Planeje a implantação do dispositivo Microsoft Entra
Este artigo ajuda você a avaliar os métodos para integrar seu dispositivo com o Microsoft Entra ID, escolher o plano de implementação e fornece links importantes para as ferramentas de gerenciamento de dispositivos suportadas.
O panorama dos dispositivos do seu utilizador está em constante expansão. As organizações podem fornecer desktops, laptops, telefones, tablets e outros dispositivos. Seus usuários podem trazer sua própria variedade de dispositivos e acessar informações de locais variados. Nesse ambiente, seu trabalho como administrador é manter seus recursos organizacionais seguros em todos os dispositivos.
O Microsoft Entra ID permite que sua organização atinja essas metas com o gerenciamento de identidade de dispositivo. Agora você pode obter seus dispositivos no Microsoft Entra ID e controlá-los a partir de um local central no centro de administração Microsoft Entra. Esse processo oferece uma experiência unificada, segurança aprimorada e reduz o tempo necessário para configurar um novo dispositivo.
Existem vários métodos para integrar os seus dispositivos no Microsoft Entra ID. Esses métodos podem trabalhar separadamente ou em conjunto com base no sistema operacional e em seus requisitos:
- Você pode registrar dispositivos com Microsoft Entra ID.
- Associar dispositivos ao Microsoft Entra ID (apenas na nuvem).
- o Microsoft Entra híbrido associa dispositivos ao seu domínio do Ative Directory local e à ID do Microsoft Entra.
Saiba mais
Antes de começar, certifique-se de que está familiarizado com o resumo da gestão de identidade do dispositivo.
Benefícios
Os principais benefícios de dar aos seus dispositivos uma identidade Microsoft Entra:
Aumente a produtividade – os utilizadores podem fazer logon contínuo (SSO) aos seus recursos locais e na nuvem, permitindo a produtividade onde quer que estejam.
Aumente a segurança – aplique políticas de Acesso Condicional a recursos com base na identidade do dispositivo ou usuário. A adesão de um dispositivo ao Microsoft Entra ID é um pré-requisito para aumentar a sua segurança com uma estratégia sem palavra-passe.
Melhore a experiência do usuário – Forneça aos usuários acesso fácil aos recursos baseados em nuvem da sua organização a partir de dispositivos pessoais e corporativos. Os administradores podem habilitar Enterprise State Roaming para uma experiência unificada em todos os dispositivos Windows.
Simplifique a implantação e o gerenciamento – Simplifique o processo de trazer dispositivos para o Microsoft Entra ID com do Windows Autopilot, de provisionamento em massa ou autoatendimento: Experiência Fora da Caixa (OOBE). Gerencie dispositivos com ferramentas de Gerenciamento de Dispositivos Móveis (MDM), como Microsoft Intune, e suas identidades no centro de administração do Microsoft Entra .
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva as certas partes interessadas
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis em termos de impacto, resultados e responsabilidades. Para evitar essas armadilhas, garantir que você está envolvendo as partes interessadas certas, e que os papéis das partes interessadas no projeto são bem compreendidos.
Para este plano, adicione os seguintes intervenientes à sua lista:
| Funções | Descrição |
|---|---|
| Administrador de dispositivos | Um representante da equipe de dispositivos que pode verificar se o plano atende aos requisitos de dispositivo da sua organização. |
| Administrador de rede | Um representante da equipe de rede que pode se certificar de atender aos requisitos de rede. |
| Equipa de gestão de dispositivos | Equipa que gere o inventário de dispositivos. |
| Equipas de administração específicas do SO | Equipas que suportam e gerem versões específicas do SO. Por exemplo, pode haver uma equipe focada em Mac ou iOS. |
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique-se proativamente com seus usuários como a experiência deles muda, quando ela muda e como obter suporte se eles tiverem problemas.
Planeie um piloto
Recomendamos que a configuração inicial do seu método de integração esteja em um ambiente de teste ou com um pequeno grupo de dispositivos de teste. Veja Práticas recomendadas para um piloto.
Talvez você queira fazer uma implantação direcionada do de ingresso híbrido do Microsoft Entra antes de habilitá-lo em toda a organização.
Advertência
As organizações devem incluir uma amostra de usuários de diferentes funções e perfis em seu grupo piloto. Uma distribuição direcionada ajudará a identificar quaisquer problemas que seu plano possa não ter resolvido antes de habilitar para toda a organização.
Escolha os seus métodos de integração
Sua organização pode usar vários métodos de integração de dispositivos em um único locatário do Microsoft Entra. O objetivo é escolher um ou mais métodos adequados para que seus dispositivos sejam gerenciados com segurança no Microsoft Entra ID. Há muitos parâmetros que orientam essa decisão, incluindo propriedade, tipos de dispositivos, público principal e a infraestrutura da sua organização.
As informações a seguir podem ajudá-lo a decidir quais métodos de integração usar.
Árvore de decisão para integração de dispositivos
Use esta árvore para determinar opções para dispositivos de propriedade da organização.
Observação
Cenários pessoais ou BYOD (traga seu próprio dispositivo) não são retratados neste diagrama. Eles sempre resultam em um registo do Microsoft Entra.
Matriz de comparação
Os dispositivos iOS e Android são apenas registados no Microsoft Entra. A tabela a seguir apresenta considerações de alto nível para dispositivos cliente Windows. Use-o como uma visão geral e, em seguida, explore os diferentes métodos de integração em detalhes.
| Consideração | Microsoft Entra registado | Microsoft Entra juntou-se | Microsoft Entra híbrido juntou-se |
|---|---|---|---|
| de sistemas operacionais cliente | |||
| Dispositivos Windows 11 ou Windows 10 |
|
|
|
| Linux Desktop - Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| Opções de início de sessão | |||
| Credenciais locais do usuário final |
|
||
| Palavra-passe |
|
|
|
| PIN do dispositivo |
|
||
| Windows Hello |
|
||
| Windows Hello para Empresas |
|
|
|
| Chaves de segurança FIDO 2.0 |
|
|
|
| Aplicativo Microsoft Authenticator (sem senha) |
|
|
|
| Principais capacidades | |||
| SSO para recursos de nuvem |
|
|
|
| Autenticação Única para recursos locais |
|
|
|
| Acesso condicional (Exigir que os dispositivos sejam marcados como conformes) (Deve ser gerido pelo MDM) |
|
|
|
| Acesso condicional (Requer dispositivos híbridos associados ao Microsoft Entra) |
|
||
| Redefinição de senha de autoatendimento na tela de login do Windows |
|
|
|
| Redefinição do PIN do Windows Hello |
|
|
Registro do Microsoft Entra
Os dispositivos registados são frequentemente geridos com Microsoft Intune. Os dispositivos são inscritos no Intune de várias maneiras, dependendo do sistema operacional.
Os dispositivos registrados do Microsoft Entra fornecem suporte para Bring Your Own Devices (BYOD) e dispositivos corporativos para SSO para recursos de nuvem. O acesso aos recursos baseia-se nas políticas de Acesso Condicional do Microsoft Entra aplicadas ao dispositivo e ao utilizador.
Registo de dispositivos
Os dispositivos registados são frequentemente geridos com Microsoft Intune. Os dispositivos são inscritos no Intune de várias maneiras, dependendo do sistema operacional.
Os usuários instalam o aplicativo do portal da empresa para registrar BYOD e dispositivos móveis corporativos.
- iOS
- Android
- Windows 10 ou mais recente
- macOS
- Ambiente de Trabalho Linux
Se registar os seus dispositivos for a melhor opção para a sua organização, consulte os seguintes recursos:
- Esta visão geral dos dispositivos registrados Microsoft Entra.
- Esta documentação para o utilizador final sobre o registo do seu dispositivo pessoal na rede da sua organização .
associação ao Microsoft Entra
O Microsoft Entra join permite que você faça a transição para um modelo de nuvem em primeiro lugar com o Windows. Ele fornece uma excelente base se você estiver planejando modernizar o gerenciamento de dispositivos e reduzir os custos de TI relacionados ao dispositivo. O Microsoft Entra join funciona apenas com dispositivos Windows 10 ou mais recentes. Considere-o como a primeira escolha para novos dispositivos.
Dispositivos associados ao Microsoft Entra podem utilizar iniciar sessão única (SSO) para acessar recursos locais quando estão na rede da organização e podem autenticar-se em servidores locais, como servidores de arquivos, impressão e outras aplicações.
Se esta opção for melhor para a sua organização, consulte os seguintes recursos:
- Esta visão geral de dispositivos associados ao Microsoft Entra.
- Familiarize-se com o plano de implementação da adesão ao Microsoft Entra .
Provisionamento de dispositivos associados ao Microsoft Entra
Para provisionar dispositivos para ingressar no Microsoft Entra, você tem as seguintes abordagens:
- Autoatendimento: experiência de primeira execução do Windows 10
Se você tiver o Windows 10 Professional ou o Windows 10 Enterprise instalado em um dispositivo, a experiência será padronizada para o processo de configuração para dispositivos da empresa.
- A Experiência Inicial do Windows (Windows Out of Box Experience - OOBE) ou a partir das Definições do Windows
- Windows Autopilot
- Inscrição em massa
Escolha seu procedimento de implantação após uma comparação cuidadosa dessas abordagens.
Você pode determinar que o Microsoft Entra join é a melhor solução para um dispositivo em um estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado desejado do dispositivo | Como fazer |
|---|---|---|
| ** Domínio no local associado | Microsoft Entra juntou-se | Desassocie o dispositivo do domínio local antes de ingressar na ID do Microsoft Entra. |
| Microsoft Entra híbrido juntou-se | Microsoft Entra juntou-se | Desassocie o dispositivo do domínio local e da ID do Microsoft Entra antes de ingressar na ID do Microsoft Entra. |
| Microsoft Entra registado | Microsoft Entra juntou-se | Cancele o registro do dispositivo antes de ingressar na ID do Microsoft Entra. |
Ingresso híbrido do Microsoft Entra
Se tiveres um ambiente local do Active Directory e quiseres unir os teus computadores já associados ao domínio à Microsoft Entra ID, podes realizar esta tarefa com a associação híbrida do Microsoft Entra. Ele suporta uma ampla gama de dispositivos Windows.
A maioria das organizações já tem dispositivos ingressados no domínio e os gerencia por meio da Diretiva de Grupo ou do System Center Configuration Manager (SCCM). Nesse caso, recomendamos configurar a associação híbrida do Microsoft Entra para começar a obter benefícios ao usar os investimentos existentes.
Se a associação híbrida do Microsoft Entra for a melhor opção para sua organização, consulte os seguintes recursos:
- Esta visão geral de dispositivos híbridos associados ao Microsoft Entra.
- Familiarize-se com o plano de implementação de ingresso híbrido do Microsoft Entra
.
Provisionamento de adesão híbrida do Microsoft Entra nos seus dispositivos
Revise sua infraestrutura de identidade. O Microsoft Entra Connect fornece um assistente para configurar a associação híbrida do Microsoft Entra para:
Se a instalação da versão necessária do Microsoft Entra Connect não for uma opção para si, consulte como configurar manualmente a associação híbrida do Microsoft Entra.
Observação
O dispositivo Windows 10 ou mais recente, com ligação ao domínio no local, tenta juntar-se automaticamente ao Microsoft Entra ID para se tornar, por padrão, num híbrido ligado ao Microsoft Entra. Isso só terá sucesso se você tiver configurado o ambiente certo.
Você pode determinar que a associação híbrida do Microsoft Entra é a melhor solução para um dispositivo localizado num estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado desejado do dispositivo | Como fazer |
|---|---|---|
| Domínio no local integrado | Microsoft Entra híbrido juntou-se | Use o Microsoft Entra Connect ou o AD FS para ingressar no Azure. |
| Grupo de trabalho no local associado ou novo | Microsoft Entra híbrido juntou-se | Compatível com Windows Autopilot. O dispositivo precisa, caso contrário, estar associado a um domínio no local antes da associação híbrida do Microsoft Entra. |
| Microsoft Entra juntou-se | Microsoft Entra híbrido juntou-se | Desvincular-se do Microsoft Entra ID, o que coloca o dispositivo no grupo de trabalho local ou em um estado novo. |
| Microsoft Entra registada | Microsoft Entra híbrido juntou-se | Depende da versão do Windows. Ver estas considerações. |
Gerir os seus dispositivos
Depois de registrar ou associar seus dispositivos ao Microsoft Entra ID, use o do centro de administração do Microsoft Entra como um local central para gerenciar suas identidades de dispositivo. A página de dispositivos Microsoft Entra permite:
- Configure as definições do dispositivo.
- Você precisa ser um administrador local para gerenciar dispositivos Windows. O Microsoft Entra ID atualiza esta associação para dispositivos associados ao Microsoft Entra, adicionando automaticamente utilizadores com a função de gestor de dispositivos como administradores a todos os dispositivos associados.
Certifique-se de manter o ambiente limpo gerenciando dispositivos obsoletose concentre seus recursos no gerenciamento de dispositivos atuais.
Ferramentas de gestão de dispositivos suportadas
Os administradores podem proteger e controlar ainda mais os dispositivos registados e associados utilizando outras ferramentas de gestão de dispositivos. Essas ferramentas fornecem uma maneira de impor configurações, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações de software e atualizações de software.
Analise as plataformas suportadas e não suportadas para dispositivos integrados:
| Ferramentas de gestão de dispositivos | Microsoft Entra registado | Microsoft Entra juntou-se | Microsoft Entra híbrido juntou-se |
|---|---|---|---|
|
Gerenciamento de dispositivos móveis (MDM) Exemplo: Microsoft Intune |
|
|
|
|
Cogestão com o Microsoft Intune e o Microsoft Configuration Manager (Windows 10 ou mais recente) |
|
|
|
|
Política de Grupo (Apenas Windows) |
|
Recomendamos que considere de gestão de aplicações móveis (MAM) do Microsoft Intune com ou sem gestão de dispositivos para dispositivos iOS ou Android registados.
Os administradores também podem implantar plataformas de infraestrutura de área de trabalho virtual (VDI) que hospedem sistemas operativos Windows nas suas organizações para simplificar o gerenciamento e reduzir custos por meio da consolidação e centralização de recursos.