Planejar a sua implementação do ingresso do Azure Active Directory híbrido

Se você tem um ambiente do AD DS (Active Directory Domain Services) local e deseja ingressar seus computadores conectados ao domínio do AD DS no Azure AD, realize essa tarefa fazendo o ingresso no Azure AD híbrido.

Dica

O acesso de SSO a recursos locais também está disponível para dispositivos ingressados no Azure AD. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos associados ao Microsoft Azure Active Directory.

Pré-requisitos

Este artigo pressupõe que você esteja familiarizado com a Introdução ao gerenciamento de identidade do dispositivo no Azure Active Directory.

Observação

A versão mínima necessária do controlador de domínio para o ingresso no AAD híbrido do Windows 10 ou mais recente é o Windows Server 2008 R2.

Os dispositivos ingressados no Azure Active Directory híbrido exigem uma linha de conexão com os controladores de domínio locais periodicamente. Sem essa conexão, os dispositivos se tornam inutilizáveis.

Cenários que quebram sem linha de visão para seus controladores de domínio incluem:

• Alteração da senha de dispositivo
• Alteração de senha do usuário (credenciais armazenadas em cache)
• TPM redefinido

Planejar sua implementação

Para planejar sua implementação híbrida do AD do Azure, você deve se familiarizar com:

• Dispositivos com suporte de revisão
• Você deve saber de coisas de revisão
• Revisar a implantação direcionada do ingresso no Azure AD híbrido
• Selecione o cenário com base na sua infraestrutura de identidade
• Reveja o suporte ao UPN do AD local para ingresso no Azure AD híbrido

Dispositivos com suporte de revisão

Ingresso no Azure AD híbrido oferece suporte a dispositivos de uma ampla variedade de Windows. Como a configuração para os dispositivos que executam versões mais antigas do Windows exige outras etapas, os dispositivos compatíveis são agrupados em duas categorias:

Dispositivos atuais do Windows

• Windows 11
• Windows 10
• Windows Server 2016
  • Observação: Os clientes de nuvem nacional do Azure requerem a versão 1803
• Windows Server 2019

Para os dispositivos que executam o sistema operacional Windows Desktop, as versões compatíveis são listadas neste artigo: Informações de versão do Windows 10. Como melhor prática, a Microsoft recomenda atualizar para a última versão do Windows.

Dispositivos de nível inferior do Windows

• Windows 8.1
• O suporte do Windows 7 foi encerrado em 14 de janeiro de 2020. Para obter mais informações, confira O suporte do Windows 7 foi encerrado
• Windows Server 2012 R2
• Windows Server 2012
• Para obter informações de suporte do Windows Server 2008 R2 no Windows Server 2008 e no 2008 R2, confira Preparar-se para o fim do suporte do Windows Server 2008

Como primeira etapa do planejamento, você deve revisar seu ambiente e determinar se precisa dar suporte a dispositivos de baixo nível do Windows.

Você deve saber de coisas de revisão

Cenários sem suporte

• Não há suporte para o ingresso no Azure AD híbrido no Windows Server que executa a função de controlador de domínio.
• Não há suporte para o ingresso no Azure AD híbrido em dispositivos Windows de nível inferior durante o uso do perfil móvel de credenciais, do perfil móvel do usuário ou do perfil obrigatório.
• O sistema operacional Server Core não dá suporte a nenhum tipo de registro de dispositivo.
• A Ferramenta de Migração do Usuário (USMT) não funciona com o registro de dispositivo.

Considerações sobre geração de imagens de Sistema operacional

• Se você estiver contando com o Sysprep (Ferramenta de Preparação do Sistema) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Azure AD como ingressado no Azure AD híbrido.

• Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Azure AD como ingressada no Azure AD híbrido.

• Se você estiver usando o Filtro de Gravação Unificado e tecnologias semelhantes que limpam as alterações no disco na reinicialização, elas precisarão ser aplicadas depois que o dispositivo for ingressado no Azure AD híbrido. A habilitação dessas tecnologias antes da conclusão do ingresso no Azure AD híbrido resultará no não ingresso do dispositivo em cada reinicialização.

Manipulação de dispositivos com o estado registrado do Azure AD

Se os dispositivos ingressados no domínio do Windows 10 ou mais recente forem registrados no AAD para seu locatário, isso poderá levar a um estado duplo de dispositivo registrado do AAD e ingressado no AAD híbrido. Recomendamos atualizar para o Windows 10 1803 (com a KB 4489894 aplicada) ou mais recente para resolver automaticamente esse cenário. Em versões anteriores à 1803, você precisará remover manualmente o estado registrado do Azure AD antes de habilitar o ingresso no Azure AD híbrido. Na versão 1803 e acima, as seguintes alterações foram feitas para evitar o estado duplo:

• Qualquer estado existente registrado para um usuário no Azure AD será automaticamente removido depois que os dispositivos forem ingressados no Azure AD híbrido e o mesmo usuário fizer logon. Por exemplo, se o usuário A tiver um estado registrado no Azure AD no dispositivo, o estado duplo para o usuário A será limpo somente quando o usuário A fizer logon no dispositivo. Se houver vários usuários no mesmo dispositivo, o estado duplo será limpo individualmente quando cada usuários fizer logon. Depois que o administrador remover o estado registrado do Azure AD, o Windows 10 cancelará o registro do dispositivo do Intune ou de outro MDM, caso o registro tenha ocorrido como parte do registro do Azure AD por meio do registro automático.
• O estado registrado do Azure AD em qualquer conta local no dispositivo não é afetado por essa alteração. Aplicável somente a contas de domínio. O estado registrado do Azure AD em contas locais não é removido automaticamente mesmo após o logon do usuário, pois o usuário não é um usuário de domínio.
• É possível impedir que o dispositivo incluído no domínio seja registrado pelo Azure Active Directory adicionando o seguinte valor de registro: HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
• No Windows 10 1803, se você tiver o Windows Hello para Empresas configurado, o usuário precisará reconfigurá-lo após a limpeza de estado duplo. Esse problema foi resolvido com o KB4512509.

Observação

Embora o Windows 10 e Windows 11 removam automaticamente o estado registrado do AAD localmente, o objeto de dispositivo no AAD não será excluído imediatamente se for gerenciado pelo Intune. É possível validar a remoção do estado registrado do Azure AD executando dsregcmd/status e considerar que o dispositivo não esteja registrado no Azure AD com base nele.

Junção híbrida do Azure AD para vários locatários do Azure AD com floresta única

Para registrar os dispositivos como junção híbrida do Azure AD aos respectivos locatários, as organizações precisam garantir que a configuração do SCP (Serviço de Pontos de Conexão) seja feita nos dispositivos e não no AD. Encontre mais detalhes sobre como realizar essa tarefa no artigo Implantação direcionada de ingresso no Azure AD híbrido. É importante que as organizações entendam que algumas funcionalidades do Azure AD não funcionarão em configurações múltiplas de locatários do Azure AD de floresta única.

• O write-back de dispositivo não funcionará. Essa configuração afeta o Acesso Condicional baseado em dispositivo para aplicativos locais federados por meio do ADFS. Ela também afeta a implantação do Windows Hello para Empresas durante o uso do modelo de Confiança de Certificado Híbrido.
• O write-back de grupos não funcionará. Essa configuração afeta o write-back de grupos do Office 365 para uma floresta com o Exchange instalado.
• O SSO Contínuo não funcionará. Essa configuração afeta os cenários de SSO que as organizações podem usar em multiplataformas do sistema operacional ou do navegador, por exemplo, iOS ou Linux com o Firefox, Safari ou Chrome sem a extensão do Windows 10.
• O ingresso no Azure AD híbrido para Windows dispositivos de nível inferior no ambiente gerenciado não funcionará. Por exemplo, o ingresso no Azure AD híbrido no Windows Server 2012 R2 em um ambiente gerenciado exige o SSO Contínuo e, como o SSO Contínuo não funcionará, o ingresso no Azure AD híbrido nessa configuração não funcionará.
• A proteção de senha do Azure AD local não funcionará. Essa configuração afeta a capacidade de fazer alterações de senha e eventos de redefinição de senha em controladores de domínio do AD DS (Active Directory Domain Services) local usando as mesmas listas de senhas proibidas globais e personalizadas que são armazenadas no Azure AD.

Outras considerações

• Se seu ambiente usa VDI (Virtual Desktop Infrastructure), consulte Identidade do dispositivo e virtualização de área de trabalho.

• O ingresso no Azure AD híbrido tem suporte para TPM 2.0 compatível com FIPS e não tem suporte para TPM 1.2. Se os seus dispositivos tiverem o TPM 1.2 compatível com FIPS, desabilite-os antes de prosseguir com o ingresso no Azure AD híbrido. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.

• A partir da versão Windows 10 1903, os TPMs 1.2 não são usados com o ingresso no Azure AD híbrido, e os dispositivos com esses TPMs serão considerados como se não tivessem um TPM.

• As alterações de UPN só têm suporte a partir da atualização do Windows 10 2004. Em dispositivos anteriores à atualização do Windows 10 2004, os usuários podem ter problemas de acesso condicional e de SSO. Para resolver esse problema, é necessário remover o ingresso do dispositivo no Azure AD (execute "dsregcmd /leave" com privilégios elevados) e ingressar novamente (ocorre automaticamente). No entanto, os usuários que se conectam com o Windows Hello para Empresas não enfrentam esse problema.

Revisar o ingresso no Azure AD híbrido direcionado

As organizações podem desejar fazer uma distribuição direcionada do ingresso no Azure AD híbrido antes de habilitá-lo para toda a organização. Revise o artigo Implantação direcionada do ingresso no Azure AD híbrido para entender como fazer isso.

Aviso

As organizações devem incluir um exemplo de usuários de diferentes funções e perfis no grupo piloto. Uma distribuição direcionada ajudará a identificar os problemas que o plano pode não ter resolvido antes de habilitá-la para toda a organização.

Selecione o cenário com base na sua infraestrutura de identidade

O ingresso no Azure AD híbrido funciona com ambientes gerenciados e federados dependendo se o UPN é roteável ou não roteável. Veja a parte inferior da página para ver a tabela de cenários com suporte.

Ambiente de leitura

Um ambiente gerenciado pode ser implantado por meio da PHS (Sincronização de Hash de Senha) ou PTA (Autenticação de Passagem) com Logon Único Contínuo.

Esses cenários não exigem que você configure um servidor de federação para autenticação.

Observação

Só há suporte para a autenticação de nuvem por meio da distribuição em etapas na atualização Windows 10 1903 em diante.

Ambiente federado

Um ambiente federado deve ter um provedor de identidade que dá suporte aos requisitos a seguir. Se você tem um ambiente federado usando o AD FS (Serviços de Federação do Active Directory), os requisitos abaixo já são compatíveis.

• Declaração WIAORMULTIAUTHN: Essa declaração é necessária para fazer o ingresso de dispositivos de nível inferior do Windows no Azure AD híbrido.
• Protocolo WS-Trust: Esse protocolo é um requisito para autenticar os dispositivos atuais do Windows ingressados no Azure AD híbrido com o Azure AD. Quando você estiver usando o AD FS, será necessário habilitar os pontos de extremidade WS-Trust a seguir: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Aviso

O adfs/services/trust/2005/windowstransport e também o adfs/services/trust/13/windowstransport devem ser habilitados como pontos de extremidade voltados para a intranet e NÃO devem ser expostos como pontos de extremidade voltados a uma extranet por meio do proxy de aplicativo Web. Para saber mais sobre como desabilitar os pontos de extremidade do Windows do WS-Trust, confira Desabilitar pontos de extremidade do Windows do WS-Trust no proxy. Veja quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em ServiçoPontos de extremidade.

A partir da versão 1.1.819.0, o Azure AD Connect fornece um assistente para configurar o ingresso no Azure AD híbrido. O assistente permite simplificar significativamente o processo de configuração. Se a instalação da versão necessária do Azure AD Connect não for uma opção para você, confira como configurar manualmente o registro do dispositivo. Se contoso.com estiver registrado como um domínio personalizado confirmado, os usuários poderão obter um PRT mesmo que o sufixo UPN do AD DS local sincronizado esteja em um subdomínio como test.contoso.com.

Revisar o suporte ao UPN de usuários do AD local para o ingresso no Azure AD híbrido

Às vezes, os UPNs de usuários do AD local são diferentes dos UPNs do Azure AD. Nesses casos, o ingresso no AAD híbrido do Windows 10 ou mais recente fornece suporte limitado para UPNs do AD local com base no método de autenticação, no tipo de domínio e na versão do Windows. Há dois tipos de UPNs do AD local que podem existir em seu ambiente:

• UPN de usuários roteáveis: um UPN roteável tem um domínio verificado válido, que é registrado em um registrador de domínios. Por exemplo, se contoso.com é o domínio primário do Azure AD, contoso.org é o domínio primário no AD local pertencente à Contoso e verificado no Azure AD.
• UPN não roteável de usuários: um UPN não roteável não tem um domínio verificado e só é aplicável na rede privada da sua organização. Por exemplo, se contoso.com é o domínio primário no Azure AD e contoso.local é o domínio primário no AD local, mas não é um domínio verificável na Internet e é usado somente na rede da Contoso.

Observação

As informações nesta seção aplicam-se somente a um UPN de usuários locais. Não se aplicam a um sufixo de domínio de computador local (exemplo: computador1.contoso.local).

A tabela a seguir fornece detalhes sobre o suporte para esses UPNs do AD local no ingresso no Azure AD híbrido do Windows 10

Tipo de UPN do AD local	Tipo de domínio	Versão do Windows 10	Descrição
Roteável	Federado	Da versão 1703	Disponível para o público geral
Não roteável	Federado	Da versão 1803	Disponível para o público geral
Roteável	Gerenciado	Da versão 1803	Geralmente disponíveis, o SSPR do Microsoft Azure AD na tela de bloqueio do Windows não tem suporte em ambientes onde o UPN local é diferente do UPN do Microsoft Azure AD. O UPN local deve ser sincronizado com o atributo onPremisesUserPrincipalName no Azure Active Directory
Não roteável	Gerenciado	Sem suporte

Próximas etapas

• Configurar o ingresso no Azure AD híbrido