Configurar e gerenciar o registro de dispositivo
Devido à proliferação de dispositivos de todos os tipos e tamanhos e a proliferação do BYOD (Traga seu próprio dispositivo), os profissionais de TI vêm se deparando com duas metas ligeiramente opostas:
- Capacitar os usuários finais a serem produtivos em qualquer situação, em qualquer lugar e em qualquer dispositivo
- Proteger os ativos da organização
Para proteger esses ativos, a equipe de TI precisa primeiro gerenciar as identidades dos dispositivos. Eles podem usar a identidade do dispositivo como base em ferramentas como o Microsoft Intune para garantir o atendimento aos padrões de segurança e conformidade. O Microsoft Entra ID habilita o logon único em dispositivos, aplicativos e serviços de qualquer lugar por meio desses dispositivos.
- Seus usuários podem obter acesso aos ativos da organização de que precisam.
- A equipe de TI obtém os controles de que precisam para proteger sua organização.
Dispositivos registrados no Microsoft Entra
A meta dos dispositivos registrados do Microsoft Entra é fornecer suporte para cenários BYOD ou de dispositivos móveis aos seus usuários. Nesses cenários, um usuário pode acessar os recursos controlados pelo Microsoft Entra ID da sua organização utilizando um dispositivo pessoal.
| Registrado no Microsoft Entra | Descrição |
|---|---|
| Definição | Registrado no Microsoft Entra ID sem exigir que a conta da organização se conecte ao dispositivo |
| Público principal | Aplicável ao BYOD (traga seu próprio dispositivo) e dispositivos móveis |
| Propriedade do dispositivo | Usuário ou organização |
| Sistemas operacionais | Windows 10, Windows 11, iOS, Android, and macOS |
| Opções de entrada do dispositivo | Credenciais locais do usuário final, Senha, Windows Hello, PIN por Biometria |
| Gerenciamento de dispositivo | Gerenciamento de dispositivo móvel (exemplo: Microsoft Intune) |
| Principais recursos | SSO para recursos de nuvem, Acesso Condicional |
Os dispositivos registrados no Microsoft Entra são conectados usando uma conta local como uma conta Microsoft em um dispositivo Windows 10, mas também têm uma conta do Microsoft Entra anexada para acesso a recursos organizacionais. O acesso aos recursos na organização pode ser ainda mais limitado com base nessa conta do Microsoft Entra e nas políticas de Acesso Condicional aplicadas à identidade do dispositivo.
Os administradores podem proteger e controlar ainda mais esses dispositivos registrados no Microsoft Entra utilizando ferramentas de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune. O MDM proporciona um meio para impor as configurações necessárias à organização, como exigir que o armazenamento seja criptografado, a complexidade de senha e que o software de segurança esteja atualizado.
O registro do Microsoft Entra ID pode ser realizado ao acessar um aplicativo de trabalho pela primeira vez ou manualmente utilizando o menu Configurações do Windows 10.
Cenários para dispositivos registrados
Um usuário de sua organização deseja acessar as ferramentas de email, relatório de folga e inscrição de benefícios no computador doméstico dele. Sua organização tem essas ferramentas protegidas pela política de Acesso condicional, que requer acesso por meio de um dispositivo compatível com o Intune. O usuário adiciona sua conta organizacional e registra seu PC doméstico no Microsoft Entra ID, e as políticas exigidas pelo Intune são impostas, dando ao usuário acesso aos seus recursos.
Outro usuário deseja acessar o email da organização em seu telefone Android pessoal com root. Sua empresa requer um dispositivo em conformidade e criou uma política de conformidade do Intune para bloquear qualquer dispositivo com root. O funcionário é impedido de acessar os recursos organizacionais nesse dispositivo.
Dispositivos ingressados no Microsoft Entra
O ingresso no Microsoft Entra é destinado a organizações que desejam priorizar a nuvem ou ser somente na nuvem. Qualquer organização pode implantar dispositivos adicionados ao Microsoft Entra, independentemente do tamanho ou do setor. O Microsoft Entra permite o acesso a aplicativos e recursos na nuvem e local.
| Ingressado no Microsoft Entra | Descrição |
|---|---|
| Definição | Ingressado somente no Microsoft Entra ID exigindo que a conta da organização se conecte ao dispositivo |
| Público principal | Adequado para organizações híbridas e somente de nuvem |
| Propriedade do dispositivo | Organização |
| Sistemas operacionais | Todos os dispositivos Windows 10 e 11, exceto o Windows 10/11 Home |
| Gerenciamento de dispositivos | Gerenciamento de dispositivo móvel (exemplo: Microsoft Intune) |
| Principais recursos | SSO para recursos locais e de nuvem, acesso condicional, redefinição de senha de autoatendimento e redefinição de PIN do Windows Hello |
Os dispositivos ingressados no Microsoft Entra são conectados usando uma conta organizacional do Microsoft Entra. O acesso aos recursos na organização pode ser ainda mais limitado com base nessa conta do Microsoft Entra e nas políticas de Acesso Condicional aplicadas à identidade do dispositivo.
Os administradores podem proteger e controlar ainda mais os dispositivos ingressados no Microsoft Entra usando ferramentas de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune, ou em cenários de cogerenciamento usando o Microsoft Endpoint Configuration Manager. Essas ferramentas fornecem um meio de impor configurações necessárias à organização, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações e atualizações de software. Os administradores podem disponibilizar aplicativos da organização para os dispositivos ingressados no Microsoft Entra usando o Configuration Manager.
A adição ao Microsoft Entra pode ser realizada usando opções de autoatendimento, como a OOBE (Experiência pronta para uso), o registro em massa ou o Windows AutoPilot.
Os dispositivos adicionados ao Microsoft Entra ainda podem manter o acesso de logon único a recursos locais quando estão na rede da organização. Os dispositivos ingressados do Microsoft Entra se autenticam em servidores locais, como para arquivos, impressão e outros aplicativos.
Cenários para dispositivos ingressados
Embora o Microsoft Entra seja destinado principalmente a organizações que não têm uma infraestrutura local do Windows Server Active Directory, você certamente pode usá-lo em cenários em que:
- Você deseja fazer a transição para infraestrutura baseada em nuvem usando o Microsoft Entra ID e um MDM como o Intune.
- Não é possível usar um ingresso no domínio local, por exemplo, caso seja necessário colocar dispositivos móveis, como tablets e telefones, sob controle.
- Os usuários precisam basicamente acessar o Microsoft 365 ou outros aplicativos SaaS integrados ao Microsoft Entra ID.
- Você quer gerenciar um grupo de usuários no Microsoft Entra ID, e não no Active Directory. Esse cenário pode se aplicar, por exemplo, a funcionários temporários, prestadores de serviços ou alunos.
- Você deseja fornecer recursos de ingresso para trabalhadores em escritórios remotos com infraestrutura local limitada.
Você pode configurar os dispositivos ingressados do Microsoft Entra em todos os dispositivos Windows 10, com exceção do Windows 10 Home.
A meta dos dispositivos adicionados ao Microsoft Entra é simplificar:
- As implantações de dispositivos Windows que pertencem à organização
- O acesso a aplicativos e recursos organizacionais de qualquer dispositivo Windows
- Gerenciamento baseado em nuvem de dispositivos empresariais
- Os usuários entram em seus dispositivos com as respectivas contas corporativas ou de estudante do Microsoft Entra ID ou do Active Directory.
O ingresso no Microsoft Entra pode ser implantado utilizando vários métodos diferentes.
Dispositivos ingressados no Microsoft Entra híbrido
Por mais de uma década, muitas organizações têm usado o ingresso no domínio para o respectivo Active Directory local a fim de permitir que:
- Os departamentos de TI gerenciem dispositivos pertencentes à empresa de um local central.
- Os usuários entrem em seus dispositivos com as respectivas contas corporativas ou de estudante do Active Directory.
Normalmente, as organizações com presença local dependem de métodos de geração de imagens para configurar dispositivos e costumam usar o Configuration Manager ou a GP (política de grupo) para gerenciá-los.
Se o seu ambiente tiver um volume de memória do AD local e você também quiser se beneficiar das funcionalidades fornecidas pelo Microsoft Entra ID, poderá implementar dispositivos ingressados no Microsoft Entra híbrido. Esses dispositivos são dispositivos que estão ingressados no Active Directory local e registrados no seu diretório do Microsoft Entra.
| Microsoft entra híbrido ingressado | Descrição |
|---|---|
| Definição | Ingressado no Microsoft Entra ID e no AD local, exigindo que a conta da organização se conecte ao dispositivo |
| Público principal | Adequado para organizações híbridas com a infraestrutura existente do AD local |
| Propriedade do dispositivo | Organização |
| Sistemas operacionais | Windows 11, 10, 8.1 e 7, juntamente com Windows Server 2008/R2, 2012/R2, 2016 e 2019 |
| Opções de entrada do dispositivo | Senha ou Windows Hello para Empresas |
| Gerenciamento de dispositivo | Política de Grupo, Configuration Manager autônomo ou cogerenciamento com Microsoft Intune |
| Principais recursos | SSO para recursos locais e de nuvem, acesso condicional, redefinição de senha de autoatendimento e redefinição de PIN do Windows Hello |
Cenários para junção híbrida
Use dispositivos ingressados no Microsoft Entra híbrido se:
- Você tem aplicativos Win32 implantados nesses dispositivos que dependem da autenticação de computador do Active Directory.
- Você deseja continuar a usar Política de Grupo para gerenciar a configuração do dispositivo.
- Você deseja continuar a usar soluções de geração de imagens existentes para configurar e implantar dispositivos.
- Você precisa dar suporte a dispositivos Windows 7 e 8.1 de nível inferior, além do Windows 10.
Write-back de dispositivo
Em uma configuração do Microsoft Entra ID baseada em nuvem, os dispositivos são registrados apenas no Microsoft Entra ID. Seu AD local não tem visibilidade sobre os dispositivos. Isso significa que o acesso condicional na nuvem é fácil de configurar e manter. Entretanto, nesta seção, discutiremos as configurações híbridas com o Microsoft Entra Connect. Como você pode fazer acesso condicional local usando dispositivos, se eles só existem no Microsoft Entra ID? O write-back de dispositivos ajuda você a manter um controle dos dispositivos registrados no Microsoft Entra ID no AD. Você terá uma cópia dos objetos do dispositivo no contêiner "Dispositivos Registrados"
Cenário: você tem um aplicativo que deseja dar acesso aos usuários somente se eles forem provenientes de dispositivos registrados.
Nuvem: Você pode gravar políticas de Acesso Condicional para quaisquer aplicativos integrados do Microsoft Entra ID para autorizar com base em se o dispositivo está ingressado ou não no Microsoft Entra ID.
Local: isso não é possível sem o write-back de dispositivo. Se o aplicativo estiver integrado ao ADFS (2012 ou superior), você poderá escrever regras de declaração para verificar o status do dispositivo e fornecer acesso somente se a declaração "é gerenciada" estiver presente. Para emitir essa declaração, o ADFS verificará o objeto do dispositivo no contêiner "Dispositivos Registrados" e emitirá a declaração adequadamente.
O WHFB (Windows Hello para Empresas) exige write-back de dispositivo para funcionar em cenários híbridos e federados.