Guia de planejamento de alto nível para migrar para pontos de extremidade nativos de nuvem

Dica

Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:

• Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
• Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
• Pontos finais nativos da cloud: pontos finais que estão associados ao Microsoft Entra. Eles não estão ingressados no AD local.
• Carga de trabalho: qualquer programa, serviço ou processo.

Este guia de planejamento de alto nível inclui ideias e sugestões que você precisa considerar para a adoção e migração para pontos de extremidade nativos de nuvem. Ele discute o gerenciamento de dispositivos, revisão e transição de cargas de trabalho existentes, alterações na organização, uso do Windows Autopilot e muito mais.

Esse recurso aplica-se a:

• Pontos de extremidade nativos de nuvem do Windows

Mover os pontos finais do Windows para nativo da cloud tem muitas vantagens, incluindo vantagens a longo prazo. Não é um processo de um dia para o outro e deve ser planejado para evitar problemas, interrupções e impacto negativo para o usuário.

Para obter mais informações sobre os benefícios para a organização e seus usuários, vá para O que são pontos de extremidade nativos de nuvem.

Para obter sucesso, considere as principais áreas descritas neste artigo para seu planejamento e implantação. Com planejamento, comunicações e atualizações de processo adequados, sua organização pode ser nativa da nuvem.

Gerenciar dispositivos usando um provedor de MDM nativo de nuvem

Gerenciar os pontos de extremidade, incluindo nativos de nuvem, é uma tarefa importante para todas as organizações. Com pontos de extremidade nativos de nuvem, as ferramentas de gerenciamento que você usa devem gerenciar os pontos de extremidade onde quer que eles vão.

Se não utilizar atualmente uma solução de gestão de dispositivos móveis (MDM) ou quiser mudar para uma solução microsoft, os seguintes artigos são bons recursos:

• O que é o Microsoft Intune?
• Introdução ao Microsoft Intune

Com a família de produtos e serviços do Microsoft Intune, tem as seguintes opções de gestão de pontos finais:

• Microsoft Intune: o Intune é 100% baseado na cloud e utiliza o centro de administração do Intune para gerir dispositivos, gerir aplicações em dispositivos, criar & implementar políticas, rever dados de relatórios e muito mais.

  Para obter mais informações sobre como usar o Intune para gerenciar seus pontos de extremidade, acesse:

  • O Microsoft Intune gere identidades de forma segura, gere aplicações e gere dispositivos
  • Guia de implantação: configurar ou migrar para o Microsoft Intune
  • Guia de planejamento do Microsoft Intune

• Microsoft Configuration Manager: o Configuration Manager utiliza uma infraestrutura no local e pode gerir servidores. Quando você usa o cogerenciamento, algumas cargas de trabalho usam o Configuration Manager (local) e outras usam o Microsoft Intune (nuvem).

  Para pontos de extremidade nativos de nuvem, suas soluções do Configuration Manager devem usar um CMG (Gateway de gerenciamento de nuvem) e o cogerenciamento.

Analisar suas cargas de trabalho de usuário e pontos de extremidade

Em um alto nível, a implantação de pontos de extremidade nativos de nuvem requer estratégias modernas para identidade, distribuição de software, gerenciamento de dispositivos, atualizações do sistema operacional e gerenciamento de dados do usuário e configuração. A Microsoft tem soluções que dão suporte a essas áreas para seus pontos de extremidade nativos de nuvem.

Para começar, examine cada carga de trabalho e determine como ela pode ou dará suporte aos seus pontos de extremidade nativos de nuvem. Algumas cargas de trabalho já podem dar suporte a pontos de extremidade nativos de nuvem. O suporte nativo depende da carga de trabalho específica, de como sua organização implementa os serviços de carga de trabalho e de como os usuários utilizam os serviços.

Para determinar se suas cargas de trabalho dão suporte a pontos de extremidade nativos de nuvem, você precisa investigar e validar esses serviços.

Se um serviço ou solução não for compatível com pontos de extremidade nativos de nuvem, determine seu impacto e sua criticalidade sobre seus usuários e sua organização. Quando você tiver essas informações, poderá determinar as próximas etapas, que podem incluir:

• Trabalhar com o fornecedor do serviço
• Atualizar para uma nova versão
• Usar um novo serviço
• Implementar uma solução alternativa para acessar e usar esse serviço de um ponto de extremidade nativo de nuvem
• Validar os requisitos do serviço
• Aceitar que o serviço não é amigável para a nuvem, o que pode ser aceitável para seus usuários e sua organização

De qualquer forma, você deve planejar atualizar suas cargas de trabalho para dar suporte a pontos de extremidade nativos de nuvem.

Suas cargas de trabalho devem ter as seguintes características:

• Acessar com segurança aplicativos e dados de qualquer lugar em que os usuários estejam localizados. O acesso não requer uma conexão com uma rede corporativa ou interna.
• Hospedado em, hospedado por ou hospedado através de um serviço de nuvem.
• Não requerer ou depender de um dispositivo específico.

Cargas de trabalho e soluções comuns

Os pontos de extremidade nativos de nuvem também incluem os serviços e cargas de trabalho que dão suporte aos pontos de extremidade.

As cargas de trabalho a seguir são configuração, ferramentas, processos e serviços para habilitar a produtividade do usuário e o gerenciamento de pontos de extremidade.

Suas cargas de trabalho exatas, detalhes e como atualizá-las para pontos de extremidade nativos de nuvem podem ser diferentes. Além disso, não precisa de fazer a transição de todas as cargas de trabalho. No entanto, você precisa considerar cada carga de trabalho, seu impacto sobre a produtividade do usuário e as capacidades de gerenciamento de dispositivos. Converter algumas cargas de trabalho para usar pontos de extremidade nativos de nuvem pode levar mais tempo do que outras. As cargas de trabalho também podem ter interdependências entre si.

• Identidade do dispositivo

  A identidade de um dispositivo é determinada pelos IdP (provedores de identidade) que têm conhecimento do dispositivo e uma relação de confiança de segurança com ele. Para pontos finais do Windows, os IdPs mais comuns são o Active Directory (AD) no local e o Microsoft Entra ID. Os pontos de extremidade com identidades de um desses IdPs normalmente são ingressados em um ou em ambos.

  • Para pontos finais nativos da cloud, a associação ao Microsoft Entra é a melhor opção para a identidade do dispositivo. Ele não requer conectividade com uma rede, recurso ou serviço local.
  • A associação ao AD no local e a associação híbrida do Microsoft Entra requerem conectividade a um controlador de domínio no local. Eles precisam de conectividade para a entrada inicial do usuário, para aplicar políticas de grupo e alterar senhas. Estas opções não são adequadas para pontos finais nativos da cloud.

  Observação

  O registo do Microsoft Entra, por vezes referido como associação à área de trabalho, destina-se apenas a cenários BYOD (Bring Your Own Device). Ele não deve ser usado para pontos de extremidade do Windows de propriedade da organização. Algumas funcionalidades podem não ser suportadas ou funcionar conforme esperado nos pontos finais do Windows registados no Microsoft Entra.

• Provisionar seus pontos de extremidade

  Para pontos finais de associação do Microsoft Entra recentemente implementados, utilize o Windows Autopilot para pré-configurar dispositivos. A adesão ao Microsoft Entra é normalmente uma tarefa orientada pelo utilizador e o Windows Autopilot foi concebido tendo em conta os utilizadores. O Windows Autopilot permite o provisionamento usando a nuvem de qualquer lugar na Internet, e por qualquer usuário.

  Para obter mais informações, vá para:

  • Visão geral do Windows Autopilot
  • Cenários e recursos do Windows Autopilot

• Implantar software e aplicativos

  A maioria dos usuários precisa e usa software e aplicativos não incluídos no sistema operacional principal. Em muitos casos, a TI não conhece nem entende os requisitos específicos do aplicativo. No entanto, entregar e gerenciar esses aplicativos ainda é responsabilidade da sua equipe de TI. Os usuários devem ser capazes de solicitar e instalar os aplicativos de que precisam para fazer seu trabalho, independentemente do ponto de extremidade que estão usando ou de onde o estão usando.

  • Para implantar software e aplicativos, use um sistema baseado em nuvem, como o Intune ou o Configuration Manager (com um CMG e cogerenciamento).

  • Crie uma linha de base de aplicativos que seus pontos de extremidade devem ter, como o Microsoft Outlook e o Teams. Para outros aplicativos, permita que os usuários instalem seus próprios.

    Em seus pontos de extremidade, você pode usar o aplicativo do Portal da Empresa como repositório de aplicativos. Ou use um portal voltado para o usuário que lista os aplicativos que podem ser instalados. Esta opção self-service reduz o tempo de aprovisionamento de dispositivos novos e existentes. Também reduz a carga nas TI e não tem de implementar aplicações de que os utilizadores não precisam.

  Para obter mais informações, vá para:

  • Implantação de aplicativo do Windows 10/11 usando o Microsoft Intune
  • Introdução ao gerenciamento de aplicativos no Configuration Manager
  • Repositório de aplicativos privado no Windows 11

• Definir configurações de dispositivo usando políticas

  O gerenciamento de políticas e segurança é fundamental no gerenciamento de pontos de extremidade. As políticas de ponto de extremidade permitem que sua organização imponha uma linha de base de segurança específica e uma configuração padrão em seus pontos de extremidade gerenciados. Há muitas configurações que você pode gerenciar e controlar em seus pontos de extremidade. O DO cria políticas que apenas configuram o que é necessário na linha de base. NÃO crie políticas que controlem as preferências de utilizador comuns.

  • A imposição de política tradicional usando a política de grupo não é possível com pontos de extremidade nativos de nuvem. Em vez disso, você pode usar o Intune para criar políticas para definir muitas configurações, incluindo recursos internos como o Catálogo de configurações e modelos administrativos.

    A Análise de política de grupo no Intune pode analisar seus GPOs locais, ver se essas mesmas configurações têm suporte na nuvem e criar uma política usando essas configurações.

  • Se você tiver políticas existentes que emitam certificados, gerenciem o BitLocker e forneçam proteção de pontos de extremidade, precisará criar novas políticas no Intune ou no Configuration Manager (com um CMG e cogerenciamento).

    Para obter mais informações, vá para:

    • Usar certificados de autenticação no Microsoft Intune
    • Política de criptografia de disco para segurança de ponto de extremidade no Intune
    • Adicione as configurações de proteção do Ponto de extremidade no Intune
    • Certificados no Configuration Manager
    • Gerenciamento do BitLocker no Configuration Manager
    • Proteção do ponto de extremidade no Configuration Manager

• Implantar atualizações de segurança, recursos e aplicativos

  Muitas soluções locais não podem implantar atualizações em pontos de extremidade nativos de nuvem, nem implantá-las com eficiência. De uma perspectiva de segurança, essa carga de trabalho pode ser a mais importante. Deve ser a primeira carga de trabalho que você faz a transição para dar suporte a pontos de extremidade do Windows nativos de nuvem.

  • Implantar atualizações do Windows usando um sistema baseado em nuvem, como Windows Update para Empresas. Usando o Intune ou o Configuration Manager (com um CMG e cogerenciamento), você pode usar o Windows Update para Empresas para implantar atualizações de segurança e de recursos.

    Para obter mais informações, vá para:

    • Gerenciar atualizações de software do Windows 10 e do Windows 11 no Intune
    • Integrar o Gerente de configurações ao Windows Update para Empresas
    • Escolher como gerenciar atualizações do Microsoft 365 Apps

  • Implantar atualizações de aplicativo do Microsoft 365 usando as seguintes opções:

    • Intune: crie uma política que define o canal de atualizações, remove outras versões do aplicativo e muito mais.
    • Configuration Manager (com um CMG e cogerenciamento): gerencie seus aplicativos, incluindo estatísticas de atualização, cópia, desativação e muito mais.

    Para obter mais informações, vá para:

    • Adicionar aplicativos do Microsoft 365 a dispositivos do Windows 10/11 com o Microsoft Intune
    • Tarefas de gerenciamento para aplicativos do Configuration Manager

• Gerenciar dados e configurações do usuário

  Os dados do usuário incluem os seguintes itens:

  • Documentos do usuário
  • Configuração do aplicativo de email
  • Favoritos do navegador da Web
  • Dados específicos do aplicativo de LOB (linha de negócios)
  • Definições de configuração específicas do aplicativo de LOB (linha de negócios)

  Os usuários precisam criar e acessar seus dados de qualquer ponto de extremidade. Esses dados também precisam ser protegidos e talvez precisem ser compartilhados com outros usuários.

  • Armazene dados e configurações do usuário em um provedor de armazenamento em nuvem, como o Microsoft OneDrive. Os provedores de armazenamento em nuvem podem lidar com sincronização de dados, compartilhamento, acesso offline, resolução de conflitos e muito mais.

    Para obter mais informações, acesse OneDrive para empresas.

  Importante

  Algumas configurações do usuário, como preferências do sistema operacional ou configurações específicas do aplicativo, são armazenadas no registro. O acesso a essas configurações de qualquer lugar pode não ser realista e pode ser proibido de sincronizar com pontos de extremidade diferentes.

  É possível que essas configurações possam ser exportadas e, em seguida, importadas em outro dispositivo. Por exemplo, você pode exportar as configurações de usuário do Outlook, word e outros aplicativos do Office.

• Acesse recursos locais

  Algumas organizações não podem fazer a transição de algumas cargas de trabalho para soluções nativas de nuvem. A única opção pode ser acessar recursos ou serviços locais existentes de um ponto de extremidade nativo de nuvem. Para esses cenários, os usuários precisam de acesso.

  Para esses serviços, recursos e aplicativos locais, considere as seguintes tarefas:

  • Autenticação e autorização: para acessar recursos locais de pontos de extremidade nativos de nuvem, os usuários precisam autenticar e verificar quem são. Para obter informações mais específicas, acesse Autenticação e acesso a recursos locais com ponto de extremidade nativo de nuvem.

  • Conectividade: reveja e avalie aplicações & recursos que apenas se encontram no local. A conectividade e o acesso a esses recursos devem estar disponíveis fora do local e sem nenhuma conectividade direta, como uma VPN. Esta tarefa pode incluir a mudança para versões SaaS das suas aplicações, utilizando o Proxy de Aplicações do Microsoft Entra, o Azure Virtual Desktop, o Windows 365, o SharePoint, o OneDrive ou o Microsoft Teams.

  Observação

  O Microsoft Entra não suporta o protocolo de autenticação Kerberos. O AD local dá suporte ao protocolo de autenticação Kerberos. No seu planeamento, poderá saber mais sobre o Microsoft Entra Kerberos. Quando configurados, os utilizadores iniciam sessão num ponto final nativo da cloud com a respetiva conta do Microsoft Entra e podem aceder a aplicações ou serviços no local que utilizam a autenticação Kerberos.

  Microsoft Entra Kerberos:

  • Não é usado em soluções nativas de nuvem.
  • Não resolve quaisquer problemas de conectividade para recursos que requerem autenticação através do Microsoft Entra.
  • Não é a resposta ou solução para quaisquer requisitos de autenticação de domínio através do Microsoft Entra.
  • Não aborda os desafios de autenticação do computador listados em Problemas conhecidos e informações importantes.

  Para obter uma compreensão mais aprofundada do Microsoft Entra Kerberos e dos cenários que pode abordar, aceda aos seguintes blogues:

  • Why We Built Microsoft Entra Kerberos (abre um site externo)
  • Descrição aprofundada: como funciona o Microsoft Entra Kerberos (abre outro site da Microsoft)
  • Como funciona o Microsoft Entra Kerberos (syfuhs.net) (abre um site externo)

Faça a transição de suas cargas de trabalho em fases

Modernizar cargas de trabalho e adotar pontos finais nativos da cloud requer alterações nos processos e procedimentos operacionais. Por exemplo:

• Os administradores precisam entender como as alterações nas cargas de trabalho existentes podem alterar seus processos.
• A Central de Serviços precisa entender os novos cenários aos quais ela dará suporte.

Ao examinar seus pontos de extremidade e cargas de trabalho, divida a transição em fases. Esta seção fornece uma visão geral sobre algumas fases recomendadas que sua organização pode usar. Essas fases podem ser repetidas quantas vezes forem necessárias.

✅ Fase 1: obter informações sobre suas cargas de trabalho

Essa fase é a de coleta de informações. Ela ajuda você a estabelecer o escopo do que você deve considerar para que sua organização faça a transição para a nuvem nativa. Isso envolve definir exatamente quais serviços, produtos e aplicativos estão envolvidos com cada carga de trabalho em seu ambiente.

Nesta fase:

1. Inventariar as informações e os detalhes atuais da carga de trabalho. Por exemplo, conheça o seu estado atual, o que fornecem, quem servem, quem os mantém, se são críticos para os nativos da cloud e como são alojados.

   Quando tiver estas informações, pode compreender e definir o objetivo final, que deve ser:

   • Dar suporte a pontos de extremidade nativos de nuvem
   • Conhecer os serviços, produtos e aplicativos usados por cada carga de trabalho

   Tem de se coordenar com os proprietários dos diferentes serviços, produtos e aplicações. Você deve garantir que os pontos de extremidade nativos de nuvem deem suporte à produtividade do usuário sem restrições de conectividade ou localização.

   Dentre os exemplos de serviços e aplicativos comuns estão os de LOB (linha de negócios), sites internos, compartilhamentos de arquivos, requisitos de autenticação, mecanismos de atualização de aplicativo e sistema operacional e configuração de aplicativos. Basicamente, eles incluem tudo que os usuários precisam para realizar totalmente seus trabalhos.

2. Verifique o estado final de cada carga de trabalho. Identifique bloqueadores conhecidos que impedem chegar a esse estado final ou impedem o suporte a pontos de extremidade nativos de nuvem.

   Algumas cargas de trabalho e seus serviços e aplicativos já podem ser compatíveis com a nuvem ou habilitados. Outros não podem. Chegar ao estado final de cada carga de trabalho pode exigir o investimento da organização & esforço. Pode incluir atualizar software, "levantar e mudar" para uma nova plataforma, migrar para uma nova solução ou fazer alterações de configuração.

   As etapas necessárias para cada carga de trabalho são diferentes em cada organização. Elas dependem de como o serviço ou aplicativo é hospedado e acessado pelos usuários. Esse estado final deve resolver o principal desafio de permitir que os usuários realizem seu trabalho em um ponto de extremidade nativo da nuvem, independentemente da localização ou da conectividade com a rede interna.

   Com base em cada estado final definido, você pode descobrir ou definir que habilitar um serviço ou aplicativo na nuvem é difícil ou está bloqueado. Essa situação pode acontecer por diferentes motivos, incluindo limitações técnicas ou financeiras. Essas limitações precisam ser claras e compreendidas. Tem de rever o impacto e determinar como mover cada carga de trabalho para ser compatível com os nativos da cloud.

✅ Fase 2: priorizar bloqueadores

Depois de identificar as principais cargas de trabalho e seus bloqueadores de estado final:

1. Priorize cada bloqueador e avalie cada um para resolução.

   Talvez você não queira ou precise lidar com todos os bloqueadores. Por exemplo, a sua organização pode ter cargas de trabalho ou uma parte das cargas de trabalho que não suportam os pontos finais nativos da cloud. Essa falta de suporte pode ou não ser significativa para sua organização ou usuários. Você e sua organização podem tomar essa decisão.

2. Para dar suporte a testes e POC (prova de conceito), comece com um conjunto mínimo de cargas de trabalho. A meta é testar e validar uma amostra de suas cargas de trabalho.

   Como parte da POC, identifique um conjunto de usuários e dispositivos em um piloto para executar um cenário de produção do mundo real. Este passo ajuda a provar se o estado final permite a produtividade do utilizador.

   Em muitas organizações, existe uma função ou grupo empresarial que é mais fácil de migrar. Por exemplo, você pode visar os seguintes cenários em sua POC:

   • Equipe de vendas altamente móvel cujos principais requisitos são ferramentas de produtividade e uma solução de gerenciamento de relacionamento com o cliente online
   • Profissionais de conhecimento que acedem principalmente a conteúdos que já estão na cloud e dependem fortemente de aplicações do Microsoft 365
   • Dispositivos de funcionários da linha de frente que são altamente móveis ou estão em ambientes onde não têm acesso à rede da organização

   Examine as cargas de trabalho desses grupos. Determine como essas cargas de trabalho podem passar para o gerenciamento moderno, incluindo identidade, distribuição de software, gerenciamento de dispositivos e muito mais.

   Para cada uma das áreas em seu piloto, o número de itens ou tarefas deve ser baixo. Esse piloto inicial ajuda você a criar os processos e procedimentos necessários para mais grupos. Ele também ajuda a criar sua estratégia de longo prazo.

   Para obter mais diretrizes e dicas, acesse o Guia de planejamento do Microsoft Intune. Ele se aplica ao Intune, mas também inclui algumas diretrizes para o uso de grupos piloto e criação de planos de distribuição.

✅ Fase 3: fazer a transição de suas cargas de trabalho

Nessa fase, você está pronto para implementar suas alterações.

1. Mova cargas de trabalho desbloqueadas para suas soluções nativas de nuvem planejadas ou estado final. Idealmente, este passo é dividido em itens de trabalho mais pequenos. A meta é continuar as operações de negócios com interrupção mínima.

2. Após o primeiro conjunto de cargas de trabalho dar suporte a pontos de extremidade nativos de nuvem, identifique mais cargas de trabalho e continue o processo.

✅ Fase 4: preparar seus usuários

Os utilizadores têm experiências diferentes para receber, implementar e ser suportados nos respetivos dispositivos. Os administradores devem:

• Reveja os processos e a documentação existentes para identificar onde as alterações são visíveis para os utilizadores.
• Atualizar a documentação.
• Criar uma estratégia educacional para compartilhar as alterações e os benefícios que os usuários terão.

Faça a transição de sua organização em fases

As fases a seguir são uma abordagem de alto nível para que as organizações movam seu ambiente para dar suporte a pontos de extremidade do Windows nativos de nuvem. Essas fases são paralelas à transição de pontos de extremidade e cargas de trabalho do usuário. Elas podem depender de determinadas cargas de trabalho sendo parcial ou totalmente transferidas para dar suporte a pontos de extremidade do Windows nativos de nuvem.

✅ Fase 1: definir pontos de extremidade, dependências e marcos

Essa fase é a primeira etapa da migração da sua organização para ser totalmente nativa da nuvem. Reveja o que tem atualmente, defina critérios de sucesso e comece a planear como os seus dispositivos serão adicionados ao Microsoft Entra.

1. Defina os pontos de extremidade que exigem uma identidade de nuvem

   • Os pontos de extremidade que usam acesso à Internet exigem uma identidade de nuvem. Irá adicionar estes pontos finais ao Microsoft Entra.
   • Os pontos de extremidade que não usam a Internet ou são usados apenas no local não devem ter uma identidade de nuvem. Não migre esses cenários para serem nativos de nuvem.

2. Definir dependências

   Cargas de trabalho, usuários e dispositivos têm dependências técnicas e não técnicas. Para fazer a transição com impacto mínimo para os usuários e a organização, você deve considerar essas dependências.

   Por exemplo, uma dependência pode ser:

   • Processos de negócios e continuidade
   • Padrões de segurança
   • Leis e regulamentos locais
   • Conhecimento do usuário e uso da carga de trabalho
   • Capital, custos operacionais e orçamento

   Para cada carga de trabalho, pergunte "O que é afetado se alterarmos alguma coisa sobre os serviços fornecidos por esta carga de trabalho?". Você deve considerar os efeitos dessa alteração.

3. Definir marcos e critérios de sucesso para cada carga de trabalho

   Cada carga de trabalho tem seus próprios marcos e critérios de sucesso. Eles podem ser baseados no uso da carga de trabalho pela organização e em sua capacidade de aplicação a pontos de extremidade e usuários específicos.

   Para entender e definir o progresso da transição, acompanhe e monitore essas informações.

4. Planejar a implantação do Windows Autopilot

   • Determine como e quando os dispositivos serão registrados em sua organização.
   • Determine e crie os rótulos de grupo necessários para direcionar suas políticas do Windows Autopilot.
   • Crie seu perfil do Windows Autopilot com suas definições de configuração e direcione os dispositivos que receberão seu perfil.

   Para obter mais informações, vá para:

   • Visão geral do Windows Autopilot
   • Cenários e recursos do Windows Autopilot

✅ Fase 2: habilitar identidade híbrida de nuvem de ponto de extremidade (opcional)

Para ser totalmente nativo da cloud, a Microsoft recomenda que os pontos finais existentes do Windows sejam repostos como parte de um ciclo de atualização de hardware. Quando você redefine, o ponto de extremidade é restaurado de volta às configurações de fábrica. Todos os aplicativos, configurações e dados pessoais no dispositivo são excluídos.

Se não estiver pronto para repor os pontos finais, pode ativar a associação híbrida do Microsoft Entra. É criada uma identidade na cloud para pontos finais híbridos de associação do Microsoft Entra. Lembre-se de que a associação híbrida do Microsoft Entra ainda requer conectividade no local.

Lembre-se de que a associação híbrida do Microsoft Entra é um passo transitório para nativo da cloud e não é o objetivo final. A meta final é que todos os pontos de extremidade existentes sejam totalmente nativos de nuvem.

Quando os pontos de extremidade são totalmente nativos de nuvem, os dados do usuário são armazenados em um provedor de armazenamento em nuvem, como o OneDrive. Assim, quando um ponto final é reposto, as aplicações, a configuração e os dados do utilizador continuam acessíveis e podem ser replicados para um ponto final recentemente aprovisionado.

Para obter mais informações, confira:

• Microsoft Entra aderiu vs. Híbrido Microsoft Entra associado
• Configurar a associação híbrida do Microsoft Entra

Observação

A Microsoft não tem um utilitário de migração para converter pontos finais existentes de domínios associados no local ou associados híbridos ao Microsoft Entra associados ao Microsoft Entra. A Microsoft recomenda que estes dispositivos sejam repostos e reimplementados como parte de uma atualização de hardware.

✅ Fase 3: Vincular o Configuration Manager à nuvem (opcional)

Se você usa o Configuration Manager, vincule seu ambiente à nuvem do Microsoft Intune. Se você não usa o Configuration Manager, ignore esta etapa.

Quando anexar a cloud, pode gerir remotamente os pontos finais do cliente, co-gerir os pontos finais com o Intune (cloud) e o Configuration Manager (no local) e aceder ao centro de administração do Intune.

Para obter informações mais específicas, aceda a Cloud anexar o ambiente do Configuration Manager e Percorra o centro de administração do Microsoft Intune.

✅ Fase 4: Criar uma prova de conceito associada ao Microsoft Entra

Essa fase crítica pode começar a qualquer momento. Ela ajuda a identificar problemas potenciais e desconhecidos e valida a funcionalidade geral e as resoluções para esses problemas. Assim como ocorre com todas as POCs, o objetivo é provar e validar a funcionalidade em um ambiente corporativo real em vez de em um ambiente de laboratório.

As etapas importantes para essa fase incluem:

1. Implementar uma configuração de linha de base mínima usando o Intune

   Esta etapa é importante. Você introduzirá pontos de extremidade à sua rede ou à produção que:

   • Não siga os padrões de segurança da sua organização
   • Não esteja configurada para que os usuários realizem seu trabalho.

   Essa configuração mínima não tem e não deve ter todas as configurações possíveis aplicadas. Lembre-se de que a intenção é descobrir mais configurações necessárias para que os usuários sejam bem-sucedidos.

2. Configurar o Windows Autopilot para pontos finais associados ao Microsoft Entra

   Utilizar o Windows Autopilot para aprovisionar novos pontos finais e voltar a aprovisionar pontos finais existentes é a forma mais rápida de introduzir sistemas associados ao Microsoft Entra na sua organização. É uma parte importante da POC.

3. Implementar uma POC para sistemas associados ao Microsoft Entra

   • Use uma combinação de pontos de extremidade que representem configurações e usuários diferentes. O ideal é ter a maior validação possível desse novo estado do sistema.

   • Somente o uso real de produção por usuários de produção reais validará totalmente as cargas de trabalho e suas funcionalidades. Através da utilização natural do dia-a-dia dos pontos finais da POC microsoft Entra, os utilizadores testam e validam organicamente as suas cargas de trabalho.

   • Crie listas de verificação de cenários e funcionalidades críticas para os negócios e forneça essas listas aos usuários da POC. As listas de verificação são específicas para cada organização e podem ser alteradas à medida que as cargas de trabalho transicionam para cargas de trabalho amigáveis nativas da nuvem.

4. Validar funcionalidade

   A validação é um processo repetitivo. Ela se baseia nas cargas de trabalho e na configuração delas em sua organização.

   • Colete comentários dos usuários sobre os pontos de extremidade da POC, as cargas de trabalho e suas funcionalidades. Esses comentários devem ser de usuários que usaram os pontos de extremidade nativos de nuvem.

     Outros bloqueadores e cargas de trabalho/cenários anteriormente desconhecidos ou não detectados podem ser descobertos.

   • Use os marcos e os critérios de sucesso estabelecidos anteriormente para cada carga de trabalho. Eles ajudarão a determinar o progresso e o escopo da POC.

✅ Fase 5: Associar o Microsoft Entra aos seus pontos finais existentes do Windows

Esta fase faz a transição do novo aprovisionamento de pontos finais do Windows para o Microsoft Entra associado. Depois que todos os bloqueadores e problemas forem resolvidos, você poderá mover os dispositivos existentes para serem totalmente nativos de nuvem. Você tem as seguintes opções:

• Opção 1: substituir seus dispositivos. Se os dispositivos estão no fim de vida útil ou não dão suporte à segurança moderna, substituí-los é a melhor opção. Os dispositivos modernos dão suporte a recursos de segurança novos e aprimorados, incluindo a tecnologia TPM (módulo de plataforma confiável).

• Opção 2: redefinir os dispositivos Windows. Se os dispositivos existentes dão suporte aos recursos de segurança mais recentes, eles podem ser redefinidos. Durante a experiência inicial (OOBE) ou quando os utilizadores iniciam sessão, podem associar os dispositivos ao Microsoft Entra.

  Antes de redefinir um ponto de extremidade existente do Windows, certifique-se de:

  1. Excluir o dispositivo do Intune.
  2. Excluir o registro do dispositivo do Windows Autopilot.
  3. Elimine o objeto de dispositivo Microsoft Entra existente.

  Em seguida, redefina o dispositivo e provisione novamente o ponto de extremidade.

Quando os dispositivos estiverem prontos, associe estes dispositivos ao Microsoft Entra através da opção mais adequada para a sua organização. Para obter informações mais específicas, aceda a Dispositivos associados ao Microsoft Entra e Como: Planear a implementação da sua associação ao Microsoft Entra.

Mover de Objetos de Política de Grupo (GPOs)

Muitas organizações usam GPOs para configurar e gerenciar seus pontos de extremidade do Windows.

Ao longo do tempo, isso fica complicado devido à falta de documentação, de clareza da finalidade ou dos requisitos da política, ao uso de políticas herdadas ou não funcionais e ao uso de recursos complexos. Por exemplo, pode haver políticas que incluam filtros WMI, tenham estruturas de UO complexas e usem bloqueio de herança, loopback ou filtragem de segurança.

Gerenciar configurações usando o Intune

O Microsoft Intune tem muitas configurações internas que podem ser definidas e implantadas em seus pontos de extremidade nativos de nuvem. Ao migrar para o Intune para gerenciamento de políticas, você tem algumas opções.

Essas opções não são necessariamente mutuamente exclusivas. Você pode migrar um subconjunto de políticas e iniciar novas para outras pessoas.

• Opção 1: iniciar novo (recomendado): o Intune tem muitas configurações para configurar e gerenciar seus pontos de extremidade. Você pode criar uma política, adicionar e definir configurações nela e, em seguida, implantá-la.

  Muitas políticas de grupo existentes incluem políticas que podem não se aplicar a pontos de extremidade nativos de nuvem. Começar do zero permite que uma organização valide e simplifique suas políticas existentes, eliminando políticas herdadas, esquecidas ou até mesmo prejudiciais. O Intune tem modelos internos que agrupam configurações comuns, como VPN, Wi-Fi, proteção de ponto de extremidade e muito mais.

• Opção 2: Migrar: essa opção envolve levantar as políticas existentes e movê-las para o mecanismo de política do Intune. Pode ser um processo complicado e demorado. Por exemplo, você pode ter muitas políticas de grupo existentes e haverá diferenças entre as configurações locais e as na nuvem.

  Se você escolher essa opção, deverá revisar analisar suas políticas de grupo existentes e determinar se elas ainda são necessárias ou válidas em seus pontos de extremidade nativos de nuvem. O ideal é eliminar políticas desnecessárias, incluindo as que podem causar sobrecarga, ou degradar o desempenho do sistema ou a experiência do usuário. Não mova suas políticas de grupo para o Intune até saber o que elas fazem.

Recursos do Intune que você deve conhecer

O Intune também tem recursos internos que podem ajudar você a configurar seus pontos de extremidade nativos de nuvem:

• Análise da Política de Grupo: pode importar os GPOs no centro de administração do Microsoft Intune e executar uma análise das políticas. Você pode ver as políticas existentes no Intune e as que foram preteridas.

  Se você usar GPOs, utilizar essa ferramenta será uma primeira etapa valiosa.

  Para obter mais informações, aceda a Análise da Política de Grupo no Intune.

• Catálogo de configurações: consulte todas as configurações disponíveis no Intune e crie, configure e implante uma política utilizando essas configurações. Tarefas que você pode concluir usando o Catálogo de configurações no Intune também pode ser um bom recurso. Se você cria GPOs, o catálogo de configurações será uma transição natural para a configuração do ponto de extremidade nativo da nuvem.

  Quando combinado com a análise da Política de Grupo, pode implementar as políticas que utilizou no local para os pontos finais nativos da cloud.

  Para obter mais informações, aceda ao Catálogo de Definições no Intune.

• Modelos administrativos: esses modelos são semelhantes aos modelos ADMX usados no local e são integrados ao Intune. Você não os baixa. Esses modelos incluem muitas configurações que controlam recursos no Microsoft Edge, Internet Explorer, aplicativos do Microsoft Office, área de trabalho remota, OneDrive, senhas, PINs e muito mais.

  Se você usa modelos administrativos locais, usá-los no Intune será uma transição natural.

  Para obter mais informações, aceda a Modelos administrativos no Intune.

  Você também pode ingerir um conjunto existente de políticas ADMX para aplicativos Win32 e Ponte de Desktop. Para obter mais informações, vá para:

  • Entender políticas ADMX – Gerenciamento de cliente Windows
  • Habilitar políticas ADMX no MDM – Gerenciamento de cliente Windows
  • Ingestão de política ADMX para aplicativos Win32 e Ponte de Desktop – Gerenciamento de cliente Windows

  Observação

  A partir da versão 1703 do Windows 10, o suporte à configuração da política do MDM (gerenciamento de dispositivos móveis) foi expandido para permitir o acesso de um conjunto selecionado de modelos administrativos de políticas de grupo (políticas ADMX)para computadores Windows usando o CSP (provedor de serviços de configuração de política). Configurar políticas ADMX no CSP de política é diferente da maneira típica de configurar uma política de MDM tradicional.

• Linhas de base de segurança: uma linha de base de segurança é um grupo de configurações pré-definidas no Windows. Elas ajudam você a aplicar e impor configurações de segurança granulares recomendadas pelas equipes de segurança. Ao criar uma linha de base de segurança, você também pode personalizar cada uma para impor apenas as configurações desejadas.

  Você pode criar uma linha de base de segurança para Windows, Microsoft Edge e muito mais. Se você não tiver certeza de onde começar ou desejar as configurações de segurança recomendadas por especialistas em segurança, examine as linhas de base de segurança.

  Para obter mais informações, aceda a Linhas de base de segurança no Intune.

Usar o Windows Autopilot para provisionar pontos de extremidade novos ou existentes do Windows

Se você comprar pontos de extremidade de um OEM ou parceiro, deverá usar o Windows Autopilot.

Alguns do benefícios incluem:

• Processo de configuração interno do Windows: apresenta uma experiência de usuário final com identidade visual, guiada e simplificada.

• Envio direto de pontos de extremidade aos usuários finais: fornecedores e OEMs podem enviar pontos de extremidade diretamente para seus usuários. Os usuários recebem os pontos de extremidade, entram com a conta da organização (user@contoso.com) e o Windows Autopilot provisiona automaticamente o ponto de extremidade.

  Esse recurso ajuda a limitar a sobrecarga e os custos envolvidos com processos internos de TI e envio de alto nível.

  Para obter melhores resultados, registre previamente seus pontos de extremidade com os OEMs ou fornecedores. O pré-registro ajuda a evitar atrasos que podem ocorrer ao registrar manualmente os pontos de extremidade.

• Os usuários podem redefinir os pontos de extremidade existentes por conta própria: se os usuários tiverem pontos de extremidade existentes do Windows, eles mesmos poderão redefinir os dispositivos. Quando eles são redefinidos, eles restauram os pontos de extremidade para uma linha de base mínima e um estado gerenciado. Uma intervenção de TI de alto custo ou acesso físico ao ponto de extremidade não são necessários.

Observação

Não é recomendado utilizar o Windows Autopilot para associar pontos finais recém-aprovisionados ao Microsoft Entra híbrido. Funciona, mas há alguns desafios. Nos pontos finais recentemente aprovisionados, utilize o Windows Autopilot para a associação ao Microsoft Entra (não associado híbrido ao Microsoft Entra).

Para ajudar a determinar o método de associação adequado para a sua organização, aceda a Microsoft Entra associado vs. Híbrido Microsoft Entra associado.

Para obter mais informações sobre o Windows Autopilot, acesse:

• Visão geral do Windows Autopilot
• Cenários e recursos do Windows Autopilot
• Perguntas frequentes do Windows Autopilot

Siga as diretrizes de pontos de extremidade nativos de nuvem

1. Visão geral: o que são pontos de extremidade nativos de nuvem?
2. Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
3. Conceito: Microsoft Entra associado vs. Híbrido Microsoft Entra associado
4. Conceito: pontos de extremidade nativos de nuvem e recursos locais
5. 🡺 Guia de planejamento de alto nível (Você está aqui)
6. Problemas conhecidos e informações importantes