Configurar a entrada federada para dispositivos Windows
A partir do Windows 11 SE, versão 22H2 e Windows 11 Pro Edu/Education, versão 22H2 com KB5022913, pode permitir que os seus utilizadores iniciem sessão com um fornecedor de identidade federado (IdP) através de uma experiência de início de sessão na Web. Iniciar sessão com uma identidade federada pode ser uma ótima forma de simplificar o processo de início de sessão para os seus utilizadores: em vez de terem de memorizar um nome de utilizador e palavra-passe definidos no Microsoft Entra ID, podem iniciar sessão com as respetivas credenciais existentes do IdP. Por exemplo, os estudantes e educadores podem utilizar distintivos de código QR para iniciar sessão.
Benefícios do início de sessão federado
Uma experiência de início de sessão federado permite que os estudantes iniciem sessão em menos tempo e com menos atrito. Com menos credenciais para memorizar e um processo de início de sessão simplificado, os estudantes estão mais empenhados e focados na aprendizagem.
Existem duas funcionalidades do Windows que permitem uma experiência de início de sessão federado:
- Início de sessão federado, concebido para dispositivos de estudantes 1:1. Para uma experiência ideal, não deve ativar o início de sessão federado em dispositivos partilhados
- Início de sessão na Web, que proporciona uma experiência semelhante ao início de sessão federado, e pode ser utilizado para dispositivos partilhados
Importante
O início de sessão federado e o início de sessão na Web requerem configurações diferentes, que são explicadas neste documento.
Pré-requisitos
Para ativar uma experiência de início de sessão federado, têm de ser cumpridos os seguintes pré-requisitos:
Um inquilino do Microsoft Entra, com um ou vários domínios federados num IdP de terceiros. Para obter mais informações, consulte O que é a federação com o Microsoft Entra ID? e Utilizar um IdP SAML 2.0 para Início de Sessão Único
Observação
Se a sua organização utilizar uma solução de federação de terceiros, pode configurar o início de sessão único no Microsoft Entra ID se a solução for compatível com o Microsoft Entra ID. Para perguntas sobre compatibilidade, contacte o seu fornecedor de identidade. Se for um IdP e quiser validar a sua solução para interoperabilidade, veja estas diretrizes.
- Para obter um guia passo a passo sobre como configurar o Google Workspace como um fornecedor de identidade para o Microsoft Entra ID, consulte Configurar a federação entre o Google Workspace e o Microsoft Entra ID
- Para obter um guia passo a passo sobre como configurar o Clever como um fornecedor de identidade para o Microsoft Entra ID, consulte Guia de configuração para Distintivos no Windows e Microsoft Entra ID
Contas IdP individuais criadas: cada utilizador necessita de uma conta definida na plataforma IdP de terceiros
Contas Individuais do Microsoft Entra criadas: cada utilizador necessita de uma conta correspondente definida no Microsoft Entra ID. Estas contas são normalmente criadas através de soluções automatizadas, por exemplo:
- School Data Sync (SDS)
- Microsoft Entra Connect Sync para ambiente com o AD DS no local
- Scripts do PowerShell que chamam a Microsoft Graph API
- ferramentas de aprovisionamento oferecidas pelo IdP
Para obter mais informações sobre a correspondência de identidades, consulte Correspondência de identidades no ID do Microsoft Entra.
Licenças atribuídas às contas de utilizador do Microsoft Entra. Recomenda-se atribuir licenças a um grupo dinâmico: quando novos utilizadores são aprovisionados no Microsoft Entra ID, as licenças são atribuídas automaticamente. Para obter mais informações, veja Assign licenses to users by group membership in Microsoft Entra ID (Atribuir licenças a utilizadores por associação a grupos no Microsoft Entra ID)
Ativar o início de sessão federado ou o início de sessão na Web nos dispositivos Windows, dependendo se os dispositivos são partilhados ou atribuídos a um único estudante
Para utilizar o início de sessão federado ou o início de sessão na Web, os dispositivos têm de ter acesso à Internet. Estas funcionalidades não funcionam sem a mesma, uma vez que a autenticação é feita através da Internet.
Importante
WS-Fed é o único protocolo federado suportado para associar um dispositivo ao Microsoft Entra ID. Se tiver um IdP SAML 2.0, recomenda-se que conclua o processo de associação ao Microsoft Entra através de um dos seguintes métodos:
- Pacotes de aprovisionamento (PPKG)
- Modo de autoimplantação do Windows Autopilot
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o início de sessão Federado:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Não | Sim | Sim |
Os direitos de licença de início de sessão federado são concedidos pelas seguintes licenças:
| Windows Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Não | Não | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
O início de sessão federado é suportado nas seguintes edições e versões do Windows:
- Windows 11 SE, versão 22H2 e posterior
- Windows 11 Pro Edu/Education, versão 22H2 com KB5022913
O início de sessão na Web é suportado a partir do Windows 11 SE/Pro Edu/Education, versão 22H2 com KB5026446.
Configurar uma experiência de início de sessão federado
Pode configurar uma experiência de início de sessão federado para dispositivos atribuídos por estudantes (1:1) ou dispositivos partilhados por estudantes:
- Quando o início de sessão federado está configurado para dispositivos atribuídos por estudantes (1:1), utiliza uma funcionalidade do Windows denominada Início de sessão federado. O primeiro utilizador que iniciar sessão no dispositivo com uma identidade federada torna-se o utilizador principal. O utilizador principal é sempre apresentado no canto inferior esquerdo do ecrã de início de sessão
- Quando o início de sessão federado está configurado para dispositivos partilhados por estudantes, utiliza uma funcionalidade do Windows denominada Início de sessão na Web. Com o início de sessão na Web, não existe nenhum utilizador principal e o ecrã de início de sessão apresenta, por predefinição, o último utilizador que iniciou sessão no dispositivo
A configuração é diferente para cada cenário e é descrita nas secções seguintes.
Configurar o início de sessão federado para dispositivos atribuídos por estudantes (1:1)
Reveja as seguintes instruções para configurar os seus dispositivos com o Microsoft Intune ou um pacote de aprovisionamento (PPKG).
Intune
PPKGPara configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Education | É Ambiente de Educação | Habilitada |
| Autenticação Federada | Ativar o Início de Sessão na Web para o Utilizador Principal | Habilitada |
| Authentication | Configurar URLs Permitidos de Início de Sessão na Web | Introduza a lista de domínios, com cada URL numa linha separada. Por exemplo: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Configurar Nomes de Domínio de Acesso à Câmara Web | Esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com as seguintes definições:
| Configuração |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentTipo de dados: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUserTipo de dados: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsTipo de dados: Cadeia Valor: lista separada por ponto e vírgula de domínios, por exemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** Tipo de dados: Cadeia Valor: esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com |
Configurar o início de sessão na Web para dispositivos partilhados de estudantes
Reveja as seguintes instruções para configurar os seus dispositivos partilhados com o Microsoft Intune ou um pacote de aprovisionamento (PPKG).
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Education | É Ambiente de Educação | Habilitada |
| SharedPC | Ativar o Modo de PC Partilhado com a Sincronização do OneDrive | True |
| Authentication | Ativar o Início de Sessão na Web | Habilitado |
| Authentication | Configurar URLs Permitidos de Início de Sessão na Web | Introduza a lista de domínios, com cada URL numa linha separada. Por exemplo: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Configurar Nomes de Domínio de Acesso à Câmara Web | Esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com as seguintes definições:
| Configuração |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentTipo de dados: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSyncTipo de dados: Booleano Valor: Verdadeiro |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignInTipo de dados: Inteiro Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsTipo de dados: Cadeia Valor: lista separada por ponto e vírgula de domínios, por exemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNamesTipo de dados: Cadeia Valor: esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com |
Como utilizar o início de sessão federado
Assim que os dispositivos estiverem configurados, fica disponível uma nova experiência de início de sessão.
À medida que os utilizadores introduzem o nome de utilizador, são redirecionados para a página de início de sessão do fornecedor de identidade. Assim que o Idp autenticar os utilizadores, estes têm sessão iniciada. Na animação seguinte, pode observar como funciona o primeiro processo de início de sessão para um estudante atribuído (1:1):
Importante
Para dispositivos atribuídos por estudantes (1:1), assim que a política estiver ativada, o primeiro utilizador que iniciar sessão no dispositivo também definirá a página de desambiguação para o domínio do fornecedor de identidade no dispositivo. Isto significa que o dispositivo estará predefinido para esse IdP. O utilizador pode sair do fluxo de início de sessão Federado ao premir Ctrl+Alt+Delete para voltar ao ecrã de início de sessão padrão do Windows. O comportamento é diferente para dispositivos partilhados por estudantes, onde a página de desambiguação é sempre apresentada, a menos que o nome de inquilino preferencial do Microsoft Entra esteja configurado.
Considerações importantes
Problemas conhecidos que afetam dispositivos atribuídos por estudantes (1:1)
O início de sessão federado para dispositivos atribuídos por estudantes (1:1) não funciona com as seguintes definições ativadas:
- EnableSharedPCMode ou EnableSharedPCModeWithOneDriveSync, que fazem parte do CSP SharedPC
- Início de sessão interativo: não apresentar a última sessão iniciada, que é uma parte da política de segurança do CSP de Política
- Faça um Teste no modo de quiosque, uma vez que utiliza a política de segurança acima
Problemas conhecidos que afetam dispositivos partilhados de estudantes
Sabe-se que os seguintes problemas afetam os dispositivos partilhados dos estudantes:
- Os utilizadores não federados não podem iniciar sessão nos dispositivos, incluindo contas locais
- Faça um Teste no modo de quiosque, uma vez que utiliza uma conta de convidado local para iniciar sessão
Gerenciamento de contas
Para dispositivos partilhados por estudantes, é recomendado configurar as políticas de gestão de conta para eliminar automaticamente os perfis de utilizador após um determinado período de inatividade ou níveis de disco. Para obter mais informações, consulte Configurar um dispositivo Windows partilhado ou convidado.
Nome preferencial do inquilino do Microsoft Entra
Para melhorar a experiência de utilizador, pode configurar a funcionalidade de nome de inquilino preferencial do Microsoft Entra .
Ao utilizar o nome preferencial do inquilino do Microsoft Entra, os utilizadores ignoram a página de desambiguação e são redirecionados para a página de início de sessão do fornecedor de identidade. Esta configuração pode ser especialmente útil para dispositivos partilhados de estudantes, onde a página de desambiguação é sempre apresentada.
Para obter mais informações sobre o nome do inquilino preferencial, veja Authentication CSP - PreferredAadTenantDomainName (CSP de Autenticação – PreferredAadTenantDomainName).
Correspondência de identidades no ID do Microsoft Entra
Quando um utilizador do Microsoft Entra é federado, a identidade do utilizador do IdP tem de corresponder a um objeto de utilizador existente no Microsoft Entra ID. Após o token enviado pelo IdP ser validado, o ID do Microsoft Entra procura um objeto de utilizador correspondente no inquilino através de um atributo chamado ImmutableId.
Observação
O ImmutableId é um valor de cadeia que tem de ser exclusivo para cada utilizador no inquilino e não deve ser alterado ao longo do tempo. Por exemplo, o ImmutableId pode ser o ID do estudante ou o ID do SIS. O valor ImmutableId deve basear-se na configuração e configuração da federação com o seu IdP, por isso confirme com o seu IdP antes de o definir.
Se o objeto correspondente for encontrado, o utilizador tem sessão iniciada. Caso contrário, é apresentada uma mensagem de erro ao utilizador. A imagem seguinte mostra que não é possível localizar um utilizador com o ImmutableId 260051 :
Importante
A correspondência ImmutableId é sensível às maiúsculas e minúsculas.
O ImmutableId é normalmente configurado quando o utilizador é criado no Microsoft Entra ID, mas também pode ser atualizado mais tarde.
Num cenário em que um utilizador é federado e pretende alterar o ImmutableId, tem de:
- Converter o utilizador federado num utilizador apenas na cloud (atualize o UPN para um domínio não federado)
- Atualizar o ImmutableId
- Converter o utilizador novamente num utilizador federado
Eis um exemplo do PowerShell para atualizar o ImmutableId para um utilizador federado:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'
#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com
#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'
Solução de problemas
- O utilizador pode sair do fluxo de início de sessão federado ao premir Ctrl+Alt+Delete para voltar ao ecrã de início de sessão padrão do Windows
- Selecione o botão Outro Utilizador e as credenciais padrão de nome de utilizador/palavra-passe estão disponíveis para iniciar sessão no dispositivo