Compartilhar via


Microsoft Entra associado vs. Híbrido Microsoft Entra associado em pontos finais nativos da cloud

Dica

Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:

  • Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
  • Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
  • Pontos finais nativos da cloud: pontos finais que estão associados ao Microsoft Entra. Eles não estão ingressados no AD local.
  • Carga de trabalho: qualquer programa, serviço ou processo.

Muitos serviços críticos e valiosos, incluindo o Acesso Condicional e o início de sessão único do Microsoft Entra, requerem pontos finais para ter uma identidade na cloud. Para os pontos finais do Windows pertencentes à organização, é criada uma identidade na cloud quando o dispositivo está associado à Microsoft Entra ou associado à Microsoft Entra Híbrida.

Ao mudar para pontos finais nativos da cloud, tem de compreender as diferenças entre os dispositivos associados ao Microsoft Entra e os dispositivos híbridos associados ao Microsoft Entra:

Esse recurso aplica-se a:

  • Pontos de extremidade nativos de nuvem do Windows

Este artigo descreve algumas das diferenças entre os dispositivos associados à Microsoft Entra e os dispositivos híbridos associados ao Microsoft Entra. Para obter uma visão geral dos pontos de extremidade nativos de nuvem e seus benefícios, confira O que são pontos de extremidade nativos de nuvem.

Microsoft Entra aderiu

Quando um ponto final, como um dispositivo Windows 10/11 é associado à Microsoft Entra, estabelece uma confiança com o Microsoft Entra e tem uma identidade (device-id) no Microsoft Entra. O ponto de extremidade é gerenciado e controlado pela organização.

O ponto final está associado ao Microsoft Entra. Ele não ingressou em um domínio do AD local.

Para associar pontos finais do Windows ao Microsoft Entra, tem algumas opções:

  • Usar o Windows Autopilot. O Windows Autopilot orienta os usuários pela OOBE (Windows Out of Box Experience). Quando os utilizadores introduzem a respetiva conta escolar ou profissional, o ponto final junta-se ao Microsoft Entra.

    Todos os dispositivos registrados com Windows Autopilot são automaticamente considerados dispositivos de propriedade da organização. O Windows Autopilot é uma das abordagens mais adotadas para que os dispositivos organizacionais sejam associados ao Microsoft Entra e geridos por TI.

  • Use a OOBE (Windows Out of Box Experience). Quando os utilizadores introduzem a respetiva conta escolar ou profissional no dispositivo, o ponto final junta-se automaticamente ao Microsoft Entra.

  • Use o aplicativo Configurações. No dispositivo, os usuários finais abrem o aplicativo Configurações (Contas>Acesso corporativo ou de estudante>Conectar) e usam sua conta corporativa ou de estudante.

  • Use um pacote de provisionamento de janela. Veja mais informações em:

Benefícios de TI da organização

  • Usando o acesso condicional, você pode permitir ou restringir o acesso aos recursos da organização que atendem ou não atendem às suas necessidades.
  • Configurações e dados de trabalho percorrem nuvens em conformidade com a empresa. Nenhuma conta pessoal da Microsoft, como o Hotmail, é usada e pode ser bloqueada.
  • Usando o Windows Hello para Empresas, você pode reduzir o risco de roubo de credenciais.

Benefícios do usuário final

  • Para autenticar os utilizadores finais com o Microsoft Entra e o ponto final do Windows, os utilizadores precisam de uma conta escolar ou profissional. Nenhuma conta pessoal é usada.

  • Obtenha SSO (logon único) para o Microsoft 365 e aplicativos SaaS com uma conexão com a Internet.

  • Use a conveniência e a segurança do Windows Hello para Empresas para entrar no ponto de extremidade do Windows.

    Quando eles entrarem com o Windows Hello para Empresas, os usuários usarão automaticamente o SSO para muitos de seus aplicativos e recursos locais e online.

  • As definições do SO percorrem todos os dispositivos associados ao Microsoft Entra.

    Importante

    Os utilizadores finais que trabalham remotamente em dispositivos associados ao Microsoft Entra não precisam de uma VPN para iniciar sessão quando as credenciais em cache expiram no dispositivo. Em dispositivos híbridos associados ao Microsoft Entra, precisam de uma VPN para iniciar sessão quando as credenciais em cache expirarem.

Recursos associados ao Microsoft Entra

Microsoft Entra híbrido associado

Os dispositivos híbridos associados ao Microsoft Entra estão associados ao seu domínio do AD no local e estão registados no Microsoft Entra. Esses dispositivos exigem uma linha de visão de rede para seus controladores de domínio (DCs) locais para entrada inicial e gerenciamento de dispositivos.

Se os dispositivos não puderem se conectar ao controlador de domínio, os usuários poderão ser impedidos de entrar e talvez não recebam atualizações de política.

Muitas organizações com dispositivos associados a um domínio existente querem os benefícios e funcionalidades do Microsoft Entra e da gestão de pontos finais. Se os seus dispositivos ainda não puderem ser totalmente nativos da cloud, pode registar estes dispositivos existentes no Microsoft Entra. Quando regista dispositivos existentes no Microsoft Entra, é criada uma identidade de dispositivo e os seus dispositivos são associados híbridos ao Microsoft Entra. Eles não são considerados pontos de extremidade nativos de nuvem.

Se a sua organização estiver pronta e quiser ser nativa da cloud, a associação ao Microsoft Entra (neste artigo) é a escolha correta. Os dispositivos existentes têm de ser repostos. Para obter informações e diretrizes mais específicas, acesse o guia Planejamento de alto nível.

Recursos híbridos associados ao Microsoft Entra

Para obter informações sobre como registar os seus dispositivos associados a um domínio existente no Microsoft Entra, aceda a Configurar a associação híbrida do Microsoft Entra. Configurar a associação híbrida do Microsoft Entra inclui informações para domínios geridos e domínios federados.

Qual opção é ideal para sua organização

A opção certa depende do seu ambiente, dos pontos de extremidade e das metas da sua organização. Ao tomar essa decisão, considere o impacto futuro e a longo prazo.

Considere as seguintes situações:

Cenário Associação do Microsoft Entra ou Associação híbrida à Microsoft Entra
Está a aprovisionar novos pontos finais do Windows ✔️ Associação ao Microsoft Entra

Se tiver dispositivos Windows novos, recondicionados ou atualizados que esteja a aprovisionar e a inscrever, recomenda-se a associação ao Microsoft Entra. Windows 10/11 tem recursos modernos integrados ao sistema operacional, incluindo gerenciamento moderno, autenticação moderna e muito mais. O Microsoft Entra Join deve ser a opção predefinida para novos pontos finais e repor.

❌ Associação híbrida do Microsoft Entra

Pode utilizar o Microsoft Entra Join Híbrido para novos pontos finais, mas normalmente não é recomendado. Quando associado com o Microsoft Entra Join Híbrido, poderá não conseguir utilizar as funcionalidades modernas incorporadas no Windows 10/11.
Existem pontos finais do Windows aprovisionados anteriormente que são associados híbridos ao Microsoft Entra ou ao AD ✔️ Associação híbrida do Microsoft Entra

Se tiver pontos finais existentes associados a um domínio do AD no local (incluindo a associação híbrida ao Microsoft Entra), recomenda-se a associação híbrida do Microsoft Entra. Os dispositivos obtêm uma identidade de nuvem e podem usar serviços de nuvem que exigem uma identidade de nuvem. Para os utilizadores finais com pontos finais existentes, esta opção tem um impacto mínimo.

❌ Associação ao Microsoft Entra

Os dispositivos existentes associados a um domínio do AD no local (incluindo a associação híbrida ao Microsoft Entra) têm de ser repostos para se tornarem associados ao Microsoft Entra. Se não puderem ser repostos, não existe um caminho suportado da Microsoft para que o Microsoft Entra se associe aos mesmos.

Perguntas, respostas e cenários comuns

Esta secção responde a perguntas comuns sobre os dispositivos associados à Microsoft Entra e híbridos associados ao Microsoft Entra.

A associação híbrida do Microsoft Entra deve ser um estado de objetivo de longo prazo ou final para os dispositivos?

Não, o Microsoft Entra Join Híbrido não deve ser a longo prazo nem o objetivo final para qualquer organização.

Quando não está restrito ou limitado (razões técnicas, políticas ou regulamentares), a sua organização deve estar a mover-se ou a planear mudar-se para o Microsoft Entra associado aos seus pontos finais do Windows.

Que estratégia deve uma organização adotar para mover dispositivos Híbridos Microsoft Entra Join existentes para o Microsoft Entra Join?

A estratégia depende de muitos fatores, muitos que são específicos da sua organização.

Em geral, a Microsoft recomenda aguardar um evento complementar. Por exemplo, pode mudar para o Microsoft Entra Join durante uma atualização de hardware, atualização do SO ou cenário de resolução de problemas do dispositivo quando existe uma nova (ou reposição) instância do Windows. Com esta abordagem, minimiza a interrupção do utilizador e simplifica o processo de conversão para o Microsoft Entra Join. Lembre-se de que não existe nenhum processo ou caminho suportado pela Microsoft para converter um dispositivo existente do Microsoft Entra Join Híbrido para o Microsoft Entra Join sem uma reposição do Windows.

Nos dispositivos associados híbridos do Microsoft Entra, tem de efetuar uma eliminação completa do dispositivo, uma vez que a Reposição do Windows Autopilot não suporta dispositivos associados híbridos ao Microsoft Entra.

Para mudar para o Microsoft Entra Join, pode repor proativamente os dispositivos existentes. Esta abordagem pode ser mais disruptiva para os utilizadores e requer mais planeamento & testes. No entanto, pode utilizar esta abordagem se tiver alguns dispositivos ou se tiver um caso empresarial forte para mudar para o Microsoft Entra Join.

Existe um bloqueador que impede a minha organização de mudar para o Microsoft Entra Join

É possível que existam bloqueios e desafios fora do controlo da Microsoft que podem impedir a sua organização de se mudar totalmente para o Microsoft Entra Join. Também pode haver bloqueadores desconhecidos que são específicos da configuração ou expectativas da sua organização. Estes bloqueadores podem ser técnicos ou acontecer por outros motivos não técnicos.

Lembre-se de que mudar para o Microsoft Entra Join não é uma proposta de tudo ou nada. Mover dispositivos para o Microsoft Entra Join demora algum tempo, mesmo com ou sem bloqueadores ou inibidores.

Se identificar um potencial bloqueador que o esteja a impedir de utilizar o Microsoft Entra Join, determine o âmbito, o impacto e a solução. O guia de planeamento de alto nível para mover para pontos finais nativos da cloud pode ajudar.

Os pontos finais microsoft Entra Join e Hybrid Microsoft Entra Join podem coexistir no mesmo ambiente?

Sim, os pontos finais Microsoft Entra Join e Hybrid Microsoft Entra Join podem coexistir no mesmo ambiente. Não são mutuamente exclusivos.

Ter um ambiente misto aumenta os custos de complexidade, manutenção e suporte. No entanto, pode utilizar o Microsoft Entra Join Híbrido até que esses pontos finais sejam substituídos ou repostos. Lembre-se de que o Microsoft Entra Join Híbrido não deve ser o objetivo final da sua organização para o estado do ponto final do Windows.

Os utilizadores nos sistemas Microsoft Entra Join podem aceder aos recursos no local?

Sim, os utilizadores nos sistemas Microsoft Entra Join podem aceder a recursos no local.

Os pontos finais do Microsoft Entra Join podem aceder a recursos no local e podem utilizar o início de sessão único (SSO). Para obter informações mais específicas, acesse Pontos de extremidade nativos de nuvem e recursos locais.

Que estados de associação a dispositivos podem gerir o Intune?

O Microsoft Intune, que é uma solução 100% cloud, pode gerir dispositivos cliente Windows que são o Microsoft Entra Join ou o Microsoft Entra Join Híbrido. O Intune tem muitos recursos e configurações internos que podem gerenciar configurações, controlar recursos do dispositivo, ajudar a proteger seus pontos de extremidade e muito mais.

O Guia de planejamento de alto nível para migrar para pontos de extremidade nativos de nuvem: Os recursos do Intune que você deve conhecer listam alguns desses recursos. O que é o Intune também é um bom recurso.

Nos pontos finais híbridos do Microsoft Entra Join, pode utilizar objetos de políticas de grupo no local (GPO) ou o Intune para controlar as definições de política. Também é possível utilizar uma combinação de GPO e Intune, mas esta combinação adiciona sobrecarga administrativa e complexidade. Se ativar a cogestão (Intune (cloud) + Configuration Manager (no local)), pode utilizar algumas funcionalidades do Microsoft Entra, como o acesso condicional.

Para obter algumas diretrizes, acesse o Guia de implantação: Configurar ou mover para Microsoft Intune.

Que estados de associação de dispositivos são necessários para a conformidade e/ou acesso condicional do dispositivo?

Tanto os pontos finais Híbridos do Microsoft Entra Join como do Microsoft Entra Join suportam políticas de conformidade e acesso condicional quando geridos pelo Intune ou cogeridos pelo Intune e pelo Configuration Manager.

Existem limitações para a Associação Híbrida do Microsoft Entra?

Sim, existem limitações para a Associação Híbrida do Microsoft Entra.

Geralmente, estas limitações são as mesmas com dispositivos associados apenas ao domínio no local. Especificamente, os pontos finais híbridos do Microsoft Entra Join requerem uma linha de visão para o controlador de domínio do AD no local para início de sessão inicial e para alterar palavras-passe. Se o domínio estiver inativo ou indisponível, os utilizadores poderão ser impedidos de iniciar sessão nos respetivos pontos finais. Se a sua organização estiver a afastar-se de ter um domínio no local, também tem de se afastar da Associação Híbrida do Microsoft Entra para os seus dispositivos.

Se utilizar a autenticação sem palavra-passe, os utilizadores precisam de acesso à Internet e de uma linha de visão para os controladores de domínio (DCs). Para autenticar, os pontos finais híbridos do Microsoft Entra Join podem utilizar kerberos e NTLM.

O Microsoft Entra Join Híbrido é considerado nativo da cloud?

Não, o Microsoft Entra Join Híbrido não é considerado nativo da cloud.

A solução na cloud é associar o Microsoft Entra aos seus pontos finais. Os pontos finais e as respetivas identidades são criados e armazenados no Microsoft Entra. O Intune gere os pontos finais com definições e políticas. Estes serviços funcionam com outros serviços cloud, incluindo o Microsoft 365, o Microsoft Defender XDR e muito mais.

Siga as diretrizes de pontos de extremidade nativos de nuvem

  1. Visão geral: o que são pontos de extremidade nativos de nuvem?
  2. Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
  3. 🡺 Concept: Microsoft Entra joined vs. Hybrid Microsoft Entra joined (You are here)
  4. Conceito: pontos de extremidade nativos de nuvem e recursos locais
  5. Guia de planejamento de alto nível
  6. Problemas conhecidos e informações importantes