O que é ingressar no Microsoft Entra?
Agora você tem uma melhor compreensão da identidade do dispositivo e do Acesso Condicional. Você quer investigar o ingresso no Microsoft Entra e como poderia usá-lo para aprimorar o gerenciamento de dispositivos, tanto para o Azure quanto para o Active Directory Domain Services local.
Nessa unidade, você aprenderá sobre o ingresso no Microsoft Entra e como usá-lo para o gerenciamento de infraestrutura e de dispositivos.
Noções básicas do ingresso no Microsoft Entra
Com o ingresso no Microsoft Entra, você pode ingressar dispositivos na sua organização do Microsoft Entra sem precisar sincronizar com uma instância do Active Directory local. O ingresso no Microsoft Entra é mais adequado para organizações baseadas principalmente na nuvem, embora possa operar em uma nuvem híbrida e em um ambiente local.
Dispositivos com suporte
O ingresso no Microsoft Entra funciona com dispositivos Windows 10, Windows 11 ou Windows Server 2019. Não há suporte para a instalação Server Core do Windows Server 2019. Se estiver usando um sistema operacional Windows anterior, você precisará atualizar para o Windows 10, Windows 11 ou Windows Server 2019.
Infraestrutura da identidade
Decida qual modelo de infraestrutura de identidade melhor dá suporte às necessidades da sua organização:
- Ambiente gerenciado: esse ambiente usa a autenticação de passagem ou a sincronização de hash de senha para fornecer SSO (logon único) para seus dispositivos.
- Ambientes federados: esses ambientes exigem o uso de um provedor de identidade. O provedor precisa dar suporte aos protocolos WS-Trust e WS-Fed para que o ingresso no Microsoft Entra funcione nativamente com dispositivos Windows. O WS-Fed é necessário para ingressar um dispositivo no Microsoft Entra ID. O WS-Trust é necessário para fazer login em um dispositivo ingressado no Microsoft Entra.
- Autenticação baseada em cartões inteligentes e em certificado: Esses métodos não são maneiras válidas de ingressar dispositivos no Microsoft Entra ID. Porém, se tiver os Serviços de Federação do Active Directory (AD FS) configurados, você poderá usar cartões inteligentes para fazer login em dispositivos ingressados no Microsoft Entra. Recomendamos usar um serviço como o Windows Hello para Empresas, compatível com autenticação sem senha para dispositivos Windows 10 e Windows 11.
- Configuração manual de usuário: Se criar usuários na sua instância do Active Directory local, você precisará sincronizar as contas para o Microsoft Entra ID usando o Microsoft Entra Connect. Se você criar usuários no Microsoft Entra ID, nenhuma configuração adicional será necessária.
Gerenciamento de dispositivos
O ingresso no Microsoft Entra usa a plataforma de gerenciamento de dispositivos móveis (MDM) para gerenciar dispositivos anexados ao Microsoft Entra ID. O MDM fornece um meio para impor configurações necessárias à organização, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações e atualizações de software.
As versões mais recentes do Windows 10 e Windows 11 têm um cliente de MDM interno que funciona com todos os sistemas de MDM compatíveis.
Existem duas abordagens para gerenciar seus dispositivos ingressados no Microsoft Entra:
Somente MDM: todos os dispositivos ingressados são gerenciados exclusivamente por meio de um provedor de MDM, como o Intune. Se a sua organização usa políticas de grupo, você precisa examinar sua política de MDM para obter suporte.
Cogerenciamento: todos os dispositivos ingressados usam uma combinação de um agente do System Center Configuration Manager instalado localmente e seu provedor de MDM. O Microsoft Intune fornece funcionalidades de cogerenciamento usando o Configuration Manager. Você pode usar o Configuration Manager para gerenciar o dispositivo enquanto o MDM fornece políticas de gerenciamento de usuários.
Recomendamos que você use a abordagem somente MDM para gerenciar todos os dispositivos ingressados no Microsoft Entra.
Considerações para recursos e acesso do aplicativo
Para obter a melhor experiência de usuário e aprimorar o acesso ao seu aplicativo, considere mover todos os aplicativos e recursos para o Azure. Embora isso possa ser possível em alguns casos, nem sempre é prático. Nesta seção, exploraremos as opções de acesso para seus aplicativos e recursos:
Aplicativos baseados em nuvem: Todos os aplicativos migrados e todos os aplicativos novos serão adicionados à galeria de aplicativos do Microsoft Entra. Os usuários do ingresso no Microsoft Entra podem usar o SSO para acessar esses aplicativos. A maioria dos navegadores tem suporte para SSO. O ingresso no Microsoft Entra fornece suporte de SSO para o acesso do dispositivo a aplicativos que ainda usam Win32.
Aplicativos Web locais: Você continua podendo acessar qualquer software sob medida ou personalizado hospedado localmente por meio do ingresso no Microsoft Entra. O acesso a esses aplicativos precisa que cada usuário adicione o aplicativo a seus sites confiáveis ou à zona da intranet, dependendo do local no qual cada aplicativo existe. Essa ação permite que o aplicativo use a autenticação integrada do Windows sem solicitar que o usuário se autentique.
Outros dispositivos: essa opção inclui aplicativos existentes usando protocolos mais antigos e compartilhamentos de rede locais. Ambos estão disponíveis para dispositivos ingressados no Microsoft Entra por meio do SSO se o dispositivo estiver conectado ao seu controlador de domínio.
Recursos de impressora: Esses recursos não estarão disponíveis automaticamente por meio do ingresso no Microsoft Entra. Os usuários ainda podem se conectar a uma impressora diretamente usando seu caminho UNC.
Opções de provisionamento
Ao implantar o ingresso no Microsoft Entra, você tem três opções para a forma como os dispositivos serão provisionados e ingressados no Microsoft Entra ID:
Autoatendimento: Exige que os usuários configurem manualmente o dispositivo durante a OOBE (configuração inicial pelo usuário) do Windows para novos dispositivos ou usando as configurações do Windows para dispositivos mais antigos. O autoatendimento é mais adequado para usuários que têm um sólido conhecimento técnico.
Windows Autopilot: Permite pré-configurar dispositivos Windows, incluindo o ingresso automático do dispositivo na sua organização do Active Directory, o registro automático de MDM e a criação de conteúdo OOBE do cliente. Essa abordagem simplifica o gerenciamento e a implantação de dispositivos em toda a sua organização. Você pode provisionar e implantar seus dispositivos Windows. O usuário conclui a OOBE como se ele fosse um novo usuário.
Registro em massa: permite configurar um pacote de provisionamento que se aplica a um grande número de novos dispositivos Windows ao mesmo tempo.
A seguinte tabela mostra os principais recursos de cada abordagem:
| Recurso | Autoatendimento | Windows Autopilot | Registro em massa |
|---|---|---|---|
| Interação do usuário durante a instalação | Sim | Sim | Não |
| Envolvimento de TI | Não | Sim | Sim |
| Fluxos aplicáveis | OOBE e configurações | Somente OOBE | Somente OOBE |
| Direitos de administrador local para o usuário primário | Sim | Configurável | Não |
| Requer suporte de OEM | Não | Sim | Não |
Configurações do dispositivo
No portal do Azure, você pode controlar como novos dispositivos são ingressados na sua organização. Vá para Microsoft Entra ID>Dispositivos>Configurações de dispositivos. A partir daí, você pode configurar os recursos a seguir e habilitar o ingresso no Microsoft Entra.
| Campo | Descrição |
|---|---|
| Os usuários podem ingressar dispositivos no Microsoft Entra ID | Todos permite que qualquer usuário ingresse seu dispositivo. Selecionado permite que você adicione usuários específicos que podem ingressar dispositivos. Nenhum impede que todos os usuários ingressem seus dispositivos. |
| Administradores locais adicionais em dispositivos ingressados no Microsoft Entra | Permite que você especifique outros usuários a serem incluídos como administradores locais em todos os dispositivos ingressados. Por padrão, essa opção está habilitada. O Microsoft Entra ID adiciona as funções de administrador global e administrador de dispositivos como administradores locais nos dispositivos. |
| Os usuários podem registrar seus dispositivos no Microsoft Entra ID | Permite que os usuários registrem seus dispositivos com o ingresso no Microsoft Entra. Se você estiver usando o Microsoft Intune ou o gerenciamento de dispositivo móvel do Microsoft 365, o registro do dispositivo será necessário. Se um desses serviços estiver configurado na sua organização do Microsoft Entra, a opção Todos será selecionada e essa opção será desabilitada. |
| Requerer autenticação multifator para ingressar dispositivos | Permite que você implemente a autenticação multifator do Microsoft Entra quando o dispositivo ingressa no Microsoft Entra ID. Para usuários que ingressam dispositivos no Microsoft Entra ID usando a autenticação multifator, o próprio dispositivo se torna um segundo fator. |
| Número máximo de dispositivos por usuário | Permite que você especifique o número máximo de dispositivos que um usuário pode ter no Microsoft Entra ID. Se atingir esse máximo, o usuário precisará remover um dispositivo para adicionar um novo. |
Para nosso cenário, podemos adicionar um grupo piloto de usuários para experimentar o ingresso no AD. Nesse caso, escolha a opção Os usuários podem ingressar dispositivos no Microsoft Entra ID>Selecionado e, em seguida, adicione membros do seu grupo piloto. Quando estiver pronto para implantar o ingresso no Microsoft Entra em toda a sua organização do Microsoft Entra, selecione Todos.
Configurações de mobilidade
Talvez seja necessário adicionar um provedor de MDM para que você possa definir as configurações de mobilidade. Para adicionar seu provedor de MDM, vá para Microsoft Entra ID>Mobilidade (MDM e MAM)>Adicionar aplicativo.
Quando seu provedor de MDM tiver sido adicionado, você poderá definir as seguintes configurações de mobilidade:
| Configuração de mobilidade | descrição |
|---|---|
| Escopo do usuário do MDM | Selecione Nenhum, Algum ou Todos. Se o usuário estiver dentro do escopo do MDM e você tiver uma assinatura P1 ou P2 do Microsoft Entra ID, a inscrição no MDM será automatizada junto com o ingresso no Microsoft Entra. Todos os usuários dentro do escopo precisam ter uma licença adequada para o MDM. Caso contrário, a inscrição no MDM irá falhar e o ingresso no Microsoft Entra será revertido. Se o usuário não estiver dentro do escopo do MDM, o ingresso no Microsoft Entra será concluído sem nenhuma inscrição no MDM. O dispositivo é do tipo não gerenciado. |
| URLs do MDM | As três URLs relacionadas à sua configuração do MDM são URL dos termos de uso do MDM, URL de descoberta do MDM e URL de conformidade do MDM. Cada URL tem um valor padrão predefinido. Se esses campos estiverem vazios, entre em contato com o provedor de MDM para obter mais informações. |
| Configurações de MAM | O gerenciamento de aplicativos móveis (MAM) não se aplica ao ingresso no Microsoft Entra. |
Lembre-se de que você precisa restringir o acesso aos recursos da organização apenas aos dispositivos gerenciados pela organização e considerados em conformidade pelo seu sistema de MDM. Para nosso cenário, gostaríamos de adicionar o provedor de MDM de nossa organização e selecionar o escopo de usuário do MDM>Todos.
Experiência do usuário ao ingressar em um dispositivo Windows 10 ou Windows 11
Você recebeu um novo dispositivo para um funcionário experiente em tecnologia. Será usada a abordagem de autoatendimento para ingressar o dispositivo na sua organização do Active Directory, que está usando a autenticação multifator. As seguintes etapas mostram a aparência desse fluxo de trabalho:
Depois de iniciar o dispositivo, o funcionário segue os prompts para configurá-lo, incluindo a personalização de sua região e a seleção de um idioma.
O funcionário aceita os Termos de Licença para Software Microsoft.
O funcionário seleciona a conexão de rede para se conectar à nuvem.
Quando perguntado Quem é o proprietário deste computador?, ele seleciona Este dispositivo pertence à minha organização.
O funcionário entra com as credenciais fornecidas pela sua organização.
Ele recebe um prompt com um desafio de autenticação multifator.
O Microsoft Entra ID verifica as definições de configuração para ver se o dispositivo deve ser inscrito no MDM.
Quando a verificação da configuração for bem-sucedida, o dispositivo será registrado na instância do Microsoft Entra da organização. Se o MDM estiver sendo usado, o dispositivo será registrado e gerenciado.