Compartilhar via


Configurar a entrada federada para dispositivos Windows

A partir do Windows 11 SE, versão 22H2 e Windows 11 Pro Edu/Education, versão 22H2 com KB5022913, pode permitir que os seus utilizadores iniciem sessão com um fornecedor de identidade federado (IdP) através de uma experiência de início de sessão na Web. Iniciar sessão com uma identidade federada pode ser uma ótima forma de simplificar o processo de início de sessão para os seus utilizadores: em vez de terem de memorizar um nome de utilizador e palavra-passe definidos no Microsoft Entra ID, podem iniciar sessão com as respetivas credenciais existentes do IdP. Por exemplo, os estudantes e educadores podem utilizar distintivos de código QR para iniciar sessão.

Benefícios do início de sessão federado

Uma experiência de início de sessão federado permite que os estudantes iniciem sessão em menos tempo e com menos atrito. Com menos credenciais para memorizar e um processo de início de sessão simplificado, os estudantes estão mais empenhados e focados na aprendizagem.

Existem duas funcionalidades do Windows que permitem uma experiência de início de sessão federado:

  • Início de sessão federado, concebido para dispositivos de estudantes 1:1. Para uma experiência ideal, não deve ativar o início de sessão federado em dispositivos partilhados
  • Início de sessão na Web, que proporciona uma experiência semelhante ao início de sessão federado, e pode ser utilizado para dispositivos partilhados

Importante

O início de sessão federado e o início de sessão na Web requerem configurações diferentes, que são explicadas neste documento.

Pré-requisitos

Para ativar uma experiência de início de sessão federado, têm de ser cumpridos os seguintes pré-requisitos:

  1. Um inquilino do Microsoft Entra, com um ou vários domínios federados num IdP de terceiros. Para obter mais informações, consulte O que é a federação com o Microsoft Entra ID? e Utilizar um IdP SAML 2.0 para Início de Sessão Único

    Observação

    Se a sua organização utilizar uma solução de federação de terceiros, pode configurar o início de sessão único no Microsoft Entra ID se a solução for compatível com o Microsoft Entra ID. Para perguntas sobre compatibilidade, contacte o seu fornecedor de identidade. Se for um IdP e quiser validar a sua solução para interoperabilidade, veja estas diretrizes.

  2. Contas IdP individuais criadas: cada utilizador necessita de uma conta definida na plataforma IdP de terceiros

  3. Contas Individuais do Microsoft Entra criadas: cada utilizador necessita de uma conta correspondente definida no Microsoft Entra ID. Estas contas são normalmente criadas através de soluções automatizadas, por exemplo:

    Para obter mais informações sobre a correspondência de identidades, consulte Correspondência de identidades no ID do Microsoft Entra.

  4. Licenças atribuídas às contas de utilizador do Microsoft Entra. Recomenda-se atribuir licenças a um grupo dinâmico: quando novos utilizadores são aprovisionados no Microsoft Entra ID, as licenças são atribuídas automaticamente. Para obter mais informações, veja Assign licenses to users by group membership in Microsoft Entra ID (Atribuir licenças a utilizadores por associação a grupos no Microsoft Entra ID)

  5. Ativar o início de sessão federado ou o início de sessão na Web nos dispositivos Windows, dependendo se os dispositivos são partilhados ou atribuídos a um único estudante

Para utilizar o início de sessão federado ou o início de sessão na Web, os dispositivos têm de ter acesso à Internet. Estas funcionalidades não funcionam sem a mesma, uma vez que a autenticação é feita através da Internet.

Importante

WS-Fed é o único protocolo federado suportado para associar um dispositivo ao Microsoft Entra ID. Se tiver um IdP SAML 2.0, recomenda-se que conclua o processo de associação ao Microsoft Entra através de um dos seguintes métodos:

  • Pacotes de aprovisionamento (PPKG)
  • Modo de autoimplantação do Windows Autopilot

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam o início de sessão Federado:

Windows Pro Windows Enterprise Windows Pro Education/SE Educação do Windows
Não Não Sim Sim

Os direitos de licença de início de sessão federado são concedidos pelas seguintes licenças:

Windows Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Não Não Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

O início de sessão federado é suportado nas seguintes edições e versões do Windows:

  • Windows 11 SE, versão 22H2 e posterior
  • Windows 11 Pro Edu/Education, versão 22H2 com KB5022913

O início de sessão na Web é suportado a partir do Windows 11 SE/Pro Edu/Education, versão 22H2 com KB5026446.

Configurar uma experiência de início de sessão federado

Pode configurar uma experiência de início de sessão federado para dispositivos atribuídos por estudantes (1:1) ou dispositivos partilhados por estudantes:

  • Quando o início de sessão federado está configurado para dispositivos atribuídos por estudantes (1:1), utiliza uma funcionalidade do Windows denominada Início de sessão federado. O primeiro utilizador que iniciar sessão no dispositivo com uma identidade federada torna-se o utilizador principal. O utilizador principal é sempre apresentado no canto inferior esquerdo do ecrã de início de sessão
  • Quando o início de sessão federado está configurado para dispositivos partilhados por estudantes, utiliza uma funcionalidade do Windows denominada Início de sessão na Web. Com o início de sessão na Web, não existe nenhum utilizador principal e o ecrã de início de sessão apresenta, por predefinição, o último utilizador que iniciou sessão no dispositivo

A configuração é diferente para cada cenário e é descrita nas secções seguintes.

Configurar o início de sessão federado para dispositivos atribuídos por estudantes (1:1)

Reveja as seguintes instruções para configurar os seus dispositivos com o Microsoft Intune ou um pacote de aprovisionamento (PPKG).

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Education É Ambiente de Educação Habilitada
Autenticação Federada Ativar o Início de Sessão na Web para o Utilizador Principal Habilitada
Authentication Configurar URLs Permitidos de Início de Sessão na Web Introduza a lista de domínios, com cada URL numa linha separada. Por exemplo:
- samlidp.clever.com
- clever.com
- mobile-redirector.clever.com
Authentication Configurar Nomes de Domínio de Acesso à Câmara Web Esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com as seguintes definições:

Configuração
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment
Tipo de dados: int
Valor: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUser
Tipo de dados: int
Valor: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Tipo de dados: Cadeia
Valor: lista separada por ponto e vírgula de domínios, por exemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames**
Tipo de dados: Cadeia
Valor: esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com

Configurar o início de sessão na Web para dispositivos partilhados de estudantes

Reveja as seguintes instruções para configurar os seus dispositivos partilhados com o Microsoft Intune ou um pacote de aprovisionamento (PPKG).

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Education É Ambiente de Educação Habilitada
SharedPC Ativar o Modo de PC Partilhado com a Sincronização do OneDrive True
Authentication Ativar o Início de Sessão na Web Habilitado
Authentication Configurar URLs Permitidos de Início de Sessão na Web Introduza a lista de domínios, com cada URL numa linha separada. Por exemplo:
- samlidp.clever.com
- clever.com
- mobile-redirector.clever.com
Authentication Configurar Nomes de Domínio de Acesso à Câmara Web Esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com as seguintes definições:

Configuração
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment
Tipo de dados: int
Valor: 1
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSync
Tipo de dados: Booleano
Valor: Verdadeiro
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Tipo de dados: Inteiro
Valor: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Tipo de dados: Cadeia
Valor: lista separada por ponto e vírgula de domínios, por exemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames
Tipo de dados: Cadeia
Valor: esta definição é opcional e deve ser configurada se precisar de utilizar a câmara Web durante o processo de início de sessão. Especifique a lista de domínios que têm permissão para utilizar a câmara Web durante o processo de início de sessão, separados por ponto e vírgula. Por exemplo: clever.com

Como utilizar o início de sessão federado

Assim que os dispositivos estiverem configurados, fica disponível uma nova experiência de início de sessão.

À medida que os utilizadores introduzem o nome de utilizador, são redirecionados para a página de início de sessão do fornecedor de identidade. Assim que o Idp autenticar os utilizadores, estes têm sessão iniciada. Na animação seguinte, pode observar como funciona o primeiro processo de início de sessão para um estudante atribuído (1:1):

Captura de ecrã do início de sessão do Windows 11 SE com o início de sessão federado através do distintivo clever e código QR, num dispositivo atribuído (1:1) a um estudante.

Importante

Para dispositivos atribuídos por estudantes (1:1), assim que a política estiver ativada, o primeiro utilizador que iniciar sessão no dispositivo também definirá a página de desambiguação para o domínio do fornecedor de identidade no dispositivo. Isto significa que o dispositivo estará predefinido para esse IdP. O utilizador pode sair do fluxo de início de sessão Federado ao premir Ctrl+Alt+Delete para voltar ao ecrã de início de sessão padrão do Windows. O comportamento é diferente para dispositivos partilhados por estudantes, onde a página de desambiguação é sempre apresentada, a menos que o nome de inquilino preferencial do Microsoft Entra esteja configurado.

Considerações importantes

Problemas conhecidos que afetam dispositivos atribuídos por estudantes (1:1)

O início de sessão federado para dispositivos atribuídos por estudantes (1:1) não funciona com as seguintes definições ativadas:

  • EnableSharedPCMode ou EnableSharedPCModeWithOneDriveSync, que fazem parte do CSP SharedPC
  • Início de sessão interativo: não apresentar a última sessão iniciada, que é uma parte da política de segurança do CSP de Política
  • Faça um Teste no modo de quiosque, uma vez que utiliza a política de segurança acima

Problemas conhecidos que afetam dispositivos partilhados de estudantes

Sabe-se que os seguintes problemas afetam os dispositivos partilhados dos estudantes:

  • Os utilizadores não federados não podem iniciar sessão nos dispositivos, incluindo contas locais
  • Faça um Teste no modo de quiosque, uma vez que utiliza uma conta de convidado local para iniciar sessão

Gerenciamento de contas

Para dispositivos partilhados por estudantes, é recomendado configurar as políticas de gestão de conta para eliminar automaticamente os perfis de utilizador após um determinado período de inatividade ou níveis de disco. Para obter mais informações, consulte Configurar um dispositivo Windows partilhado ou convidado.

Nome preferencial do inquilino do Microsoft Entra

Para melhorar a experiência de utilizador, pode configurar a funcionalidade de nome de inquilino preferencial do Microsoft Entra .
Ao utilizar o nome preferencial do inquilino do Microsoft Entra, os utilizadores ignoram a página de desambiguação e são redirecionados para a página de início de sessão do fornecedor de identidade. Esta configuração pode ser especialmente útil para dispositivos partilhados de estudantes, onde a página de desambiguação é sempre apresentada.

Para obter mais informações sobre o nome do inquilino preferencial, veja Authentication CSP - PreferredAadTenantDomainName (CSP de Autenticação – PreferredAadTenantDomainName).

Correspondência de identidades no ID do Microsoft Entra

Quando um utilizador do Microsoft Entra é federado, a identidade do utilizador do IdP tem de corresponder a um objeto de utilizador existente no Microsoft Entra ID. Após o token enviado pelo IdP ser validado, o ID do Microsoft Entra procura um objeto de utilizador correspondente no inquilino através de um atributo chamado ImmutableId.

Observação

O ImmutableId é um valor de cadeia que tem de ser exclusivo para cada utilizador no inquilino e não deve ser alterado ao longo do tempo. Por exemplo, o ImmutableId pode ser o ID do estudante ou o ID do SIS. O valor ImmutableId deve basear-se na configuração e configuração da federação com o seu IdP, por isso confirme com o seu IdP antes de o definir.

Se o objeto correspondente for encontrado, o utilizador tem sessão iniciada. Caso contrário, é apresentada uma mensagem de erro ao utilizador. A imagem seguinte mostra que não é possível localizar um utilizador com o ImmutableId 260051 :

Captura de ecrã do erro de início de sessão do Microsoft Entra: não é possível encontrar um utilizador com um ImutableId correspondente no inquilino.

Importante

A correspondência ImmutableId é sensível às maiúsculas e minúsculas.

O ImmutableId é normalmente configurado quando o utilizador é criado no Microsoft Entra ID, mas também pode ser atualizado mais tarde.
Num cenário em que um utilizador é federado e pretende alterar o ImmutableId, tem de:

  1. Converter o utilizador federado num utilizador apenas na cloud (atualize o UPN para um domínio não federado)
  2. Atualizar o ImmutableId
  3. Converter o utilizador novamente num utilizador federado

Eis um exemplo do PowerShell para atualizar o ImmutableId para um utilizador federado:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'

#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com

#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'

Solução de problemas

  • O utilizador pode sair do fluxo de início de sessão federado ao premir Ctrl+Alt+Delete para voltar ao ecrã de início de sessão padrão do Windows
  • Selecione o botão Outro Utilizador e as credenciais padrão de nome de utilizador/palavra-passe estão disponíveis para iniciar sessão no dispositivo