Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se você tiver um ambiente local do Active Directory Domain Services (AD DS) e quiser conectar seus computadores que já estão no domínio do AD DS ao Microsoft Entra ID, poderá realizar essa tarefa por meio da junção híbrida com o Microsoft Entra.
Dica
O acesso de logon único (SSO) aos recursos locais também está disponível para dispositivos associados ao Microsoft Entra. Para obter mais informações, consulte Como o SSO em recursos locais funciona em dispositivos associados ao Microsoft Entra.
Pré-requisitos
Este artigo pressupõe que você esteja familiarizado com a Introdução ao gerenciamento de identidade do dispositivo na ID do Microsoft Entra.
Observação
A versão mínima necessária do controlador de domínio (DC) para o Windows 10 ou a junção híbrida mais recente do Microsoft Entra é o Windows Server 2008 R2.
Os dispositivos ingressados de forma híbrida do Microsoft Entra exigem uma linha de visão de rede periódica para seus controladores de domínio. Sem essa conexão, os dispositivos se tornam inutilizáveis.
Cenários que quebram sem linha de visão para seus controladores de domínio incluem:
- Alteração de senha do dispositivo
- Alteração de senha do usuário (credenciais armazenadas em cache)
- Redefinição do TPM (Trusted Platform Module)
Planejar sua implementação
Para planejar sua implementação híbrida do Microsoft Entra, familiarize-se com:
- Examinar dispositivos com suporte
- Revisar as coisas que você deve saber
- Examinar a implantação direcionada do ingresso híbrido do Microsoft Entra
- Selecione seu cenário com base em sua infraestrutura de identidade
- Analisar o suporte de UPN (nome de entidade de usuário) do Microsoft Windows Server Active Directory local para o ingresso híbrido do Microsoft Entra
Examinar dispositivos com suporte
A junção híbrida do Microsoft Entra dá suporte a uma ampla gama de dispositivos Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: Os clientes de nuvem nacionais do Azure exigem a versão 1803
- Windows Server 2019
Como prática recomendada, a Microsoft recomenda que você atualize para a versão mais recente do Windows.
Revisar as coisas que você deve saber
Cenários sem suporte
- Não há suporte para a junção híbrida do Microsoft Entra para o Windows Server que executa a função controlador de domínio (DC).
- O sistema operacional Server Core não dá suporte a nenhum tipo de registro de dispositivo.
- A USMT (Ferramenta de Migração de Estado do Usuário) não funciona com o registro do dispositivo.
Considerações sobre imagens do sistema operacional
Se você estiver contando com a Ferramenta de Preparação do Sistema (Sysprep) e usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo já registrado com o Microsoft Entra ID como ingressado de forma híbrida do Microsoft Entra.
Se você estiver contando com um instantâneo de VM (Máquina Virtual) para criar mais VMs, verifique se o instantâneo não é de uma VM que já está registrada com o Microsoft Entra ID como ingressada de forma híbrida no Microsoft Entra.
Se você estiver usando o Filtro de Gravação Unificado e tecnologias semelhantes que limpam as alterações no disco na reinicialização, elas deverão ser aplicadas depois que o dispositivo for ingressado no Microsoft Entra híbrido. A habilitação dessas tecnologias antes da conclusão do ingresso híbrido no Microsoft Entra resulta no cancelamento do ingresso do dispositivo a cada reinicialização.
Manipulando dispositivos com o estado registrado do Microsoft Entra
Se os dispositivos ingressados no domínio do Windows 10 ou em mais recentes estiverem registrados no Microsoft Entra do seu locatário, eles poderão ter um estado duplo de dispositivo registrado do Microsoft Entra e ingressado de forma híbrida no Microsoft Entra. É recomendável atualizar para o Windows 10 1803 (com KB4489894 aplicado) ou mais recente para resolver automaticamente esse cenário. Nas versões anteriores a 1803, você precisa remover o estado registrado do Microsoft Entra manualmente antes de habilitar a junção híbrida do Microsoft Entra. Em 1803 e versões acima, as seguintes alterações foram feitas para evitar esse estado duplo:
- Todo estado existente de registro no Microsoft Entra de um usuário será automaticamente removido depois que o dispositivo ingressar no Microsoft Entra híbrido e o mesmo usuário fizer logon. Por exemplo, se o usuário A tiver um estado registrado do Microsoft Entra no dispositivo, o estado duplo do Usuário A será limpo somente quando o Usuário A fizer logon no dispositivo. Se houver vários usuários no mesmo dispositivo, o estado duplo será limpo individualmente quando esses usuários fizerem logon. Depois que o administrador remover o estado de registro no Microsoft Entra, o Windows 10 cancelará o registro do dispositivo do Intune ou de outro MDM (gerenciamento de dispositivo móvel) se ele tiver sido feito automaticamente como parte do registro no Microsoft Entra.
- O estado de registro no Microsoft Entra em contas locais no dispositivo não é afetado por essa alteração. Aplicável somente a contas de domínio. O estado registrado do Microsoft Entra em contas locais não é removido automaticamente mesmo após o logon do usuário, já que o usuário não é um usuário de domínio.
- Você pode impedir que seu dispositivo associado ao domínio seja registrado no Microsoft Entra adicionando o seguinte valor de registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- No Windows 10 1803, se você tiver o Windows Hello para Empresas configurado, o usuário precisará reconfigurar o Windows Hello para Empresas após a limpeza de estado duplo. Esse problema é resolvido com KB4512509.
Observação
Embora o Windows 10 e o Windows 11 removam automaticamente o estado registrado do Microsoft Entra localmente, o objeto do dispositivo no Microsoft Entra ID não será excluído imediatamente se for gerenciado pelo Intune. Você pode validar a remoção do estado registrado do Microsoft Entra executando dsregcmd /status.
Ingresso híbrido do Microsoft Entra para uma única floresta, vários locatários do Microsoft Entra
Para registrar os dispositivos como ingressados de forma híbrida no Microsoft Entra nos respectivos locatários, as organizações precisarão confirmar que a configuração do Serviço de Pontos de Conexão (SCP) foi feita nos dispositivos e não no Microsoft Windows Server Active Directory. Mais detalhes sobre como realizar essa tarefa podem ser encontrados no artigo Implantação direcionada do ingresso híbrido no Microsoft Entra. É importante que as organizações compreendam que determinadas funcionalidades do Microsoft Entra não funcionam em configurações com múltiplas florestas ou múltiplos locatários do Microsoft Entra.
- O write-back de dispositivo não funciona. Essa configuração afeta o acesso condicional baseado em dispositivo para aplicativos locais federados usando o AD FS. Essa configuração também afeta a implantação do Windows Hello para Empresas ao usar o modelo de Confiança do Certificado Híbrido.
- O write-back de grupos não funciona. Essa configuração afeta o write-back de grupos do Office 365 para uma floresta com o Exchange instalado.
- SSO transparente não funciona. Essa configuração afeta cenários de SSO em organizações que usam plataformas de navegador como iOS ou Linux com Firefox, Safari ou Chrome sem a extensão do Windows 10.
- O Microsoft Entra Password Protection local não funciona. Essa configuração afeta a capacidade de fazer alterações de senha e redefinir eventos de senha em controladores de domínio locais do AD DS (Active Directory Domain Services) usando as mesmas listas de senhas proibidas globais e personalizadas armazenadas no Microsoft Entra ID.
Outras considerações
Se o ambiente usar a VDI (infraestrutura de área de trabalho virtual), consulte a identidade do dispositivo e a virtualização da área de trabalho.
O TPM 2.0 compatível com o padrão FIPS dá suporte ao ingresso híbrido no Microsoft Entra; o TPM 1.2, não. Se seus dispositivos tiverem o TPM 1.2 compatível com FIPS, você deverá desabilitá-los antes de prosseguir com o ingresso híbrido do Microsoft Entra. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.
A partir da versão do Windows 10 1903, o TPM versão 1.2 não é usado com o ingresso híbrido do Microsoft Entra e os dispositivos com esses TPMs são tratados como se não tivessem um TPM.
As alterações de UPN só têm suporte a partir da atualização do Windows 10 2004. Para dispositivos antes da atualização do Windows 10 2004, os usuários podem ter problemas de SSO e acesso condicional em seus dispositivos. Para resolver esse problema, você precisa desvincular o dispositivo do Microsoft Entra ID (executar "dsregcmd /leave" com privilégios elevados) e vinculá-lo novamente (ocorre automaticamente). No entanto, os usuários que entrarem com o Windows Hello para Empresas não enfrentam esse problema.
Examinar o ingresso híbrido do Microsoft Entra direcionado
As organizações podem querer fazer uma distribuição direcionada do ingresso híbrido do Microsoft Entra antes de habilitá-lo para toda a organização. Examine o artigo Implantação direcionada do ingresso híbrido do Microsoft Entra para entender como realizá-lo.
Aviso
As organizações devem incluir um exemplo de usuários de diferentes funções e perfis no grupo piloto. Uma distribuição direcionada ajuda a identificar os problemas que seu plano pode não resolver antes de habilitar para toda a organização.
Selecione seu cenário com base em sua infraestrutura de identidade
A junção híbrida do Microsoft Entra funciona com ambientes gerenciados e federados, dependendo se o UPN é roteável ou não. Consulte a parte inferior da página para a tabela sobre cenários com suporte.
Ambiente gerenciado
Um ambiente gerenciado pode ser implantado por meio de PHS (Sincronização de Hash de Senha) ou PTA (Autenticação de Passagem Direta) com logon único sem interrupções.
Esses cenários não exigem que você configure um servidor de federação para autenticação (AuthN).
Observação
A autenticação na nuvem usando a distribuição em etapas só tem suporte a partir da atualização do Windows 10 1903.
Ambiente federado
Um ambiente federado deve ter um provedor de identidade que dá suporte aos requisitos a seguir. Se você tem um ambiente federado usando o AD FS (Serviços de Federação do Active Directory), os requisitos abaixo já são compatíveis.
Protocolo WS-Trust: esse protocolo é necessário para autenticar dispositivos Windows ingressados híbridos do Microsoft Entra com o Microsoft Entra ID. Quando você estiver usando o AD FS, será necessário habilitar os seguintes pontos de extremidade do WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Aviso
Tanto adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport devem ser habilitados apenas como pontos de extremidade voltados para intranet e NÃO devem ser expostos como pontos de extremidade voltados para extranet por meio do Proxy de Aplicativo Web. Para saber mais sobre como desabilitar os pontos de extremidade do Windows do WS-Trust, confira Desabilitar pontos de extremidade do Windows do WS-Trust no proxy. Veja quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Serviço>Pontos de extremidade.
A partir da versão 1.1.819.0, o Microsoft Entra Connect fornece um assistente para configurar a associação híbrida do Microsoft Entra. O assistente permite simplificar significativamente o processo de configuração. Se a instalação da versão necessária do Microsoft Entra Connect não for uma opção para você, consulte Como configurar manualmente o registro do dispositivo. Se contoso.com estiver registrado como um domínio personalizado confirmado, os usuários poderão obter um PRT mesmo se o sufixo UPN do AD DS local sincronizado estiver em um subdomínio como test.contoso.com.
Analisar o suporte de UPN de usuários do Microsoft Windows Server Active Directory local para o ingresso híbrido do Microsoft Entra
- UPN de usuários roteáveis: um UPN roteável tem um domínio verificado válido registrado com um registrador de domínio. Por exemplo, se contoso.com for o domínio primário na ID do Microsoft Entra, contoso.org será o domínio principal no AD local de propriedade da Contoso e verificado na ID do Microsoft Entra.
- UPN de usuários não roteáveis: um UPN não roteável não possui um domínio verificado e está disponível apenas na rede privada da sua organização. Por exemplo, se contoso.com for o domínio primário no Microsoft Entra ID e contoso.local for o domínio primário no AD local, mas não for um domínio verificável na Internet e usado apenas na rede da Contoso.
Observação
As informações nesta seção se aplicam somente a um UPN de usuários locais. Ele não é aplicável a um sufixo de domínio de computador local (exemplo: computer1.contoso.local).
A tabela a seguir fornece detalhes sobre o suporte a esses UPNs do Microsoft Windows Server Active Directory local no ingresso híbrido no Microsoft Entra do Windows 10:
| Tipo de UPN do Microsoft Windows Server Active Directory local | Tipo de domínio | Versão do Windows 10 | Descrição |
|---|---|---|---|
| Roteável | Federado | A partir da versão 1703 | Disponível em geral |
| Não roteável | Federado | Da versão 1803 | Disponível em geral |
| Roteável | Gerenciado | Da versão 1803 | A funcionalidade Microsoft Entra SSPR na tela de bloqueio do Windows está disponível de forma geral, mas não é suportada em ambientes onde o UPN no local é diferente do UPN do Microsoft Entra. O UPN local precisa ser sincronizado com o atributo onPremisesUserPrincipalName no Microsoft Entra ID |
| Não roteável | Gerenciado | Sem suporte |