Planeje sua implementação de ingresso híbrido do Microsoft Entra
Se tiver um ambiente local dos Serviços de Domínio Active Directory (AD DS) e quiser ligar os seus computadores associados ao domínio do AD DS ao Microsoft Entra ID, poderá realizar esta tarefa fazendo a associação híbrida do Microsoft Entra.
Dica
O acesso SSO a recursos no local também está disponível para dispositivos com junção ao Microsoft Entra. Para obter mais informações, consulte Como funciona o SSO para recursos locais em dispositivos associados do Microsoft Entra.
Pré-requisitos
Este artigo pressupõe que você esteja familiarizado com a Introdução ao gerenciamento de identidade de dispositivo no Microsoft Entra ID.
Observação
A versão mínima necessária do controlador de domínio (DC) para o Windows 10 ou mais recente Microsoft Entra associação híbrida é o Windows Server 2008 R2.
Os dispositivos híbridos associados ao Microsoft Entra necessitam de visibilidade de rede periódica para os controladores de domínio. Sem esta ligação, os dispositivos tornam-se inutilizáveis.
Os cenários que quebram sem linha de visão para os controladores de domínio incluem:
- Alteração da palavra-passe do dispositivo
- Alteração de senha de usuário (credenciais armazenadas em cache)
- Redefinição do TPM (Trusted Platform Module)
Planeie a sua implementação
Para planejar sua implementação híbrida do Microsoft Entra, familiarize-se com:
- Verificar os dispositivos suportados
- Reveja o que precisa saber
- Revisar a implantação direcionada da integração híbrida da Microsoft Entra
- Selecione seu cenário com base em sua infraestrutura de identidade
- Revise o suporte UPN (nome principal de usuário) do Microsoft Windows Server Ative Directory local para ingresso híbrido do Microsoft Entra
Verificar os dispositivos suportados
A associação híbrida Microsoft Entra suporta uma ampla gama de dispositivos Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Observação: clientes de nuvem do Azure National exigem a versão 1803
- Windows Server 2019
Como prática recomendada, a Microsoft recomenda que você atualize para a versão mais recente do Windows.
Reveja as coisas que precisa saber
Cenários sem suporte
- A associação híbrida do Microsoft Entra não é suportada para o Windows Server que executa a função de Controlador de Domínio (DC).
- O Server Core OS não suporta nenhum tipo de registro de dispositivo.
- A Ferramenta de Migração de Estado do Usuário (USMT) não funciona com o registro de dispositivos.
Considerações sobre imagens do SO
Se estiveres a confiar na Ferramenta de Preparação do Sistema (Sysprep) e a usar uma imagem versão anterior ao Windows 10 1809 para instalação, certifica-te de que essa imagem não é de um dispositivo já registado como associado ao Microsoft Entra ID híbrido.
Se estiver a confiar num instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não é de uma VM que já esteja registada no Microsoft Entra ID como aderida de forma híbrida ao Microsoft Entra.
Se estiver a usar Filtro de Gravação Unificado e tecnologias semelhantes que eliminem as alterações no disco na reinicialização, elas deverão ser aplicadas depois que o dispositivo estiver associado ao Microsoft Entra Híbrido. Habilitar essas tecnologias antes da conclusão da associação híbrida do Microsoft Entra resulta na desassociação do dispositivo a cada reinicialização.
Gerenciando dispositivos com o estado registrado do Microsoft Entra
Se os seus dispositivos associados ao domínio do Windows 10 ou mais recentes forem registado do Microsoft Entra para o seu inquilino, isso poderá levar a um estado duplo de dispositivo registado híbrido Microsoft Entra e Microsoft Entra. Recomendamos atualizar para o Windows 10 1803 (com KB4489894 aplicado) ou mais recente para resolver automaticamente esse cenário. Nas versões anteriores ao 1803, você precisa remover o estado registrado do Microsoft Entra manualmente antes de habilitar a associação híbrida do Microsoft Entra. Em 1803 e versões anteriores, as seguintes alterações foram feitas para evitar este estado duplo:
- Qualquer estado registrado do Microsoft Entra existente para um usuário será removido automaticamente depois que o dispositivo for associado ao Microsoft Entra híbrido e o mesmo usuário fizer login. Por exemplo, se o Usuário A tiver um estado registrado do Microsoft Entra no dispositivo, o estado duplo do Usuário A será limpo somente quando o Usuário A fizer login no dispositivo. Se houver vários usuários no mesmo dispositivo, o estado duplo será limpo individualmente quando esses usuários entrarem. Depois de um administrador remover o estado de registo do Microsoft Entra, o Windows 10 desinscreverá o dispositivo do Intune ou de outro sistema de gestão de dispositivos móveis (MDM), se a inscrição tiver ocorrido como parte do registo do Microsoft Entra através do registo automático.
- O estado registado do Microsoft Entra em qualquer conta local no dispositivo não é afetado por esta alteração. Aplicável apenas a contas de domínio. O estado registado do Microsoft Entra nas contas locais não é removido automaticamente mesmo após o início de sessão do utilizador, uma vez que o utilizador não é um utilizador de domínio.
- Pode impedir que o seu dispositivo associado ao domínio seja registado com o Microsoft Entra ao adicionar o seguinte valor de registo a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- No Windows 10 1803, se você tiver o Windows Hello for Business configurado, o usuário precisará reconfigurar o Windows Hello for Business após a limpeza de estado duplo. Este problema é resolvido com KB4512509.
Observação
Embora o Windows 10 e o Windows 11 removam automaticamente o estado registado do Microsoft Entra localmente, o objeto de dispositivo no Microsoft Entra ID não é excluído imediatamente se for gerido pelo Intune. Você pode validar a remoção do estado registrado do Microsoft Entra executando dsregcmd /status.
Ingresso híbrido do Microsoft Entra para uma floresta única, múltiplos inquilinos do Microsoft Entra
Para registar dispositivos como parte do funcionamento híbrido do Microsoft Entra nos respetivos inquilinos, as organizações precisam garantir que a configuração do Ponto de Conexão de Serviço (SCP) seja feita nos dispositivos e não no Active Directory do Microsoft Windows Server. Mais detalhes sobre como realizar esta tarefa podem ser encontrados no artigo Microsoft Entra hybrid join targeted deployment. É importante que as organizações entendam que determinados recursos do Microsoft Entra não funcionam em configurações de uma única floresta com múltiplos tenants do Microsoft Entra.
- O writeback do dispositivo não funciona. Essa configuração afeta Acesso Condicional baseado em Dispositivo para aplicativos locais federados usando o AD FS. Essa configuração também afeta implantação do Windows Hello for Business ao usar o modelo Hybrid Cert Trust.
- de write-back do Groups não funciona. Essa configuração afeta o write-back dos Grupos do Office 365 em uma floresta com o Exchange instalado.
- SSO transparente não funciona. Essa configuração afeta cenários de SSO em organizações que usam plataformas de navegador como iOS ou Linux com Firefox, Safari ou Chrome sem a extensão do Windows 10.
- Proteção por Senha local do Microsoft Entra não funciona. Essa configuração afeta a capacidade de fazer alterações de senha e eventos de redefinição de senha em controladores de domínio dos Serviços de Domínio Ative Directory (AD DS) locais usando as mesmas listas de senhas proibidas globais e personalizadas armazenadas no Microsoft Entra ID.
Outras considerações
Se o seu ambiente usa VDI (infraestrutura de área de trabalho virtual), consulte Identidade de dispositivo e virtualização de área de trabalho.
A associação híbrida do Microsoft Entra é suportada para TPM 2.0, em conformidade com o Federal Information Processing Standard (FIPS), e não é suportada para TPM 1.2. Se seus dispositivos tiverem TPM 1.2 compatível com FIPS, você deverá desativá-los antes de prosseguir com a associação híbrida do Microsoft Entra. A Microsoft não fornece nenhuma ferramenta para desabilitar o modo FIPS para TPMs, pois ele depende do fabricante do TPM. Entre em contato com o OEM de hardware para obter suporte.
A partir do lançamento do Windows 10 versão 1903, o TPM versão 1.2 não é usado com a associação híbrida do Microsoft Entra e os dispositivos com esses TPMs são tratados como se não tivessem um TPM.
As alterações UPN só são suportadas a partir da atualização do Windows 10 2004. Para dispositivos anteriores à atualização do Windows 10 2004, os usuários podiam ter problemas de SSO e Acesso Condicional em seus dispositivos. Para resolver esse problema, você precisa desingressar o dispositivo do Microsoft Entra ID (execute "dsregcmd /leave" com privilégios elevados) e reingressar (acontece automaticamente). No entanto, os utilizadores que iniciam sessão com o Windows Hello para Empresas não enfrentam este problema.
Analisar a associação híbrida direcionada do Microsoft Entra
As organizações podem querer fazer uma distribuição direcionada da associação híbrida do Microsoft Entra antes de habilitá-la para toda a organização. Consulte o artigo ingresso híbrido de implantação direcionada do Microsoft Entra para entender como realizá-lo.
Advertência
As organizações devem incluir uma amostra de usuários de diferentes funções e perfis em seu grupo piloto. Uma distribuição direcionada ajuda a identificar quaisquer problemas que seu plano possa não resolver antes de habilitar para toda a organização.
Selecione seu cenário com base em sua infraestrutura de identidade
A associação híbrida do Microsoft Entra funciona com ambientes gerenciados e federados, dependendo se o UPN é roteável ou não roteável. Consulte a parte inferior da página para obter uma tabela sobre os cenários suportados.
Ambiente gerenciado
Um ambiente gerenciado pode ser implantado por meio de PHS (Password Hash Sync) ou Pass Through Authentication (PTA) com de logon único contínuo.
Esses cenários não exigem que você configure um servidor de federação para autenticação (AuthN).
Observação
autenticação na nuvem usando o de distribuição em estágios só é suportada a partir da atualização do Windows 10 1903.
Ambiente federado
Um ambiente federado deve ter um provedor de identidade que ofereça suporte aos seguintes requisitos. Se você tiver um ambiente federado usando os Serviços de Federação do Ative Directory (AD FS), os requisitos abaixo já são suportados.
WS-Trust protocolo: Este protocolo é necessário para autenticar dispositivos Windows com junção híbrida do Microsoft Entra com o Microsoft Entra ID. Ao utilizares o AD FS, precisas ativar os seguintes endpoints WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Advertência
Ambos os adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport devem ser habilitados apenas como pontos de extremidade voltados para a intranet e NÃO devem ser expostos como pontos de extremidade voltados para a extranet por meio do Proxy de Aplicativo Web. Para saber mais sobre como desativar WS-Trust pontos de extremidade do Windows, veja Desativar WS-Trust pontos de extremidade do Windows no proxy. Você pode ver quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Service>Endpoints.
A partir da versão 1.1.819.0, o Microsoft Entra Connect fornece um assistente para configurar a associação híbrida do Microsoft Entra. O assistente permite simplificar significativamente o processo de configuração. Se a instalação da versão necessária do Microsoft Entra Connect não for uma opção para você, consulte Como configurar manualmente o registro do dispositivo. Se contoso.com estiver registrado como um domínio personalizado confirmado, os usuários poderão obter um PRT mesmo que o sufixo AD DS UPN local sincronizado esteja em um subdomínio como test.contoso.com.
Revise o suporte UPN de usuários locais do Microsoft Windows Server Ative Directory para ingresso híbrido do Microsoft Entra
- UPN de usuários roteáveis: um UPN roteável tem um domínio verificado válido que está registrado em um registrador de domínios. Por exemplo, se contoso.com for o domínio primário na ID do Microsoft Entra, contoso.org será o domínio primário no AD local de propriedade da Contoso e verificado no Microsoft Entra ID.
- UPN de usuários não roteáveis: um UPN não roteável não tem um domínio verificado e é aplicável somente na rede privada da sua organização. Por exemplo, se contoso.com for o domínio primário no Microsoft Entra ID e contoso.local for o domínio primário no AD local, mas não for um domínio verificável na Internet e for utilizado apenas na rede interna da Contoso.
Observação
As informações nesta seção aplicam-se apenas a um UPN de usuários locais. Não é aplicável a um sufixo de domínio de computador local (exemplo: computer1.contoso.local).
A tabela a seguir fornece detalhes sobre o suporte para esses UPNs do Diretório Ativo no Windows Server Microsoft em instalações locais do Windows 10 numa associação híbrida do Microsoft Entra:
| Tipo de UPN do Ative Directory do Microsoft Windows Server local | Tipo de domínio | Versão do Windows 10 | Descrição |
|---|---|---|---|
| Roteável | Federado | A partir do lançamento de 1703 | Disponível ao público em geral |
| Não roteável | Federado | A partir da edição de 1803 | Disponível ao público em geral |
| Encaminhável | Gerenciado | A partir da versão de 1803 | Geralmente disponível, o Microsoft Entra SSPR na tela de bloqueio do Windows não é suportado em ambientes onde o UPN local é diferente do UPN do Microsoft Entra. O UPN local deve ser sincronizado com o atributo onPremisesUserPrincipalName no Microsoft Entra ID |
| Não roteável | Gerenciado | Não suportado |