Planejar a implementação de junção do seu Microsoft Entra híbrido
Se você tem um ambiente do AD DS (Active Directory Domain Services) local e deseja conectar os computadores no domínio do AD DS também ao Microsoft Entra, faça isso com o ingresso no Microsoft Entra híbrido.
Dica
O acesso por login único (SSO) a recursos locais também está disponível para dispositivos que são ingressados no Microsoft Entra. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra.
Pré-requisitos
Este artigo presume que você esteja familiarizado com a Introdução ao gerenciamento de identidade do dispositivo no Microsoft Entra ID.
Observação
A versão mínima necessária do controlador de domínio (DC) para o ingresso no Microsoft Entra híbrido do Windows 10 ou mais recente é o Windows Server 2008 R2.
Os dispositivos ingressados no Microsoft Entra híbrido exigem uma conexão com os controladores de domínio locais de tempos em tempos. Sem essa conexão, os dispositivos se tornam inutilizáveis.
Cenários que quebram sem linha de visão para seus controladores de domínio incluem:
- Alteração da senha de dispositivo
- Alteração de senha do usuário (credenciais armazenadas em cache)
- Redefinição do Trusted Platform Module (TPM)
Planejar sua implementação
Para planejar a implementação do Microsoft Entra híbrido, você deve se familiarizar com:
- Dispositivos com suporte de revisão
- Você deve saber de coisas de revisão
- Examinar a implantação direcionada do ingresso no Microsoft Entra híbrido
- Selecione o cenário com base na sua infraestrutura de identidade
- Analisar o suporte de UPN (nome de entidade de usuário) do Microsoft Windows Server Active Directory local para o ingresso híbrido do Microsoft Entra
Dispositivos com suporte de revisão
O ingresso no Microsoft Entra híbrido dá suporte a uma ampla variedade de dispositivos Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Observação: Os clientes de nuvem nacional do Azure requerem a versão 1803
- Windows Server 2019
Como melhor prática, a Microsoft recomenda atualizar para a última versão do Windows.
Você deve saber de coisas de revisão
Cenários sem suporte
- Não há suporte ao ingresso no Microsoft Entra híbrido no Windows Server que executa a função de controlador de domínio.
- O sistema operacional Server Core não dá suporte a nenhum tipo de registro de dispositivo.
- A Ferramenta de Migração do Usuário (USMT) não funciona com o registro de dispositivo.
Considerações sobre geração de imagens de Sistema operacional
Se você estiver usando o Sysprep (Ferramenta de Preparação do Sistema) e se uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado no Microsoft Entra ID como ingressado no Microsoft Entra híbrido.
Se você estiver usando um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada no Microsoft Entra ID como ingressada no Microsoft Entra híbrido.
Se você estiver usando o Filtro de Gravação Unificado e tecnologias semelhantes que limpam as alterações no disco durante a reinicialização, elas precisarão ser aplicadas depois que o dispositivo ingressar no Microsoft Entra híbrido. A habilitação dessas tecnologias antes da conclusão do ingresso no Microsoft Entra híbrido resulta no cancelamento do ingresso do dispositivo a cada reinicialização.
Lidando com dispositivos indicados como registrados no Microsoft Entra
Se os dispositivos ingressados no domínio do Windows 10 ou em mais recentes estiveremregistrados no Microsoft Entra do seu locatário, eles poderão ter um estado duplo de dispositivo registrado do Microsoft Entra e ingressado no Microsoft Entra híbrido. Recomendamos atualizar para o Windows 10 1803 (com a KB 4489894 aplicada) ou mais recente para resolver automaticamente esse cenário. Em versões anteriores à 1803, você precisa remover manualmente o estado de registro no Microsoft Entra antes de habilitar o ingresso no Microsoft Entra híbrido. Na versão 1803 e acima, as seguintes alterações eram feitas para evitar o estado duplo:
- Todo estado existente de registro no Microsoft Entra de um usuário será automaticamente removido depois que o dispositivo ingressar no Microsoft Entra híbrido e o mesmo usuário fizer logon. Por exemplo, se o Usuário A tiver um estado de registro no Microsoft Entra no dispositivo, o estado duplo do Usuário A será limpo somente quando ele fizer logon no dispositivo. Se houver vários usuários no mesmo dispositivo, o estado duplo será limpo individualmente quando esses usuários fizerem logon. Depois que o administrador remover o estado de registro no Microsoft Entra, o Windows 10 cancelará o registro do dispositivo do Intune ou de outro gerenciamento de dispositivo móvel (MDM) se ele tiver sido feito automaticamente como parte do registro no Microsoft Entra.
- O estado de registro no Microsoft Entra em contas locais no dispositivo não é afetado por essa alteração. Aplicável somente a contas de domínio. O estado de registro no Microsoft Entra em contas locais não é removido automaticamente mesmo após o logon do usuário, pois o usuário não é um usuário de domínio.
- Você pode impedir que o dispositivo ingressado no domínio seja registrado no Microsoft Entra com a adição do seguinte valor de registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
- No Windows 10 1803, se você tiver o Windows Hello para Empresas configurado, o usuário precisará reconfigurá-lo após a limpeza de estado duplo. Esse problema foi resolvido com o KB4512509.
Observação
Embora o Windows 10 e o Windows 11 removam automaticamente o estado de registro no Microsoft Entra localmente, o objeto de dispositivo no Microsoft Entra ID gerenciado pelo Intune não é excluído imediatamente. Você pode validar a remoção do estado de registro no Microsoft Entra executando dsregcmd/status e se basear nisso para considerar que o dispositivo não está registrado no Microsoft Entra.
Ingresso no Microsoft Entra híbrido para uma única floresta e vários locatários do Microsoft Entra
Para registrar os dispositivos como ingressados no Microsoft Entra híbrido nos respectivos locatários, as organizações precisarão confirmar que a configuração do Serviço de Pontos de Conexão (SCP) foi feita nos dispositivos e não no Microsoft Windows Server Active Directory. Encontre mais detalhes sobre como realizar essa tarefa no artigo Implantação direcionada do ingresso no Microsoft Entra híbrido. É importante que as organizações entendam que algumas funcionalidades do Microsoft Entra não funcionam em configurações do Microsoft Entra com floresta única e vários locatários.
- O write-back de dispositivo não funcionará. Essa configuração afeta o Acesso Condicional baseado em dispositivo para aplicativos locais federados por meio do AD FS. Ela também afeta a implantação do Windows Hello para Empresas durante o uso do modelo de Confiança de Certificado Híbrido.
- O write-back de grupos não funcionará. Essa configuração afeta o write-back de grupos do Office 365 para uma floresta com o Exchange instalado.
- O SSO Contínuo não funcionará. Essa configuração afeta os cenários de SSO em organizações que usam plataformas de navegador como iOS ou Linux com Firefox, Safari ou Chrome sem a extensão do Windows 10.
- A Proteção de Senha do Microsoft Entra Local não funcionará. Essa configuração afeta a capacidade de fazer alterações de senha e os eventos de redefinição de senha em controladores de domínio do AD DS (Active Directory Domain Services) locais que usam as mesmas listas de senhas proibidas personalizadas globais armazenadas no Microsoft Entra ID.
Outras considerações
Se seu ambiente usa VDI (Virtual Desktop Infrastructure), consulte Identidade do dispositivo e virtualização de área de trabalho.
O TPM 2.0 compatível com o padrão FIPS dá suporte ao ingresso no Microsoft Entra híbrido; o TPM 1.2, não. Se seus dispositivos têm o TPM 1.2 compatível com FIPS, você precisará desabilitá-los antes de prosseguir com o ingresso no Microsoft Entra híbrido. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.
A partir da versão Windows 10 1903, os TPMs 1.2 não são usados com o ingresso no Microsoft Entra híbrido; os dispositivos com esses TPMs serão tratados como se não tivessem um TPM.
As alterações de UPN só têm suporte a partir da atualização do Windows 10 2004. Em dispositivos anteriores à atualização do Windows 10 2004, os usuários podem ter problemas de acesso condicional e de SSO. Para resolver esse problema, você precisará remover o ingresso do dispositivo no Microsoft Entra ID (execute "dsregcmd /leave" com privilégios elevados) e ingressá-lo novamente (isso ocorre automaticamente). No entanto, os usuários que se conectam com o Windows Hello para Empresas não enfrentam esse problema.
Examinar o ingresso no Microsoft Entra híbrido direcionado
As organizações podem querer fazer uma distribuição direcionada do ingresso no Microsoft Entra híbrido antes de habilitá-lo para toda a organização. Revise o artigo Implantação direcionada do ingresso no Microsoft Entra híbrido para entender como fazer isso.
Aviso
As organizações devem incluir um exemplo de usuários de diferentes funções e perfis no grupo piloto. Uma distribuição direcionada ajudará a identificar os problemas que seu plano pode não ter resolvido antes de habilitá-la em toda a organização.
Selecione o cenário com base na sua infraestrutura de identidade
O ingresso no Microsoft Entra híbrido funciona com ambientes gerenciados e federados, dependendo da possibilidade de roteamento ou não do UPN. Veja a parte inferior da página para ver a tabela de cenários com suporte.
Ambiente de leitura
Um ambiente gerenciado pode ser implantado por meio da sincronização de hash de senha (PHS) ou da autenticação de passagem (PTA) com logon único contínuo.
Esses cenários não exigem que você configure um servidor de federação para autenticação (AuthN).
Observação
Só há suporte para a autenticação de nuvem por meio da distribuição em etapas na atualização Windows 10 1903 em diante.
Ambiente federado
Um ambiente federado deve ter um provedor de identidade que dá suporte aos requisitos a seguir. Se você tem um ambiente federado usando o AD FS (Serviços de Federação do Active Directory), os requisitos abaixo já são compatíveis.
Protocolo WS-Trust: esse protocolo é um requisito para autenticar os dispositivos Windows atualmente ingressados no Microsoft Entra híbrido com o Microsoft Entra ID. Quando você estiver usando o AD FS, será necessário habilitar os pontos de extremidade WS-Trust a seguir:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Aviso
O adfs/services/trust/2005/windowstransport e também o adfs/services/trust/13/windowstransport devem ser habilitados como pontos de extremidade voltados para a intranet e NÃO devem ser expostos como pontos de extremidade voltados a uma extranet por meio do proxy de aplicativo Web. Para saber mais sobre como desabilitar os pontos de extremidade do Windows do WS-Trust, confira Desabilitar pontos de extremidade do Windows do WS-Trust no proxy. Veja quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Serviço>Pontos de extremidade.
Da versão 1.1.819.0 em diante, o Microsoft Entra Connect fornece um assistente para configurar o ingresso no Microsoft Entra híbrido. O assistente permite simplificar significativamente o processo de configuração. Se a instalação da versão obrigatória do Microsoft Entra Connect não for uma opção para você, confira Como configurar manualmente o registro do dispositivo. Se contoso.com estiver registrado como um domínio personalizado confirmado, os usuários poderão obter um PRT mesmo que o sufixo UPN do AD DS local sincronizado esteja em um subdomínio como test.contoso.com.
Analisar o suporte de UPN de usuários do Microsoft Windows Server Active Directory local para o ingresso híbrido do Microsoft Entra
- UPN de usuários roteáveis: um UPN roteável tem um domínio verificado válido, que é registrado em um registrador de domínios. Por exemplo, se contoso.com é o domínio primário do Microsoft Entra ID, contoso.org é o domínio primário no AD local pertencente à Contoso e verificado no Microsoft Entra ID.
- UPN não roteável de usuários: um UPN não roteável não tem um domínio verificado e só é aplicável na rede privada da sua organização. Por exemplo, quando contoso.com é o domínio primário no Microsoft Entra ID e contoso.local é o domínio primário no AD local, mas não é um domínio verificável na Internet e é usado somente na rede da Contoso.
Observação
As informações nesta seção aplicam-se somente a um UPN de usuários locais. Não se aplicam a um sufixo de domínio de computador local (exemplo: computador1.contoso.local).
A tabela a seguir fornece detalhes sobre o suporte a esses UPNs do Microsoft Windows Server Active Directory local no ingresso no Microsoft Entra híbrido do Windows 10:
| Tipo de UPN do Microsoft Windows Server Active Directory local | Tipo de domínio | Versão do Windows 10 | Descrição |
|---|---|---|---|
| Roteável | Federado | Da versão 1703 | Disponível para o público geral |
| Não roteável | Federado | Da versão 1803 | Disponível para o público geral |
| Roteável | Gerenciado | Da versão 1803 | O SSPR do Microsoft Entra na tela de bloqueio do Windows está geralmente disponível, mas não tem suporte em ambientes nos quais o UPN local é diferente do UPN do Microsoft Entra. O UPN local precisa ser sincronizado com o atributo onPremisesUserPrincipalName no Microsoft Entra ID |
| Não roteável | Gerenciado | Sem suporte |