Compartilhar via

Configurar o Acesso Condicional local usando dispositivos registrados

O documento a seguir orienta você pela instalação e configuração do acesso condicional local com dispositivos registrados.

acesso condicional

Pré-requisitos de infraestrutura

Os pré-requisitos a seguir são necessários.

Requisito Descrição
Uma assinatura do Microsoft Entra com o Microsoft Entra ID P1 ou P2 Para habilitar o write-back do dispositivo para acesso condicional local, uma avaliação gratuita é suficiente
Assinatura do Intune necessário apenas para a integração do MDM para cenários de conformidade do dispositivo -uma avaliação gratuita é aceitável
Sincronização do Microsoft Entra Connect Obtenha a versão mais recente aqui.
Windows Server 2016 Build 10586 ou mais recente para o AD FS
Esquema do Active Directory do Windows Server 2016 O nível de esquema 85 ou superior é necessário.
Controlador de domínio do Windows Server 2016 Necessário apenas para implantações baseadas em confiança de chave do Windows Hello para Empresas. Para obter mais informações, consulte aqui.
Cliente windows 10 O build 10586 ou mais recente, ingressado no domínio acima, é necessária apenas para Windows 10 cenários de ingresso no domínio e Windows Hello para Empresas
Conta de usuário do Microsoft Entra com licenças P1 ou P2 do Microsoft Entra atribuídas Para registrar o dispositivo

Atualizar o esquema do Active Directory

Para usar o acesso condicional local com dispositivos registrados, primeiro você deve atualizar seu esquema do AD. As seguintes condições devem ser atendidas:

  • O esquema deve ser a versão 85 ou posterior
  • Necessário apenas para a floresta à qual o AD FS está associado

Nota

Se você instalou o Microsoft Entra Connect Sync antes de atualizar para a versão do esquema (nível 85 ou superior) no Windows Server 2016, precisará executar novamente a instalação do Microsoft Entra Connect Sync e atualizar o esquema do AD local para garantir que a regra de sincronização para msDS-KeyCredentialLink esteja configurada.

Verificar o nível do esquema

Para verificar o nível do esquema, faça o seguinte:

  1. Use ADSIEdit.exe ou LDP.exe e conecte-se ao Contexto de Nomenclatura de Esquema.
  2. No ADSIEdit, clique com o botão direito do mouse em "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> e selecione "Propriedades". Substitua as partes "domain" e "com" pelas informações da sua floresta.
  3. No Editor de Atributos, localize o atributo objectVersion e ele informa sua versão.

editarADSI EditADSI EditADSI

Você também pode usar o seguinte cmdlet do PowerShell (substitua o objeto pelas informações do contexto de nomenclatura do esquema):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell do PowerShell

Para obter mais informações sobre atualização, consulte Atualizar controladores de domínio para o Windows Server 2016.

Habilitar o registro de dispositivo do Microsoft Entra

Para configurar esse cenário, você deve configurar o recurso de registro de dispositivo na ID do Microsoft Entra.

Para fazer isso, siga as etapas em Configurar o ingresso no Microsoft Entra ID na sua organização.

Configurar o AD FS

  1. Criar um farm do AD FS 2016.
  2. Ou migrar um farm para o AD FS 2016 do AD FS 2012 R2
  3. Implante Microsoft Entra Connect Sync usando o caminho personalizado para conectar o AD FS ao Microsoft Entra ID.

Configurar o write-back do dispositivo e a autenticação de dispositivo

Nota

Se você executou a Sincronização do Microsoft Entra Connect usando Configurações Expressas, os objetos do AD corretos foram criados para você. No entanto, na maioria dos cenários do AD FS, o Microsoft Entra Connect Sync foi executado com Configurações Personalizadas para configurar o AD FS, portanto, as etapas abaixo são necessárias.

Criar objetos do AD para autenticação de dispositivo do AD FS

Se o farm do AD FS ainda não estiver configurado para Autenticação de Dispositivo (você poderá ver isso no console de Gerenciamento do AD FS em Serviço –> Registro de Dispositivo), use as etapas a seguir para criar os objetos e a configuração corretos do AD DS.

Captura de tela que mostra a tela Visão geral do registro do dispositivo.

Nota

Os comandos abaixo exigem ferramentas de administração do Active Directory, portanto, se o servidor de federação também não for um controlador de domínio, primeiro instale as ferramentas usando a etapa 1 abaixo. Caso contrário, você poderá ignorar a etapa 1.

  1. Execute o assistente de Adicionar funções e recursos& e selecione recurso Ferramentas de administração de servidor remoto ->Ferramentas de administração de função ->Ferramentas do AD DS e AD LDS -> Escolha o Módulo do Active Directory para Windows PowerShell e as Ferramentas do AD DS.

Captura de tela que realça o módulo do Active Directory para Windows PowerShell e as opções de Ferramentas do AD DS.

  1. No servidor primário do AD FS, verifique se você está conectado como usuário do AD DS com privilégios de Administrador Corporativo (EA) e abra um prompt do PowerShell com privilégios elevados. Em seguida, execute os seguintes comandos do PowerShell:

Import-module activedirectoryPS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. Na janela pop-up, clique em Sim.

Nota

Se o serviço do AD FS estiver configurado para usar uma conta GMSA, insira o nome da conta no formato "domain\accountname$"

captura de tela que mostra como usar os comandos listados do PowerShell.

O PSH acima cria os seguintes objetos:

  • Contêiner RegisteredDevices na partição de domínio do AD
  • Contêiner de Serviço de registro do dispositivo e o objeto em Configuração--> Serviços --> Configuração do registro de dispositivo
  • Contêiner DKM de serviço de registro do dispositivo e o objeto em Configuração --> Serviços --> Configuração do registro de dispositivo

Captura de tela que mostra o progresso dos objetos que estão sendo criados.

  1. Depois que isso for feito, você verá uma mensagem de conclusão bem-sucedida.

captura de tela que mostra a mensagem de conclusão bem-sucedida.

Criar SCP (Ponto de Conexão de Serviço) no AD

Se você pretende usar o ingresso em domínio no Windows 10 (com o registro automático no Microsoft Entra ID) como descrito aqui, execute os seguintes comandos para criar um ponto de conexão de serviço no AD DS

  1. Abra o Windows PowerShell e execute o seguinte:

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Nota

Se necessário, copie o arquivo AdSyncPrep.psm1 do servidor de Sincronização do Microsoft Entra Connect. Esse arquivo está localizado em Arquivos de Programas\Microsoft Entra Connect\AdPrep

captura de tela que mostra o caminho para o arquivo AdSyncPrep.

  1. Forneça suas credenciais de Administrador de Acesso Condicional do Microsoft Entra.

PS C:>$aadAdminCred = Get-Credential

Captura de tela que mostra onde fornecer as credenciais do Administrador de Acesso Condicional do Microsoft Entra.

  1. Execute o seguinte comando do PowerShell

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Onde o [nome da conta do conector AD] representa o nome da conta que você configurou no Microsoft Entra Connect Sync ao adicionar seu diretório AD DS local.

Os comandos acima permitem que os clientes do Windows 10 encontrem o domínio correto do Microsoft Entra para ingressar criando o objeto serviceConnectionpoint no AD DS.

Preparar AD para write-back de dispositivo

Para garantir que os objetos e contêineres do AD DS estejam no estado correto para o write-back de dispositivos do Microsoft Entra ID, faça o seguinte.

  1. Abra o Windows PowerShell e execute o seguinte:

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Onde [nome da conta do conector do AD] é o nome da conta que você configurou no Microsoft Entra Connect Sync ao adicionar o diretório do AD DS local no formato domínio\nome da conta.

O comando acima cria os seguintes objetos para o write-back de dispositivo no AD DS, caso ainda não exista, e permite o acesso ao nome da conta do conector do AD especificado.

  • Contêiner RegisteredDevices na partição de domínio do AD
  • Contêiner de Serviço de registro do dispositivo e o objeto em Configuração--> Serviços --> Configuração do registro de dispositivo

Habilite o write-back de dispositivo na Sincronização do Microsoft Entra Connect

Se você ainda não fez isso antes, habilite o write-back de dispositivo na Sincronização do Microsoft Entra Connect executando o assistente uma segunda vez e selecionando "Personalizar as Opções de Sincronização". Depois, marque a caixa de write-back do dispositivo e selecione a floresta em que executou os cmdlets acima

Configurar a Autenticação de Dispositivo no AD FS

Usando uma janela de comando do PowerShell com privilégios elevados, configure a política do AD FS executando o comando a seguir

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Verificar sua configuração

Para sua referência, veja abaixo uma lista abrangente dos dispositivos, contêineres e permissões do AD DS necessários para que o write-back e a autenticação do dispositivo funcionem

  • Objeto do tipo ms-DS-DeviceContainer em CN=RegisteredDevices, DC=<domínio>

    • Acesso de leitura à conta de serviço do AD FS
    • acesso de leitura/gravação para a sincronização da conta de conector do AD ao Microsoft Entra Connect

  • Contêiner CN=Configuração de registro de dispositivo,CN=Serviços,CN=Configuração, DC=<domínio>.

  • Serviço de Registro de Dispositivos de Contêiner DKM no contêiner mencionado acima

Registro de Dispositivo

  • Objeto do tipo serviceConnectionpoint em CN =<guid>, CN=Registro de dispositivo

  • Configuração,CN=Serviços,CN=Configuration,DC=<domínio>

  • acesso de leitura/gravação para o nome da conta de conector do AD especificado no novo objeto

  • Objeto de tipo msDS-DeviceRegistrationServiceContainer em CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Objeto do tipo msDS-DeviceRegistrationService no contêiner acima

Ver isso em ação

Para avaliar as novas declarações e políticas, primeiro registre um dispositivo. Por exemplo, o Microsoft Entra ingressa em um computador Windows 10 usando o aplicativo Configurações em Sistema –> Sobre ou configura o ingresso no domínio do Windows 10 com o registro automático do dispositivo seguindo as etapas adicionais aqui. Para obter informações sobre como conectar-se a dispositivos móveis Windows 10, consulte o documento aqui.

Para uma avaliação mais fácil, entre no AD FS usando um aplicativo de teste que mostra uma lista de declarações. Você poderá ver novas declarações, incluindo isManaged, isCompliant e trusttype. Se você habilitar o Windows Hello para Empresas, também verá a declaração prt.

Configurar cenários adicionais

Registro automático para computadores aderentes ao domínio do Windows 10

Para habilitar o registro automático de dispositivo para computadores conectados ao domínio do Windows 10, siga as etapas 1 e 2 aqui.

  1. Verifique se o ponto de conexão de serviço no AD DS existe e se tem as permissões adequadas (criamos esse objeto acima, mas isso não prejudica a verificação dupla).
  2. Verifique se o AD FS está configurado corretamente
  3. Verifique se o sistema do AD FS tem os pontos de extremidade corretos habilitados e as regras de declaração configuradas
  4. Definir as configurações de política de grupo necessárias para registro automático de dispositivos dos computadores membros de domínio

Windows Hello para Empresas

Para obter informações sobre como habilitar o Windows 10 com o Windows Hello para Empresas, consulte Habilitar o Windows Hello para Empresas em sua organização.

Registro automático de MDM

Para habilitar o registro automático de MDM de dispositivos registrados, siga as etapas aqui.

Solução de problemas

  1. Se você receber um erro em Initialize-ADDeviceRegistration que reclama de um objeto já existente no estado errado, como "O objeto de serviço DRS foi encontrado sem todos os atributos necessários", você pode ter executado comandos do Microsoft Entra Connect Sync PowerShell anteriormente e ter uma configuração parcial no AD DS. Tente excluir manualmente os objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> e repita a operação.
  2. Para clientes conectados ao domínio do Windows 10
  3. Para verificar se a autenticação do dispositivo está funcionando, acesse o cliente vinculado ao domínio usando uma conta de teste de usuário. Para disparar o provisionamento rapidamente, bloqueie e desbloqueie a área de trabalho pelo menos uma vez.
  4. Instruções para verificar se há um link de credencial de chave STK no objeto AD DS (a sincronização ainda precisa ser executada duas vezes?)
  5. Se você receber um erro ao tentar registrar um computador Windows no qual o dispositivo já estava registrado, mas você não pôde ou já cancelou o registro do dispositivo, talvez tenha um fragmento da configuração de registro do dispositivo no Registro. Para investigar e remover isso, use as seguintes etapas:
  6. No computador Windows, abra o Regedit e navegue até HKLM\Software\Microsoft\Enrollments
  7. Nessa chave, há subchaves com o formato GUID. Navegue até a subchave que tem ~17 valores e tem "EnrollmentType" de "6" [MDM adicionado] ou "13" (ingressado no Microsoft Entra)
  8. Modificar TipoDeInscrição para 0
  9. Tente a matrícula ou o registro do dispositivo novamente