O que é o Microsoft Entra join?
Agora já tem mais conhecimentos sobre a identidade de dispositivos e o Acesso Condicional. Você deseja investigar a associação do Microsoft Entra e como usá-la para melhorar o gerenciamento de dispositivos para os Serviços de Domínio Ative Directory do Azure e locais.
Nesta unidade, você aprenderá sobre o Microsoft Entra join e como usá-lo para infraestrutura e gerenciamento de dispositivos.
Noções básicas do Microsoft Entra join
Com a associação do Microsoft Entra, você pode unir dispositivos à sua organização do Microsoft Entra sem precisar sincronizar com uma instância local do Ative Directory. O Microsoft Entra join é mais adequado para organizações que são principalmente baseadas na nuvem, embora possa operar em uma nuvem híbrida e ambiente local.
Dispositivos suportados
O Microsoft Entra join funciona com dispositivos Windows 10, Windows 11 ou Windows Server 2019. A instalação do Windows Server 2019 Server Core não é suportada. Se estiver a utilizar um sistema operativo Windows anterior, terá de atualizar para o Windows 10, Windows 11 ou Windows Server 2019.
Infraestrutura de identidade
Determine qual é o modelo de infraestrutura de identidade que melhor suporta as necessidades da sua organização:
- Ambiente gerenciado: esse ambiente usa autenticação de passagem ou sincronização de hash de senha para fornecer logon único (SSO) para seus dispositivos.
- Ambientes federados: esses ambientes exigem o uso de um provedor de identidade. Esse provedor deve oferecer suporte aos protocolos WS-Trust e WS-Fed para que a junção do Microsoft Entra funcione nativamente com dispositivos Windows. O WS-Fed é necessário para associar um dispositivo ao Microsoft Entra ID. O WS-Trust é necessário para entrar em um dispositivo associado ao Microsoft Entra.
- Cartões inteligentes e autenticação baseada em certificados: esses métodos não são maneiras válidas de unir dispositivos ao Microsoft Entra ID. No entanto, se você tiver os Serviços de Federação do Ative Directory configurados, poderá usar cartões inteligentes para entrar em dispositivos ingressados no Microsoft Entra. Recomendamos que você use um serviço como o Windows Hello for Business, que oferece suporte à autenticação sem senha para dispositivos Windows 10 e Windows 11.
- Configuração manual do usuário: se você criar usuários em sua instância local do Ative Directory, precisará sincronizar as contas com o ID do Microsoft Entra usando o Microsoft Entra Connect. Se você criar usuários no Microsoft Entra ID, nenhuma configuração adicional será necessária.
Gestão de dispositivos
O Microsoft Entra join usa a plataforma de gerenciamento de dispositivos móveis (MDM) para gerenciar dispositivos conectados ao Microsoft Entra ID. O MDM fornece um meio de impor configurações necessárias à organização, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações de software e atualizações de software.
As versões mais recentes do Windows 10 e Windows 11 têm um cliente MDM integrado que funciona com todos os sistemas MDM compatíveis.
Há duas abordagens para gerenciar seus dispositivos associados ao Microsoft Entra:
Somente MDM: todos os dispositivos associados são gerenciados exclusivamente por meio de um provedor de MDM, como o Intune. Se a sua organização utilizar políticas de grupo, terá de rever a sua política de MDM para obter suporte.
Cogerenciamento: todos os dispositivos associados usam uma combinação de um agente do System Center Configuration Manager instalado localmente e seu provedor de MDM. O Microsoft Intune proporciona capacidades de cogestão com recurso ao Configuration Manager. Você pode usar o Configuration Manager para gerenciar o dispositivo enquanto o MDM fornece políticas de gerenciamento de usuários.
Recomendamos que você use a abordagem somente MDM para gerenciar todos os dispositivos associados ao Microsoft Entra.
Aspetos a considerar em relação ao acesso a recursos e aplicações
Para obter a melhor experiência de utilizador e melhorar o acesso à aplicação, pondere transferir todas as aplicações e recursos para o Azure. Embora isso possa ser possível em alguns casos, nem sempre é prático fazê-lo. Nesta secção, vamos explorar as opções de acesso às aplicações e recursos:
Aplicativos baseados em nuvem: todos os aplicativos migrados e todos os novos aplicativos serão adicionados à galeria de aplicativos do Microsoft Entra. Os usuários de ingresso do Microsoft Entra podem usar o SSO para acessar esses aplicativos. A maioria dos browsers suporta o SSO. Microsoft Entra join fornece suporte SSO para acesso de dispositivo a aplicativos que ainda estão usando o Win32.
Aplicativos Web locais: você ainda pode acessar qualquer software personalizado ou personalizado hospedado no local por meio da associação do Microsoft Entra. Para aceder a essas aplicações, cada utilizador tem de adicionar a aplicação aos sites ou zona de Intranet fidedignos, consoante o local onde a aplicação se encontra. Esta ação permite que a aplicação utilize a autenticação integrada no Windows, pelo que não é pedido ao utilizador que proceda à autenticação.
Outros dispositivos: esta opção inclui aplicações existentes através de protocolos anteriores e partilhas de rede no local. Ambos estão disponíveis para dispositivos associados ao Microsoft Entra por meio de SSO se o dispositivo estiver conectado ao controlador de domínio.
Recursos da impressora: esses recursos não estarão disponíveis automaticamente por meio da associação do Microsoft Entra. Os usuários ainda podem se conectar a uma impressora diretamente usando seu caminho UNC.
Opções de aprovisionamento
Ao implantar a associação do Microsoft Entra, você tem três opções de como os dispositivos são provisionados e ingressados na ID do Microsoft Entra:
Autoatendimento: Requer que os usuários configurem manualmente o dispositivo durante a OOBE (experiência pronta para uso) do Windows para novos dispositivos ou usando as configurações do Windows para dispositivos mais antigos. Esta abordagem é mais adequada para os utilizadores que dispõem de bastantes conhecimentos técnicos.
Windows Autopilot: Permite pré-configurar dispositivos Windows, incluindo a associação automática do dispositivo à sua organização do Ative Directory, o registro automático de MDM e a criação de conteúdo OOBE do cliente. Esta abordagem simplifica a gestão e a implementação de dispositivos em toda a organização. Você pode provisionar e implantar seus dispositivos Windows. O utilizador conclui a OOBE como se fosse um novo utilizador.
Registro em massa: permite configurar um pacote de provisionamento que se aplica a um grande número de novos dispositivos Windows ao mesmo tempo.
A tabela seguinte mostra as principais caraterísticas de cada abordagem:
| Caraterística | Serviço de gestão personalizada | Windows Autopilot | Inscrição em massa |
|---|---|---|---|
| Interação do utilizador durante a configuração | Sim | Sim | No |
| Envolvimento de TI | Não | Sim | Sim |
| Fluxos aplicáveis | OOBE e definições | Apenas OOBE | Apenas OOBE |
| Direitos de administrador local para o utilizador primário | Sim | Configurável | Não |
| Suporte OEM obrigatório | Não | Sim | No |
Definições do dispositivo
No portal do Azure, você pode controlar como os novos dispositivos são associados à sua organização. Vá para Configurações do dispositivo Microsoft Entra ID>Devices.> A partir daí, você pode configurar os seguintes recursos e ativar a associação do Microsoft Entra.
| Campo | Descrição |
|---|---|
| Os usuários podem ingressar dispositivos no Microsoft Entra ID | Todos permite que qualquer utilizador associe o respetivo dispositivo. Selecionados permite-lhe adicionar utilizadores específicos que podem associar dispositivos. Nenhum impede todos os utilizadores de associarem os respetivos dispositivos. |
| Administradores locais adicionais em dispositivos associados ao Microsoft Entra | Permite-lhe especificar outros utilizadores a incluir como administradores locais em todos os dispositivos associados. Por predefinição, esta opção está ativada. O Microsoft Entra ID adiciona as funções de administrador global e administrador de dispositivo como administradores locais em dispositivos. |
| Os usuários podem registrar seus dispositivos com o Microsoft Entra ID | Permite que os usuários registrem seus dispositivos com o Microsoft Entra join. Se estiver a utilizar o Microsoft Intune ou a gestão de dispositivos móveis do Microsoft 365, o registo dos dispositivos será obrigatório. Se qualquer um desses serviços estiver configurado em sua organização do Microsoft Entra, Tudo será selecionado e essa opção será desabilitada. |
| Exigir autenticação multifator para ingressar em dispositivos | Permite impor a autenticação multifator do Microsoft Entra quando o dispositivo ingressa no Microsoft Entra ID. Para usuários que ingressam dispositivos no Microsoft Entra ID usando autenticação multifator, o próprio dispositivo se torna um segundo fator. |
| Número máximo de dispositivos por utilizador | Permite especificar o número máximo de dispositivos que um usuário pode ter no Microsoft Entra ID. Se um utilizador atingir este máximo, terá de remover um dispositivo para adicionar um novo. |
No nosso cenário, podemos adicionar um grupo-piloto de utilizadores para experimentar a associação ao AAD. Nesse caso, escolha Usuários podem ingressar dispositivos no Microsoft Entra ID>Selecionado e, em seguida, adicione membros do seu grupo piloto. Quando estiver pronto para implantar o Microsoft Entra join em toda a sua organização do Microsoft Entra, selecione Todos.
Definições de mobilidade
Pode ter de adicionar um fornecedor MDM antes de configurar as definições de mobilidade. Para adicionar seu provedor de MDM, vá para Microsoft Entra ID>Mobility (MDM e MAM)>Adicionar aplicativo.
Depois de adicionar seu provedor de MDM, você pode definir as seguintes configurações de mobilidade:
| Definição de mobilidade | descrição |
|---|---|
| Âmbito do utilizador MDM | Selecione Nenhum, Alguns ou Todos. Se o usuário estiver no escopo do MDM e você tiver uma assinatura do Microsoft Entra ID P1 ou P2, o registro do MDM será automatizado junto com a associação do Microsoft Entra. Todos os utilizadores no âmbito têm de ter uma licença adequada para a MDM. Caso contrário, o registro do MDM falhará e a associação do Microsoft Entra será revertida. Se o usuário não estiver no escopo do MDM, a associação do Microsoft Entra será concluída sem qualquer registro no MDM. O dispositivo é um dispositivo não gerido. |
| URLs MDM | Os três URLs relacionados com a configuração de MDM são URL dos termos de utilização do MDM, URL de deteção de MDM e URL de conformidade do MDM. Cada URL tem um valor predefinido. Se estes campos estiverem vazios, contacte o seu fornecedor de MDM para obter mais informações. |
| Definições de MAM | O gerenciamento de aplicativos móveis (MAM) não se aplica à associação do Microsoft Entra. |
Lembre-se de que precisa de restringir o acesso aos recursos da organização apenas a dispositivos que a sua organização gere e que o sistema MDM considera como estando em conformidade. No nosso cenário, gostaríamos de adicionar o fornecedor MDM da nossa organização e selecionar Âmbito do utilizador MDM>Todos.
Experiência do utilizador ao aderir a um dispositivo Windows 10 ou Windows 11
Deu um novo dispositivo a um colaborador com bastantes competências tecnológicas. Eles usarão a abordagem de autoatendimento para associar o dispositivo à sua organização do Ative Directory, que está usando a autenticação multifator. Os passos seguintes mostram-lhe o aspeto desse fluxo de trabalho:
Depois de iniciar o dispositivo, o colaborador segue as instruções para o configurar, incluindo personalizar a região e selecionar um idioma.
O colaborador aceita os Termos de Licenciamento do Software Microsoft.
O colaborador seleciona a ligação de rede para se ligar à cloud.
Quando for apresentada a pergunta A quem pertence este PC?, o colaborador seleciona Este dispositivo pertence à minha organização.
O colaborador inicia sessão com as credenciais que a organização forneceu.
É colocado um desafio de autenticação multifator ao colaborador.
O Microsoft Entra ID verifica as definições de configuração para ver se o dispositivo deve ser registrado no MDM.
Quando a verificação de configuração é bem-sucedida, o dispositivo é registrado na instância do Microsoft Entra da organização. Se a MDM estiver a ser utilizada, o dispositivo será inscrito e gerido.