Partilhar via


Gerenciar identidades de dispositivo usando o centro de administração do Microsoft Entra

O Microsoft Entra ID fornece um local central para gerenciar identidades de dispositivos e monitorar informações de eventos relacionadas.

Captura de tela que mostra a visão geral dos dispositivos.

Você pode acessar a visão geral dos dispositivos concluindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como um usuário com pelo menos permissões de usuário padrão.
  2. Vá para Visão geral de dispositivos>de identidade>.

Na visão geral de dispositivos, você pode exibir o número total de dispositivos, dispositivos obsoletos, dispositivos não compatíveis e dispositivos não gerenciados. Ele fornece links para Intune, Acesso Condicional, chaves BitLocker e monitoramento básico. Outros recursos, como o Acesso Condicional e o Microsoft Intune, exigem atribuições de função adicionais

As contagens de dispositivos na página de visão geral não são atualizadas em tempo real. As alterações devem ser refletidas a cada poucas horas.

A partir daí, você pode ir para Todos os dispositivos para:

  • Identificar dispositivos, incluindo:
  • Conclua tarefas de gerenciamento de identidade de dispositivo, como habilitar, desabilitar, excluir e gerenciar.
    • As opções de gerenciamento para impressoras e Windows Autopilot são limitadas no Microsoft Entra ID. Esses dispositivos devem ser gerenciados a partir de suas respetivas interfaces de administração.
  • Configure as definições de identidade do dispositivo.
  • Habilite ou desabilite o roaming de estado corporativo.
  • Analise os registos de auditoria relativos ao dispositivo.
  • Transferir dispositivos.

Captura de ecrã que mostra a vista Todos os dispositivos.

Gorjeta

  • O Microsoft Entra híbrido ingressou no Windows 10 ou dispositivos mais recentes não têm um proprietário, a menos que o usuário principal esteja definido no Microsoft Intune. Se estiver à procura de um dispositivo por proprietário e não o encontrar, pesquise pelo ID do dispositivo.

  • Se vir um dispositivo que é Microsoft Entra híbrido associado com um estado de Pendente na coluna Registado , o dispositivo foi sincronizado a partir do Microsoft Entra Connect e está à espera de concluir o registo do cliente. Consulte Como planejar sua implementação de associação híbrida do Microsoft Entra. Para obter mais informações, consulte Perguntas frequentes sobre gerenciamento de dispositivos.

  • Para alguns dispositivos iOS, os nomes de dispositivos que contêm apóstrofos podem usar caracteres diferentes que se parecem com apóstrofos. Portanto, procurar por esses dispositivos é um pouco complicado. Se não vir os resultados corretos da pesquisa, certifique-se de que a cadeia de pesquisa contém o caractere apóstrofo correspondente.

Gerir um dispositivo Intune

Se tiver direitos para gerir dispositivos no Intune, pode gerir dispositivos para os quais a gestão de dispositivos móveis está listada como Microsoft Intune. Se o dispositivo não estiver inscrito no Microsoft Intune, a opção Gerir não estará disponível.

Ativar ou desativar um dispositivo Microsoft Entra

Há duas maneiras de habilitar ou desabilitar dispositivos:

  • A barra de ferramentas na página Todos os dispositivos , depois de selecionar um ou mais dispositivos.
  • A barra de ferramentas, depois de detalhar para um dispositivo específico.

Importante

  • Tem de ser um Administrador do Intune ou um Administrador de Dispositivos na Nuvem para ativar ou desativar um dispositivo.
  • A desativação de um dispositivo impede que ele se autentique por meio do Microsoft Entra ID. Isso impede que ele acesse seus recursos do Microsoft Entra protegidos pelo Acesso Condicional baseado em dispositivo e use as credenciais do Windows Hello for Business.
  • A desativação de um dispositivo revoga o PRT (Primary Refresh Token) e quaisquer tokens de atualização no dispositivo.
  • As impressoras não podem ser ativadas ou desativadas no Microsoft Entra ID.

Excluir um dispositivo Microsoft Entra

Há duas maneiras de excluir um dispositivo:

  • A barra de ferramentas na página Todos os dispositivos , depois de selecionar um ou mais dispositivos.
  • A barra de ferramentas, depois de detalhar para um dispositivo específico.

Importante

  • Tem de ser um Administrador de Dispositivos na Nuvem, um Administrador do Intune ou um Administrador do Windows 365 para eliminar um dispositivo.
  • As impressoras não podem ser eliminadas antes de serem eliminadas do Universal Print.
  • Os dispositivos Windows Autopilot não podem ser excluídos antes de serem excluídos do Intune.
  • Eliminar um dispositivo:
    • Impede que ele acesse seus recursos do Microsoft Entra.
    • Remove todos os detalhes anexados ao dispositivo. Por exemplo, chaves BitLocker para dispositivos Windows.
    • É uma atividade irrecuperável. Não recomendamos a menos que seja necessário.

Se um dispositivo for gerido noutra autoridade de gestão, como o Microsoft Intune, certifique-se de que foi apagado ou retirado antes de o eliminar. Consulte Como gerenciar dispositivos obsoletos antes de excluir um dispositivo.

Ver ou copiar um ID de dispositivo

Você pode usar uma ID de dispositivo para verificar os detalhes da ID do dispositivo no dispositivo ou para solucionar problemas via PowerShell. Para acessar a opção de cópia, selecione o dispositivo.

Captura de ecrã que mostra um ID de dispositivo e o botão de cópia.

Ver ou copiar chaves BitLocker

Você pode exibir e copiar chaves do BitLocker para permitir que os usuários recuperem unidades criptografadas. Essas chaves estão disponíveis apenas para dispositivos Windows criptografados e armazenam suas chaves no Microsoft Entra ID. Pode encontrar estas chaves quando visualiza os detalhes de um dispositivo selecionando Mostrar Chave de Recuperação. Selecionar Mostrar chave de recuperação gera uma entrada de log de auditoria, que você pode encontrar na KeyManagement categoria.

Captura de ecrã que mostra como ver chaves BitLocker.

Para exibir ou copiar chaves do BitLocker, você precisa ser o proprietário do dispositivo ou ter uma destas funções:

Nota

Quando os dispositivos que utilizam o Windows Autopilot são reutilizados e há um novo proprietário do dispositivo, esse novo proprietário do dispositivo deve entrar em contato com um administrador para adquirir a chave de recuperação do BitLocker para esse dispositivo. Os administradores com escopo de função personalizada ou unidade administrativa perderão o acesso às chaves de recuperação do BitLocker para os dispositivos que sofreram alterações de propriedade do dispositivo. Esses administradores com escopo precisarão entrar em contato com um administrador sem escopo para obter as chaves de recuperação. Para obter mais informações, consulte o artigo Localizar o utilizador principal de um dispositivo Intune.

Ver e filtrar os seus dispositivos

Você pode filtrar a lista de dispositivos por estes atributos:

  • Estado ativado
  • Estado compatível
  • Tipo de ingresso (Microsoft Entra ingressado, Microsoft Entra híbrido ingressado, Microsoft Entra registrado)
  • Carimbo de data/hora da atividade
  • Tipo de SO e versão do SO
  • Tipo de dispositivo (impressora, VM segura, dispositivo compartilhado, dispositivo registrado)
  • MDM
  • Autopilot
  • Atributos da extensão
  • Unidade administrativa
  • Proprietário

Baixar dispositivos

Os Administradores de Dispositivos na Nuvem e os Administradores do Intune podem utilizar a opção Transferir dispositivos para exportar um ficheiro CSV que lista dispositivos. Você pode aplicar filtros para determinar quais dispositivos listar. Se você não aplicar nenhum filtro, todos os dispositivos serão listados. Uma tarefa de exportação pode ser executada por até uma hora, dependendo das suas seleções. Se a tarefa de exportação exceder 1 hora, ela falhará e nenhum arquivo será gerado.

A lista exportada inclui estes atributos de identidade de dispositivo:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Os seguintes filtros podem ser aplicados para a tarefa de exportação:

  • Estado ativado
  • Estado compatível
  • Tipo de associação
  • Carimbo de data/hora da atividade
  • Tipo de SO
  • Tipo de dispositivo

Definir configurações do dispositivo

Se você quiser gerenciar identidades de dispositivo usando o centro de administração do Microsoft Entra, os dispositivos precisam ser registrados ou associados à ID do Microsoft Entra. Como administrador, você pode controlar o processo de registro e ingresso de dispositivos definindo as seguintes configurações de dispositivo.

Você deve receber uma das seguintes funções para ler ou modificar as configurações do dispositivo:

Captura de ecrã que mostra as definições do dispositivo relacionadas com o Microsoft Entra ID.

  • Os usuários podem ingressar dispositivos na ID do Microsoft Entra: essa configuração permite que você selecione os usuários que podem registrar seus dispositivos como dispositivos associados ao Microsoft Entra. O padrão é Todos.

    Nota

    Os Usuários podem ingressar dispositivos no Microsoft Entra ID configuração é aplicável apenas ao Microsoft Entra ingressar no Windows 10 ou mais recente. Essa configuração não se aplica a dispositivos associados híbridos do Microsoft Entra, VMs ingressadas do Microsoft Entra no Azure ou dispositivos ingressados do Microsoft Entra que usam o modo de autoimplantação do Windows Autopilot porque esses métodos funcionam em um contexto sem usuário.

  • Os usuários podem registrar seus dispositivos com o Microsoft Entra ID: você precisa definir essa configuração para permitir que os usuários registrem dispositivos pessoais, iOS, Android e macOS do Windows 10 ou mais recentes com o Microsoft Entra ID. Se você selecionar Nenhum, os dispositivos não terão permissão para se registrar com o Microsoft Entra ID. A inscrição no Microsoft Intune ou no gerenciamento de dispositivos móveis para o Microsoft 365 requer registro. Se você configurou qualquer um desses serviços, ALL será selecionado e NONE não estará disponível.

  • Exigir autenticação multifator para registrar ou ingressar dispositivos com o Microsoft Entra ID:

    • Recomendamos que as organizações usem a ação de usuário Registrar ou ingressar em dispositivos no Acesso Condicional para impor a autenticação multifator. Você deve configurar essa alternância para Não se usar uma política de Acesso Condicional para exigir autenticação multifator.
    • Essa configuração permite especificar se os usuários precisam fornecer outro fator de autenticação para ingressar ou registrar seus dispositivos no Microsoft Entra ID. O padrão é Não. Recomendamos que você exija autenticação multifator quando um dispositivo for registrado ou ingressado. Antes de habilitar a autenticação multifator para este serviço, você deve garantir que a autenticação multifator esteja configurada para usuários que registram seus dispositivos. Para obter mais informações sobre os serviços de autenticação multifator do Microsoft Entra, consulte Introdução à autenticação multifator do Microsoft Entra. Essa configuração pode não funcionar com provedores de identidade de terceiros.

    Nota

    A configuração Exigir autenticação multifator para registrar ou ingressar dispositivos com ID do Microsoft Entra aplica-se a dispositivos que são registrados no Microsoft Entra (com algumas exceções) ou no Microsoft Entra. Essa configuração não se aplica a dispositivos associados híbridos do Microsoft Entra, VMs ingressadas do Microsoft Entra no Azure ou dispositivos ingressados do Microsoft Entra que usam o modo de autoimplantação do Windows Autopilot.

  • Número máximo de dispositivos: esta definição permite-lhe selecionar o número máximo de dispositivos registados no Microsoft Entra ou no Microsoft Entra que um utilizador pode ter no Microsoft Entra ID. Se os usuários atingirem esse limite, não poderão adicionar mais dispositivos até que um ou mais dos dispositivos existentes sejam removidos. O valor padrão é 50. Você pode aumentar o valor até 100. Se introduzir um valor acima de 100, o ID do Microsoft Entra define-o como 100. Você também pode usar Ilimitado para impor nenhum limite além dos limites de cota existentes.

    Nota

    A configuração Número máximo de dispositivos aplica-se a dispositivos que são associados ao Microsoft Entra ou registrados no Microsoft Entra. Essa configuração não se aplica aos dispositivos associados híbridos do Microsoft Entra.

  • Gerenciar administradores locais adicionais em dispositivos ingressados no Microsoft Entra: essa configuração permite selecionar os usuários aos quais são concedidos direitos de administrador local em um dispositivo. Esses usuários são adicionados à função Administradores de Dispositivo na ID do Microsoft Entra.

  • Habilite o Microsoft Entra Local Administrator Password Solution (LAPS) (visualização): LAPS é o gerenciamento de senhas de contas locais em dispositivos Windows. O LAPS fornece uma solução para gerenciar e recuperar com segurança a senha de administrador local integrada. Com a versão em nuvem do LAPS, os clientes podem habilitar o armazenamento e a rotação de senhas de administrador local para dispositivos de ingresso híbrido Microsoft Entra ID e Microsoft Entra. Para saber como gerenciar o LAPS no Microsoft Entra ID, consulte o artigo de visão geral.

  • Impedir que usuários não administradores recuperem a(s) chave(s) do BitLocker para seus dispositivos próprios: os administradores podem bloquear o acesso à chave BitLocker de autoatendimento ao proprietário registrado do dispositivo. Os usuários padrão sem a permissão de leitura do BitLocker não conseguem exibir ou copiar sua(s) chave(s) do BitLocker para seus dispositivos próprios. Você deve ser pelo menos um Administrador de Função Privilegiada para atualizar essa configuração.

  • Enterprise State Roaming: Para obter informações sobre essa configuração, consulte o artigo de visão geral.

Registos de auditoria

As atividades do dispositivo são visíveis nos registros de atividades. Esses logs incluem atividades acionadas pelo serviço de registro de dispositivo e pelos usuários:

  • Criação de dispositivos e adição de proprietários/utilizadores no dispositivo
  • Alterações nas configurações do dispositivo
  • Operações do dispositivo, como excluir ou atualizar um dispositivo
  • Operações em massa, como baixar todos os dispositivos

Nota

Ao executar operações em massa, como importar ou criar, você pode encontrar um problema se a operação em massa não for concluída dentro de uma hora. Para contornar esse problema, recomendamos dividir o número de registros processados por lote. Por exemplo, antes de iniciar uma exportação, você pode limitar o conjunto de resultados filtrando um tipo de grupo ou nome de usuário para reduzir o tamanho dos resultados. Ao refinar seus filtros, essencialmente você está limitando os dados retornados pela operação em massa. Para obter mais informações, consulte Limitações do serviço de operações em massa.

O ponto de entrada para os dados de auditoria é Logs de auditoria na seção Atividade da página Dispositivos .

O log de auditoria tem uma exibição de lista padrão que mostra:

  • A data e hora da ocorrência.
  • Os alvos.
  • O iniciador/ator de uma atividade.
  • A atividade.

Captura de ecrã que mostra uma tabela na secção Atividade da página Dispositivos. A tabela mostra a data, o destino, o ator e a atividade de quatro logs de auditoria.

Você pode personalizar o modo de exibição de lista selecionando Colunas na barra de ferramentas:

Captura de ecrã que mostra a barra de ferramentas da página Dispositivos.

Para reduzir os dados relatados a um nível que funcione para você, você pode filtrá-los usando estes campos:

  • Categoria
  • Tipo de recurso de atividade
  • Atividade
  • Intervalo de Datas
  • Destino
  • Iniciado por (Ator)

Você também pode pesquisar entradas específicas.

Captura de tela que mostra os controles de filtragem de dados de auditoria.

Próximos passos