Compartilhar via

Implantação direcionada de ingresso híbrido no Microsoft Entra

Você pode validar seu planejamento e pré-requisitos para dispositivos com ingresso híbrido no Microsoft Entra usando uma implantação direcionada antes de habilitá-lo em toda a organização. Este artigo explica como fazer uma implantação direcionada do ingresso híbrido no Microsoft Entra.

Cuidado

Tenha cuidado ao modificar valores no Active Directory. Fazer alterações em um ambiente estabelecido pode ter consequências não intencionais.

Implantação direcionada de ingresso híbrido no Microsoft Entra em dispositivos Windows

Para dispositivos que executam o Windows 10, a versão mínima com suporte é o Windows 10 (versão 1607) para junção híbrida. Como melhor prática, atualize para a última versão do Windows 10 ou 11.

Para fazer uma implantação direcionada de ingresso híbrido no Microsoft Entra em dispositivos Windows, você precisa:

  1. Limpe a entrada do Ponto de Conexão de Serviço (SCP) no Active Directory do Windows Server, se ela existir.
  2. Definir a configuração do registro do lado do cliente para SCP em seus computadores ingressados no domínio usando um GPO (Objeto de Política de Grupo).
  3. Se você estiver usando os Serviços de Federação do Active Directory (AD FS), também precisará definir a configuração do Registro do lado do cliente para o SCP no seu servidor do AD FS usando um GPO.
  4. Talvez seja necessário personalizar as opções de sincronização no Microsoft Entra Connect para habilitar a sincronização de dispositivos.

Dica

O SCP pode ser configurado localmente no registro do dispositivo em determinadas situações. Se o dispositivo encontrar um valor no Registro, ele utiliza essa configuração, caso contrário, consultará o diretório do SCP e tentará ingressar de forma híbrida.

Limpar o SCP do Microsoft Windows Server Active Directory

Use o Editor de Interfaces do Active Directory Services (ADSI Edit) para modificar os objetos SCP no Microsoft Windows Server Active Directory.

  1. Inicie o aplicativo de área de trabalho ADSI Edit a partir de uma estação de trabalho administrativa ou de um controlador de domínio como Administrador de Empresa.
  2. Conecte-se ao Contexto de Nomenclatura de Configuração do seu domínio.
  3. Navegue até CN=Configuration, DC=contoso, DC=com>CN=Services>CN=Configuração de Registro de Dispositivo.
  4. Clique com o botão direito do mouse no objeto folha CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selecione Propriedades.
    1. Selecione palavras-chave na janela Editor de Atributos e selecioneEditar.
    2. Selecione os valores de azureADId e azureADName (um de cada vez) e selecione Remover.
  5. Feche o Editor ADSI.

Definir a configuração do registro do lado do cliente para o SCP

Use o exemplo a seguir para criar um GPO (objeto de Política de Grupo) para implantar uma configuração de registro configurando uma entrada SCP no registro de seus dispositivos.

  1. Abra um Console de Gerenciamento de Política de Grupo e crie um Objeto de Política de Grupo em seu domínio.
    1. Nomeie o GPO criado recentemente (por exemplo, ClientSideSCP).
  2. Edite o GPO e localize o seguinte caminho: Configuração do Computador>Preferências>Configurações do Windows>Registro.
  3. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
    1. Na guia Geral , configure o seguinte.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: o GUID (identificador global exclusivo) ou ID do locatário do Microsoft Entra, que podem ser encontrados em ID do Entra>Visão Geral>Propriedades>ID do Locatário.
    2. Selecione OK.
  4. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
    1. Na guia Geral , configure o seguinte.
      1. Ação: Atualizar.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: o nome de domínio verificado se você estiver usando um ambiente federado, como o AD FS. Seu nome de domínio verificado ou seu nome de domínio onmicrosoft.com, por exemplo, contoso.onmicrosoft.com se você estiver usando um ambiente gerenciado.
    2. Selecione OK.
  5. Feche o editor do GPO recém-criado.
  6. Vincule o novo GPO à UO (unidade organizacional) correta que contém os computadores conectados ao domínio que pertencem à sua população de distribuição controlada.

Definir as configurações do AD FS

Se o Microsoft Entra ID é federado com o AD FS, é necessário configurar o SCP do lado do cliente com as instruções já mencionadas. Para fazer isso, basta vincular o GPO aos servidores do AD FS. O objeto SCP define a origem de autoridade para objetos de dispositivo. Ele pode ser local ou estar no Microsoft Entra ID. Quando o SCP do lado do cliente é configurado para o AD FS, a origem dos objetos de dispositivo é estabelecida como Microsoft Entra ID.

Observação

Se você não conseguiu configurar o SCP do lado do cliente em seus servidores AD FS, a origem das identidades do dispositivo seria considerada local. O AD FS vai começar a excluir objetos de dispositivo do diretório local após o período definido no atributo de registro de dispositivo AD FS "MaximumInactiveDays". Objetos de Registro de Dispositivo do AD FS podem ser encontrados usando o cmdletGet-AdfsDeviceRegistration.

Por que um dispositivo pode estar em um estado pendente

Quando você configura uma tarefa de junção híbrida do Microsoft Entra no Microsoft Entra Connect Sync para seus dispositivos locais, a tarefa sincroniza objetos do dispositivo com o Microsoft Entra ID, e estabelece temporariamente o estado registrado dos dispositivos para "pendente" antes que o dispositivo conclua o registro do dispositivo. Esse estado pendente ocorre porque o dispositivo deve ser adicionado ao diretório do Microsoft Entra antes de ser registrado. Para obter mais informações sobre o processo de registro do dispositivo, consulte Como ele funciona: Registro de dispositivo.

Etapas pós-validação

Depois de verificar se tudo funciona conforme o esperado, você pode registrar automaticamente o restante dos dispositivos Windows com a ID do Microsoft Entra. Automatize o ingresso híbrido do Microsoft Entra configurando o SCP usando o Microsoft Entra Connect.

Conteúdo relacionado