguir: /adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Se o seu provedor de identidade não é compatível com esses protocolos, o ingresso no Microsoft Entra não funcionará nativamente.
Observação
Atualmente, o ingresso no Microsoft Entra não funciona com o AD FS 2019 configurado com provedores de autenticação externa como o método de autenticação principal. O ingresso no Microsoft Entra usa como padrão a autenticação de senha como o método principal, o que resulta em falhas de autenticação nesse cenário
Configuração do usuário
Se você criar usuários no seu:
- No Active Directory local, você precisa sincronizá-los com o Microsoft Entra ID usando o Microsoft Entra Connect.
- Microsoft Entra ID, nenhuma configuração extra é necessária.
Os nomes UPNs locais que são diferentes dos UPNs do Microsoft Entra não têm suporte em dispositivos ingressados no Microsoft Entra. Se os usuários utilizam um UPN local, você deve planejar fazer a transição para o uso do UPN principal deles no Microsoft Entra ID.
As alterações de UPN só têm suporte a partir da atualização do Windows 10 2004. Os usuários em dispositivos com essa atualização não terão problemas depois de alterar os respectivos UPNs. Em dispositivos anteriores à atualização do Windows 10 2004, os usuários encontrarão problemas ao realizar acesso condicional e SSO nos dispositivos. Os usuários precisam entrar no Windows por meio do bloco "Outro usuário" usando o novo UPN para resolver esse problema.
Avaliar o gerenciamento de dispositivo
Dispositivos com suporte
Ingresso no Microsoft Entra:
- É compatível com dispositivos Windows 10 e Windows 11.
- Não é compatível com versões anteriores do Windows nem com outros sistemas operacionais. Se você tiver dispositivos Windows 7/8.1, deverá atualizar para, pelo menos, o Windows 10, para implantar o ingresso no Microsoft Entra.
- É compatível com Trusted Platform Module (TPM) 2.0 compatível com Federal Information Processing Standard (FIPS), mas não é compatível com TPM 1.2. Se seus dispositivos têm o TPM 1.2 compatível com FIPS, você precisa desabilitá-los antes de prosseguir com o ingresso no Microsoft Entra. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.
Recomendação: sempre usar a versão mais recente do Windows para aproveitar os recursos atualizados.
Plataforma de gerenciamento
O gerenciamento de dispositivos para dispositivos ingressados no Microsoft Entra é baseado em uma plataforma MDM (gerenciamento de dispositivo móvel), como Intune e CSPs de MDM. A partir do Windows 10, há um agente de MDM interno que funciona com todas as soluções de MDM compatíveis.
Observação
Não há suporte para políticas de grupo para os dispositivos ingressados no Microsoft Entra, já que eles não estão conectados ao Active Directory local. O gerenciamento de dispositivos ingressados no Microsoft Entra só é possível por meio do MDM
Há duas abordagens para gerenciar dispositivos ingressados no Microsoft Entra:
- Somente MDM - exclusivamente, um dispositivo é gerenciado por um provedor MDM como Intune. Todas as políticas são fornecidas como parte do processo de registro de MDM. Para clientes P1 ou P2 do Microsoft Entra ou do EMS, o registro de MDM é uma etapa automatizada que faz parte de um ingresso no Microsoft Entra.
- Gerenciamento conjunto: um dispositivo é gerenciado por um provedor de MDM e pelo Microsoft Configuration Manager. Nessa abordagem, o agente Microsoft Configuration Manager está instalado em um dispositivo gerenciado pelo MDM para administrar certos aspectos.
Se você estiver usando Políticas de Grupo, avalie seu Objeto de Política de Grupo (GPO) e a paridade da política MDM usando Análise de Política de Grupo no Microsoft Intune.
Revisar as políticas compatíveis ou não compatíveis para determinar se você pode usar uma solução MDM em vez de políticas de Grupo. Para políticas sem suporte, considere as seguintes perguntas:
- As políticas sem suporte são necessárias para dispositivos ou usuários ingressados no Microsoft Entra?
- As políticas sem suporte são aplicáveis em uma implantação direcionada à nuvem?
Se a sua solução de MDM não estiver disponível por meio da galeria de aplicativos do Microsoft Entra, você poderá adicioná-la seguindo o processo descrito em Integração do Microsoft Entra com o MDM.
Por meio do cogerenciamento, você pode usar o Microsoft Configuration Manager para gerenciar certos aspectos de seus dispositivos enquanto as políticas são entregues através da sua plataforma de MDM. O Microsoft Intune permite o cogerenciamento com o Microsoft Configuration Manager. Para mais informações sobre o cogerenciamento em dispositivos Windows 10 ou mais recente, consulte O que é cogerenciamento?. Se você usar um produto de MDM que não seja o Intune, entre em contato com o seu provedor de MDM sobre os cenários de cogerenciamento aplicáveis.
Recomendação: considere o gerenciamento somente por MDM para dispositivos ingressados no Microsoft Entra.
Entenda as considerações para aplicativos e recursos
É recomendável migrar aplicativos locais para a nuvem para um usuário a melhor experiência e controle de acesso. Os dispositivos ingressados no Microsoft Entra podem fornecer perfeitamente acesso a aplicativos locais e de nuvem. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
As seções a seguir listam considerações para diferentes tipos de aplicativos e recursos.
Aplicativos seguros baseados em nuvem
Se um aplicativo for adicionado à galeria de aplicativo do Microsoft Entra, os usuários terão SSO por meio de dispositivos ingressados no Microsoft Entra. Nenhuma configuração adicional é necessária. Os usuários obtêm o SSO em navegadores Microsoft Edge e Chrome. Para o Chrome, você precisará implantar a extensão de contas do Windows 10.
Todos os aplicativos Win32 que:
- Contar com o WAM (Gerenciador de Contas da Web) para solicitações de tokens também proporciona SSO em dispositivos ingressados no Microsoft Entra.
- Não confie no WAM, pois pode solicitar autenticação dos usuários.
Aplicativos Web locais
Se seus aplicativos forem personalizados ou hospedados no local, você precisará adicioná-los aos sites confiáveis do seu navegador para:
- Habilitar autenticação integrada do Windows para trabalhar
- Fornecer uma experiência não prompt SSO para usuários.
Se você usar o AD FS, consulte Verificar e gerenciar logon único com o AD FS.
Recomendação: considere hospedar na nuvem (por exemplo, o Azure) e integrar com o Microsoft Entra ID para uma melhor experiência.
Os aplicativos locais que dependem de protocolos herdados locais
Os usuários obtêm o SSO de dispositivos ingressados no Microsoft Entra se o dispositivo tiver acesso ao controlador de domínio.
Observação
Os dispositivos ingressados no Microsoft Entra podem fornecer perfeitamente acesso a aplicativos locais e de nuvem. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
Recomendação: implantar o proxy de aplicativo do Microsoft Entra para habilitar o acesso seguro para esses aplicativos.
Compartilhamento de rede local
Seus usuários têm o SSO a partir de dispositivos ingressados no Microsoft Entra quando um dispositivo tem acesso a um controlador de domínio local. Saiba como funciona
Impressoras
É recomendável implantar a Impressão Universal para ter uma solução de gerenciamento de impressão baseada em nuvem sem nenhuma dependência local.
Aplicativos locais que dependem da autenticação do computador
Os dispositivos ingressados no Microsoft Entra não oferecem suporte a aplicativos locais que dependem de autenticação do computador.
Recomendação: considere desativar esses aplicativos e mover para suas alternativas modernas.
Serviços da Área de Trabalho Remota
A conexão de área de trabalho remota com dispositivos ingressados no Microsoft Entra exige que o computador host seja ingressado ou ingressado híbrido no Microsoft Entra. Não há suporte para a área de trabalho remota em dispositivos não Windows ou não ingressados. Para obter mais informações, veja Conectar-se ao PC remoto conectado ao Microsoft Entra
Após a atualização 2004 do Windows 10, os usuários poderão usar a área de trabalho remota de um dispositivo Windows 10 ou mais recente registrado na Microsoft Entra para outro dispositivo registrado no Microsoft Entra.
Autenticação RADIUS e Wi-Fi
Atualmente, os dispositivos ingressados no Microsoft Entra não dão suporte à autenticação RADIUS usando um objeto de computador local e um certificado para conexão a pontos de acesso Wi-Fi, uma vez que o RADIUS depende da presença de um objeto de computador local neste cenário. Como alternativa, você pode usar certificados enviados por push através de credenciais do Intune ou do usuário para autenticar no Wi-Fi.
Entenda suas opções de provisionamento
Observação
Os dispositivos ingressados no Microsoft Entra não podem ser implantados usando a Sysprep (Ferramentas de Preparação do Sistema) ou ferramentas de imagem semelhantes.
Você pode provisionar dispositivos ingressados no Microsoft Entra usando as seguintes abordagens:
- Autoatendimento na OOBE/Configurações – no modo de autoatendimento, os usuários passam pelo processo de ingresso no Microsoft Entra durante a OOBE (Experiência pronta para uso) do Windows ou nas Configurações do Windows. Para obter mais informações, consulte ingressar seu dispositivo de trabalho para a rede da sua organização.
- Windows Autopilot – O Windows Autopilot permite a pré-configuração de dispositivos para uma experiência de ingresso no Microsoft Entra mais suave na OOBE. Para saber mais, confira a página visão geral do Windows Autopilot.
- Registro em massa – o registro em massa permite que um administrador realize o ingresso no Microsoft Entra usando uma ferramenta de provisionamento em massa para configurar os dispositivos. Para obter mais informações, consulte Registro em massa para dispositivos Windows.
Aqui está uma comparação dessas três abordagens
Element | Instalação do autoatendimento | Windows Autopilot | Registro em massa |
---|---|---|---|
Requer interação do usuário para configurar | Sim | Sim | Não |
Requer trabalho de TI | Não | Sim | Sim |
Fluxos aplicáveis | OOBE e Configurações | Somente OOBE | Somente OOBE |
Direitos de administrador local para o usuário primário | Sim, por padrão | Configurável | Não |
Precisar de suporte do OEM | Não | Sim | Não |
Versões com suporte | 1511+ | 1709+ | 1703+ |
Escolha sua abordagem ou abordagens de implantação examinando a tabela anterior e examinando as seguintes considerações para adotar qualquer uma das abordagens:
- Seus usuários são experientes em tecnologia para passar pela configuração?
- Autoatendimento pode funcionar melhor para esses usuários. Considere o Windows Autopilot para aprimorar a experiência do usuário.
- Os seus usuários são remotos ou dentro das instalações corporativas?
- Autoatendimento ou trabalho de piloto automático melhor para usuários remotos para uma configuração de complicações.
- Você prefere uma configuração conduzida ao usuário ou gerenciada pelo administrador?
- O registro em massa funciona melhor em implantações orientadas pelo administrador para configurar os dispositivos antes de entregá-los aos usuários.
- Você compra dispositivos do 1-2 OEMS ou você tem uma distribuição grande de dispositivos OEM?
- Se você adquirir de OEMs limitados que também dão suporte a Autopilot, você pode aproveitar uma integração maior com o Autopilot.
Configurar suas configurações de dispositivo
O Centro de administração do Microsoft Entra permite controlar a implantação de dispositivos ingressados no Microsoft Entra em sua organização. Para definir as configurações relacionadas, navegue até Identidade>Dispositivos>Todos os dispositivos>Configurações do dispositivo. Saiba mais
Os usuários podem associar dispositivos ao Microsoft Entra ID
Defina essa opção como Todos ou Selecionados com base no escopo da sua implantação e em para quem você deseja configurar um dispositivo ingressado no Microsoft Entra.
Administradores locais adicionais em dispositivos ingressados no Microsoft Entra
Escolha Selecionado e seleciona os usuários que você deseja adicionar ao grupo de administradores locais em todos os dispositivos ingressados no Microsoft Entra.
Requer MFA (autenticação multifator) para ingressar dispositivos
Selecione "Sim se você exigir que os usuários façam MFA ao associar dispositivos ao Microsoft Entra ID.
Recomendação: use a ação do usuárioRegistrar ou Ingressar dispositivos no Acesso Condicional para impor a MFA para ingressar em dispositivos.
Configurar as suas configurações de mobilidade
Antes de poder definir suas configurações de mobilidade, talvez seja necessário adicionar um provedor de MDM primeiro.
Para adicionar um provedor MDM:
Na página do Microsoft Entra ID, na seção Gerenciar, selecione
Mobility (MDM and MAM)
.Escolha Adicionar aplicativo.
Selecione seu provedor de MDM da lista.
Selecione seu provedor de MDM para definir as configurações relacionadas.
Escopo do usuário do MDM
Selecione Alguns ou Todos com base no escopo de sua implantação.
Com base no seu escopo, acontecerá o seguinte:
- O usuário está no escopo do MDM: se você tiver uma assinatura P1 ou P2 do Microsoft Entra ID, o registro de MDM será automatizado junto com o ingresso no Microsoft Entra. Todos os usuários com escopo devem ter uma licença apropriada para seu MDM. Se o registro no MDM falhar nesse cenário, o Microsoft Entra join será revertido.
- O usuário não está no escopo do MDM: se os usuários não estão no escopo do MDM, o ingresso no Microsoft Entra será concluído sem nenhum registro de MDM. Esse escopo resulta em um dispositivo não gerenciado.
URLs do MDM
Há três URLs que estão relacionadas à sua configuração de MDM:
- Termos de MDM de uso URL
- URL de descoberta de MDM
- URL de conformidade de MDM
Cada URL tem um valor padrão predefinido. Se esses campos estiverem vazios, entre em contato com o provedor de MDM para obter mais informações.
Configurações de MAM
O Mobile Application Management (MAM) não se aplica ao ingresso no Microsoft Entra.
Configurar o roaming de estado
Se você quiser habilitar o roaming de estado no Microsoft Entra ID para que os usuários possam sincronizar suas configurações entre dispositivos, consulte Habilitar o Enterprise State Roaming no Microsoft Entra ID.
Recomendação: habilite esta configuração mesmo para os dispositivos ingressados híbridos no Microsoft Entra.
Configurar acesso condicional
Se você tiver um provedor de MDM configurado para os dispositivos ingressados no Microsoft Entra, o provedor marca o dispositivo como compatível assim que ele estiver sob gerenciamento.
Você pode usar esta implementação para solicitar dispositivos gerenciados para acesso de aplicativo de nuvem com Acesso Condicional.