implementação direcionada de associação híbrida Microsoft Entra

  • Artigo

Pode validar o seu planeamento e pré-requisitos para a associação de dispositivos de Microsoft Entra híbrido através de uma implementação direcionada antes de a ativar em toda a organização. Este artigo explica como realizar uma implementação direcionada de Microsoft Entra associação híbrida.

Implementação direcionada de Microsoft Entra associação híbrida em dispositivos windows atuais

Para dispositivos com Windows 10, a versão mínima suportada é Windows 10 (versão 1607) para fazer a associação híbrida. Como melhor prática, atualize para a versão mais recente do Windows 10 ou 11. Se precisar de suportar sistemas operativos anteriores, consulte a secção Suportar dispositivos de nível inferior

Para efetuar uma implementação direcionada de Microsoft Entra associação híbrida em dispositivos windows atuais, tem de:

  1. Limpe a entrada ponto de ligação de serviço (SCP) do Active Directory (AD), se existir.
  2. Configure a definição de registo do lado do cliente para SCP nos computadores associados a um domínio com um Objeto de Política de Grupo (GPO).
  3. Se estiver a utilizar Serviços de Federação do Active Directory (AD FS) (AD FS), também tem de configurar a definição de registo do lado do cliente para SCP no servidor do AD FS com um GPO.
  4. Também poderá ter de personalizar as opções de sincronização no Microsoft Entra Ligar para ativar a sincronização de dispositivos.

Limpar o SCP do AD

Utilize o Editor de Interfaces dos Serviços do Active Directory (Edição ADSI) para modificar os objetos SCP no AD.

  1. Inicie a aplicação de ambiente de trabalho Editar ADSI a partir da estação de trabalho administrativa ou um controlador de domínio como Administrador do Enterprise.
  2. Ligue-se ao Contexto de Nomenclatura de Configuração do seu domínio.
  3. Navegue para CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Clique com o botão direito do rato no objeto de folha CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selecione Propriedades.
    1. Selecione palavras-chave na janela Editor de Atributos e selecione Editar.
    2. Selecione os valores de azureADId e azureADName (um de cada vez) e selecione Remover.
  5. Feche a Edição ADSI.

Configurar a definição de registo do lado do cliente para o SCP

Utilize o exemplo seguinte para criar um Objeto Política de Grupo (GPO) para implementar uma definição de registo que configure uma entrada SCP no registo dos seus dispositivos.

  1. Abra uma consola da Gestão de Política de Grupo e crie um Objeto de Política de Grupo novo no domínio.
    1. Dê um nome ao GPO acabado de criar (por exemplo, ClientSideSCP).
  2. Edite o GPO e localize o seguinte caminho:Preferências> de Configuração> do ComputadorRegistode Definições> do Windows.
  3. Clique com o botão direito do rato no Registo e selecione Novo>Item de Registo.
    1. No separador Geral , configure o seguinte.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da Chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: o GUID ou O ID do Inquilino do seu inquilino Microsoft Entra, que pode ser encontrado noID de Inquilinodas Propriedades> da DescriçãoGeral> da Identidade.>
    2. Selecione OK.
  4. Clique com o botão direito do rato no Registo e selecione Novo>Item de Registo.
    1. No separador Geral , configure o seguinte.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da Chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: o nome de domínio verificado se estiver a utilizar um ambiente federado, como o AD FS. O nome de domínio verificado ou o nome de domínio onmicrosoft.com, por exemplo contoso.onmicrosoft.com , se estiver a utilizar um ambiente gerido.
    2. Selecione OK.
  5. Feche o editor do GPO acabado de criar.
  6. Ligue o GPO recentemente criado à UO correta que contém computadores associados a um domínio que pertencem à sua população de implementação controlada.

Configurar as definições do AD FS

Se o seu ID de Microsoft Entra estiver federado com o AD FS, primeiro tem de configurar o SCP do lado do cliente com as instruções mencionadas anteriormente ao ligar o GPO aos servidores do AD FS. O objeto SCP define a origem da autoridade para objetos de dispositivo. Pode ser no local ou Microsoft Entra ID. Quando o SCP do lado do cliente está configurado para o AD FS, a origem dos objetos do dispositivo é estabelecida como Microsoft Entra ID.

Nota

Se não tiver configurado o SCP do lado do cliente nos servidores do AD FS, a origem das identidades do dispositivo será considerada no local. Em seguida, o AD FS começará a eliminar objetos de dispositivos do diretório no local após o período estipulado definido no atributo "MaximumInactiveDays" do Registo de Dispositivos do AD FS. Os objetos de Registo de Dispositivos do AD FS podem ser encontrados com o cmdlet Get-AdfsDeviceRegistration.

Suportar dispositivos de nível inferior

Para registar dispositivos windows de nível inferior, as organizações têm de instalar a Associação à Área de Trabalho da Microsoft para computadores não Windows 10 disponíveis no Centro de Transferências da Microsoft.

Pode implementar o pacote através de um sistema de distribuição de software, como Microsoft Configuration Manager. O pacote suporta as opções de instalação automática padrão com o parâmetro quiet. O ramo atual do Configuration Manager oferece benefícios em versões anteriores, como a capacidade de controlar registos concluídos.

O instalador cria uma tarefa agendada no sistema que é executado no contexto de utilizador. A tarefa é acionada quando o utilizador inicia sessão no Windows. A tarefa associa automaticamente o dispositivo com Microsoft Entra ID com as credenciais de utilizador após a autenticação com Microsoft Entra ID.

Para controlar o registo do dispositivo, deve implementar o pacote do Windows Installer no grupo selecionado de dispositivos de nível inferior do Windows.

Nota

Se um SCP não estiver configurado no AD, deve seguir a mesma abordagem descrita para Configurar a definição de registo do lado do cliente para SCP) nos seus computadores associados a um domínio através de um Objeto de Política de Grupo (GPO).

Por que motivo um dispositivo pode estar num estado pendente

Quando configura uma tarefa de associação híbrida Microsoft Entra no Microsoft Entra Connect Sync para os seus dispositivos no local, a tarefa sincroniza os objetos do dispositivo para Microsoft Entra ID e define temporariamente o estado registado dos dispositivos como "pendente" antes de o dispositivo concluir o registo do dispositivo. Este estado pendente deve-se ao facto de o dispositivo ter de ser adicionado ao diretório Microsoft Entra antes de poder ser registado. Para obter mais informações sobre o processo de registo de dispositivos, veja Como funciona: Registo de dispositivos.

Pós-validação

Depois de verificar se tudo funciona conforme esperado, pode registar automaticamente os restantes dispositivos windows atuais e de nível inferior com Microsoft Entra ID. Automatize Microsoft Entra associação híbrida ao configurar o SCP com o Microsoft Entra Connect.

Passos seguintes