Implantação de ingresso no Microsoft Entra híbrido de destino

Valide seu planejamento e pré-requisitos para dispositivos ingressados no Microsoft Entra híbrido usando uma implantação direcionada antes de habilitá-lo em toda a organização. Este artigo explica como fazer uma implantação direcionada do ingresso no Microsoft Entra híbrido.

Cuidado

Tenha cuidado ao modificar valores no Active Directory. Fazer alterações em um ambiente estabelecido pode ter consequências não intencionais.

Implantação direcionada do ingresso no Microsoft Entra híbrido em dispositivos Windows atuais

Para os dispositivos que executam o Windows 10, a versão mínima com suporte é o Windows 10 (versão 1607) para o ingresso híbrido. Como melhor prática, atualize para a última versão do Windows 10 ou 11. Caso precise dar suporte a sistemas operacionais anteriores, confira a seção Suporte a dispositivos de nível inferior.

Para fazer uma implantação direcionada do ingresso no Microsoft Entra híbrido em dispositivos Windows atuais, você precisará:

1. Limpe a entrada do Ponto de Conexão de Serviço (SCP) do Windows Server Active Directory, se existir.
2. Definir a configuração do registro do lado do cliente para SCP em seus computadores ingressados no domínio usando um GPO (Objeto de Política de Grupo).
3. Se estiver usando os Serviços de Federação do Active Directory (AD FS), também precisará definir a configuração do registro do lado do cliente para o SCP no servidor do AD FS usando um GPO.
4. Também pode ser necessário personalizar as opções de sincronização no Microsoft Entra Connect para habilitar a sincronização de dispositivos.

Dica

O SCP pode ser configurado localmente no registro do dispositivo em determinadas situações. Se o dispositivo encontrar um valor no Registro, ele usará essa configuração, caso contrário, consultará o diretório do SCP e tentará ingressar híbrido.

Limpe o SCP do Microsoft Windows Server Active Directory

Use o Editor de Interfaces de Serviços do Active Directory (ADSI Edit) para modificar os objetos SCP no Microsoft Windows Server Active Directory.

1. Inicie o aplicativo da área de trabalho Editor ADSI em uma estação de trabalho administrativa ou em um controlador de domínio como um administrador corporativo.
2. Conecte-se ao Contexto de Nomenclatura de Configuração de seu domínio.
3. Procure CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Clique com o botão direito do mouse no objeto folha CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selecione Propriedades.
   1. Selecione palavras-chave na janela Editor de Atributos e selecione Editar.
   2. Escolha os valores de azureADId e azureADName (um de cada vez) e selecione Remover.
5. Feche o Editor ADSI.

Definir a configuração do registro do lado do cliente para o SCP

Use o exemplo a seguir para criar um GPO (objeto de Política de Grupo) para implantar uma configuração de registro configurando uma entrada SCP no registro de seus dispositivos.

1. Abra um Console de Gerenciamento de Política de Grupo e crie um Objeto de Política de Grupo em seu domínio.
   1. Nomeie o GPO criado recentemente (por exemplo, ClientSideSCP).
2. Edite o GPO e localize o seguinte caminho: Configuração do Computador>Preferências>Configurações do Windows>Registro.
3. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
   1. Na guia Geral, configure as opções a seguir.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: O identificador global exclusivo (GUID) ou ID do locatário do seu locatário Microsoft Entra, que pode ser encontrado em Identidade>Visão geral>Propriedades>ID do locatário.
   2. Selecione OK.
4. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
   1. Na guia Geral, configure as opções a seguir.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Dados do valor: seu nome de domínio verificado, se estiver usando um ambiente federado, como o AD FS. Seu nome de domínio verificado ou seu nome de domínio onmicrosoft.com, por exemplo, contoso.onmicrosoft.com, se estiver usando um ambiente gerenciado.
   2. Selecione OK.
5. Feche o editor do GPO recém-criado.
6. Vincule o GPO recém-criado à unidade organizacional (OU) correta que contém os computadores ingressados no domínio que pertencem à sua população de implementação controlada.

Definir as configurações do AD FS

Se o Microsoft Entra ID é federado com o AD FS, é necessário configurar o SCP do lado do cliente com as instruções já mencionadas. Para fazer isso, basta vincular o GPO aos servidores do AD FS. O objeto SCP define a origem de autoridade para objetos de dispositivo. Ele pode ser local ou estar no Microsoft Entra ID. Quando o SCP do lado do cliente é configurado para AD FS, a origem dos objetos de dispositivo é estabelecida como Microsoft Entra ID.

Observação

Se você não conseguiu configurar o SCP do lado do cliente em seus servidores AD FS, a origem das identidades do dispositivo seria considerada local. O AD FS vai começar a excluir objetos de dispositivo do diretório local após o período definido no atributo de registro de dispositivo AD FS "MaximumInactiveDays". É possível encontrar os objetos de registro de dispositivo AD FS com o cmdlet Get-AdfsDeviceRegistration.

Suporte a dispositivos de nível inferior

Para registrar dispositivos de nível inferior do Windows, as organizações devem instalar o Microsoft Workplace Join para computadores não Windows 10 disponível no Centro de Download da Microsoft.

É possível implantar o pacote usando um sistema de distribuição de software como o Microsoft Configuration Manager. O pacote dá suporte às opções de instalação silenciosa padrão com o parâmetro quiet. O atual branch do Configuration Manager oferece benefícios adicionais em relação às versões anteriores, como a capacidade de rastrear registros concluídos.

O instalador cria uma tarefa agendada no sistema que é executada no contexto do usuário. A tarefa é disparada quando o usuário entra no Windows. A tarefa ingressa silenciosamente o dispositivo com Microsoft Entra ID com as credenciais do usuário após a autenticação no Microsoft Entra ID.

Para controlar o registro de dispositivos, é necessário implantar o pacote do Windows Installer ao seu grupo selecionado de dispositivos de nível inferior do Windows.

Observação

Se um SCP não estiver configurado no Microsoft Windows Server Active Directory, você deverá seguir a mesma abordagem descrita em Definir configuração de registro do lado do cliente para SCP) em seus computadores associados ao domínio usando um Objeto de Política de Grupo (GPO).

Por que um dispositivo pode estar em um estado pendente

Ao configurar uma tarefa de junção híbrida do Microsoft Entra na Sincronização do Microsoft Entra Connect para seus dispositivos locais, ela sincroniza os objetos do dispositivo com o Microsoft Entra ID e define temporariamente o estado registrado dele como "pendente" antes que ele conclua o próprio registro. Esse estado pendente ocorre porque o dispositivo deve ser adicionado ao diretório do Microsoft Entra antes de ser registrado. Para saber mais sobre o processo de registro de dispositivo, confira Como funciona: registro de dispositivos.

Etapas pós-validação

Depois de verificar se tudo está funcionando conforme o esperado, registre automaticamente o restante dos dispositivos atuais e de nível inferior do Windows com o Microsoft Entra ID. Automatize o ingresso no Microsoft Entra híbrido configurando o SCP usando o Microsoft Entra Connect.

Conteúdo relacionado

• Planejar a implementação de ingresso no Microsoft Entra híbrido
• Configurar o ingresso no Microsoft Entra híbrido
• Configurar manualmente o ingresso no Microsoft Entra híbrido