Como: Planeie a sua Azure AD aderir à implementação

Pode juntar-se diretamente aos dispositivos ao Azure Ative Directory (Azure AD) sem a necessidade de se juntar ao Ative Directory no local, mantendo os seus utilizadores produtivos e seguros. A ad a ad AD azure está pronta para implementações em escala e mira. O acesso único de ss on (SSO) aos recursos no local também está disponível para dispositivos que estão aderidos a Azure AD. Para obter mais informações, consulte como o SSO para os recursos no local funciona em dispositivos aderidos a Azure AD.

Este artigo fornece-lhe as informações necessárias para planear a implementação da sua Azure AD.

Pré-requisitos

Este artigo assume que está familiarizado com a Introdução à gestão de dispositivos no Azure Ative Directory.

Planear a implementação

Para planear a implementação da sua Azure AD, deve familiarizar-se com:

  • Reveja os seus cenários
  • Reveja a sua infraestrutura de identidade
  • Avalie a gestão do seu dispositivo
  • Compreender considerações para aplicações e recursos
  • Compreenda as suas opções de provisionamento
  • Configurar o roaming do estado da empresa
  • Configure acesso condicional

Reveja os seus cenários

A aderimento AD A Azul permite-lhe transitar para um modelo de primeira nuvem com Windows. Se planeia modernizar a gestão dos seus dispositivos e reduzir os custos de TI relacionados com o dispositivo, a Azure AD junta-se a uma grande base para alcançar esses objetivos.

Considere a Azure AD juntar-se se os seus objetivos se alinharem com os seguintes critérios:

  • Está a adotar o Microsoft 365 como a suite de produtividade para os seus utilizadores.
  • Pretende gerir dispositivos com uma solução de gestão de dispositivos em nuvem.
  • Pretende simplificar o fornecimento de dispositivos para utilizadores distribuídos geograficamente.
  • Planeia modernizar a sua infraestrutura de aplicações.

Reveja a sua infraestrutura de identidade

A Azure AD junta-se a obras em ambientes geridos e federados. Pensamos que a maioria das organizações irá implantar-se com domínios geridos. Os cenários de domínio geridos não requerem configurar e gerir um servidor da federação como o Ative Directory Federation Services (AD FS).

Ambiente gerido

Um ambiente gerido pode ser implementado através de Password Hash Sync ou de passar por autenticação com único sinal sem emenda.

Ambiente federado

Um ambiente federado deve ter um fornecedor de identidade que apoie os protocolos WS-Trust e WS-Fed:

  • WS-Fed: Este protocolo é necessário para aderir a um dispositivo ao Azure AD.
  • WS-Trust: Este protocolo é necessário para iniciar seducação de um dispositivo azure AD.

Quando estiver a utilizar O FS AD, tem de ativar os seguintes pontos finais WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Se o seu fornecedor de identidade não apoiar estes protocolos, a Azure AD não funciona de forma nativa.

Nota

Atualmente, a Azure AD não funciona com AD FS 2019 configurado com fornecedores de autenticação externa como o método de autenticação primária. A Azure AD associa-se a predefinições à autenticação por palavra-passe como método primário, o que resulta em falhas de autenticação neste cenário

Configuração do utilizador

Se criar utilizadores no seu:

  • No local, o Ative Directory, precisa de sincronizá-los para Azure AD utilizando o Azure AD Connect.
  • Azure AD, não é necessária uma configuração extra.

Os nomes principais dos utilizadores no local (UPNs) que são diferentes dos UPNs AD Azure não são suportados em dispositivos aderidos Azure AD. Se os seus utilizadores utilizarem uma UPN no local, deverá planear mudar para a utilização da sua UPN primária em Azure AD.

As alterações da UPN são suportadas apenas a partir da atualização do Windows 10 2004. Os utilizadores em dispositivos com esta atualização não terão problemas depois de alterarem as suas UPNs. No que diz no que diz sobre dispositivos antes da atualização do Windows 10 2004, os utilizadores teriam problemas de Acesso SSO e Condicional nos seus dispositivos. Precisam de iniciar sedições no Windows através do azulejo "Outro utilizador" utilizando a sua nova UPN para resolver este problema.

Avalie a gestão do seu dispositivo

Dispositivos suportados

Azure AD junta-se:

  • Suporta dispositivos Windows 10 e Windows 11.
  • Não é suportado em versões anteriores do Windows ou de outros sistemas operativos. Se tiver dispositivos Windows 7/8.1, tem de fazer o upgrade pelo menos para o Windows 10 para implementar a ad AD do Azure.
  • É suportado para TPM 2.0 compatível com FIPS, mas não suportado para TPM 1.2. Se os seus dispositivos tiverem TPM 1.2 compatível com FIPS, deve desativá-los antes de prosseguir com a ad Azure. A Microsoft não fornece quaisquer ferramentas para desativar o modo FIPS para TPMs, uma vez que depende do fabricante TPM. Contacte o seu hardware OEM para obter suporte.

Recomendação: Utilize sempre as mais recentes versões do Windows para tirar partido das funcionalidades atualizadas.

Plataforma de gestão

A gestão de dispositivos para dispositivos aderentes Azure AD baseia-se numa plataforma de gestão de dispositivos móveis (MDM), como Intune, e MDM CSPs. A partir do Windows 10 existe um agente MDM incorporado que funciona com todas as soluções MDM compatíveis.

Nota

As políticas de grupo não são suportadas em dispositivos aderidos a Azure AD, uma vez que não estão ligadas ao Ative Directory no local. Gestão de dispositivos aderidos a Azure AD só é possível através do MDM

Existem duas abordagens para gerir dispositivos aderidos a Azure AD:

  • APENAS MDM - Um dispositivo é gerido exclusivamente por um fornecedor de MDM como o Intune. Todas as políticas são entregues como parte do processo de inscrição do MDM. Para os clientes Azure AD Premium ou EMS, a inscrição no MDM é um passo automatizado que faz parte de uma ad ad Azure.
  • Cogestão - Um dispositivo é gerido por um fornecedor de MDM e Microsoft Endpoint Configuration Manager. Nesta abordagem, o agente Microsoft Endpoint Configuration Manager é instalado num dispositivo gerido pelo MDM para administrar determinados aspetos.

Se estiver a utilizar as Políticas de Grupo, avalie a paridade da política de GPO e MDM utilizando a análise de política de grupo no Microsoft Endpoint Manager.

Reveja as políticas apoiadas e não apoiadas para determinar se pode utilizar uma solução MDM em vez de políticas de grupo. Para políticas não apoiadas, considere as seguintes questões:

  • As políticas não apoiadas são necessárias para dispositivos ou utilizadores da Azure AD?
  • As políticas não apoiadas são aplicáveis numa implantação orientada para a nuvem?

Se a sua solução MDM não estiver disponível através da galeria de aplicações Azure AD, pode adicioná-la seguindo o processo delineado na integração do Azure Ative Directory com o MDM.

Através da cogestão, pode utilizar o Microsoft Endpoint Configuration Manager para gerir certos aspetos dos seus dispositivos enquanto as políticas são entregues através da sua plataforma MDM. O Microsoft Intune permite a cogestão com o Microsoft Endpoint Configuration Manager. Para obter mais informações sobre cogestão para dispositivos Windows 10 ou dispositivos mais recentes, consulte o que é cogestão?. Se utilizar um produto MDM diferente do Intune, consulte o seu fornecedor de MDM sobre cenários de cogestão aplicáveis.

Recomendação: Considere a gestão do MDM apenas para dispositivos aderidos a Azure AD.

Compreender considerações para aplicações e recursos

Recomendamos que as aplicações migratórias de bordo para cloud para uma melhor experiência do utilizador e controlo de acesso. Os dispositivos aderidos a AZure AD podem fornecer acesso a aplicações tanto no local como em aplicações em nuvem. Para obter mais informações, consulte como o SSO para os recursos no local funciona em dispositivos aderidos a Azure AD.

As seguintes secções listam considerações para diferentes tipos de aplicações e recursos.

Aplicações baseadas em nuvem

Se uma aplicação for adicionada à galeria de aplicações AZure AD, os utilizadores obtêm dispositivos de ad AD Azure. Não é necessária outra configuração. Os utilizadores obtêm SSO em ambos os navegadores Microsoft Edge e Chrome. Para o Chrome, é necessário implementar a extensão das Contas Windows 10.

Todas as aplicações Win32 que:

  • Confie no Gestor de Conta Web (WAM) para pedidos simbólicos também obtenha SSO em dispositivos aderidos Azure AD.
  • Não confie no WAM pode solicitar aos utilizadores a autenticação.

Aplicações web no local

Se as suas aplicações forem construídas e/ou hospedadas no local, tem de as adicionar aos sites fidedignos do seu navegador para:

  • Permitir que a autenticação integrada do Windows funcione
  • Fornecer uma experiência SSO sem solicitação aos utilizadores.

Se utilizar O FS AD, consulte Verificar e gerir um único sinal de s-on com AD FS.

Recomendação: Considere hospedar-se na nuvem (por exemplo, Azure) e integrar-se com a Azure AD para uma melhor experiência.

Aplicações no local que se baseiam em protocolos legados

Os utilizadores obtêm SSO de dispositivos aderidos a Azure AD se o dispositivo tiver acesso a um controlador de domínio.

Nota

Os dispositivos aderidos a AZure AD podem fornecer acesso a aplicações tanto no local como em aplicações em nuvem. Para obter mais informações, consulte como o SSO para os recursos no local funciona em dispositivos aderidos a Azure AD.

Recomendação: Implementar o proxy da App AD Azure para permitir um acesso seguro a estas aplicações.

Ações de rede no local

Os seus utilizadores têm SSO de Azure AD ligado a dispositivos quando um dispositivo tem acesso a um controlador de domínio no local. Saiba como isto funciona

Impressoras

Recomendamos a implementação da Universal Print para ter uma solução de gestão de impressão baseada na nuvem sem qualquer dependência no local.

Aplicações no local com base na autenticação da máquina

Os dispositivos aderidos a Azure AD não suportam aplicações no local que dependam da autenticação da máquina.

Recomendação: Considere retirar estas aplicações e mudar-se para as suas alternativas modernas.

Serviços de Ambiente de Trabalho Remoto

A ligação remota do ambiente de trabalho a um dispositivo aderido a Azure AD requer que a máquina hospedeira seja aderida ao Azure AD ou ad Azure híbrida. O ambiente de trabalho remoto de um dispositivo não associado ou não-Windows não é suportado. Para mais informações, consulte Connect to remote Azure AD

A partir da atualização do Windows 10 2004, os utilizadores também podem utilizar o ambiente de trabalho remoto a partir de um Azure AD registado no Windows 10 ou dispositivo mais recente para outro dispositivo AZure AD.

RADIUS e autenticação Wi-Fi

Atualmente, os dispositivos aderidos a Azure AD não suportam a autenticação RADIUS para ligar a Wi-Fi pontos de acesso, uma vez que o RADIUS conta com a presença de um objeto informático no local. Como alternativa, pode utilizar certificados empurrados através do Intune ou credenciais de utilizador para autenticar para Wi-Fi.

Compreenda as suas opções de provisionamento

Nota: Os dispositivos de ad AD não podem ser implementados usando a Ferramenta de Preparação do Sistema (Sysprep) ou ferramentas de imagem semelhantes

Pode providenciar dispositivos aderidos a Azure AD utilizando as seguintes abordagens:

  • Self-service in OOBE/Settings - No modo de autosserviço, os utilizadores passam pelo processo de ad Azure, quer durante a Experiência Do Windows out of Box (OOBE) quer a partir de Definições do Windows. Para mais informações, consulte Juntar o seu dispositivo de trabalho à rede da sua organização.
  • Windows Autopilot - Windows Autopilot permite a pré-configuração de dispositivos para uma experiência de ad AZure mais suave no OOBE. Para mais informações, consulte a visão geral do Windows Autopilot.
  • Inscrição a granel - A inscrição em massa permite que um administrador impulsionado pela Azure AD se junte usando uma ferramenta de provisionamento a granel para configurar dispositivos. Para obter mais informações, consulte a inscrição em massa para dispositivos Windows.

Aqui está uma comparação destas três abordagens

Elemento Configuração de self-service Windows Autopilot Inscrição em massa
Requerem a interação do utilizador para configurar Yes Yes No
Requerer esforço de TI No Yes Sim
Fluxos aplicáveis Definições OOBE & Apenas OOBE Apenas OOBE
Direitos de administrador local para o utilizador primário Sim, por defeito. Configurável Não
Requera suporte ao OEM do dispositivo No Yes No
Versões suportadas 1511+ 1709+ 1703+

Escolha a sua abordagem de implantação ou abordagens, revendo a tabela anterior e revendo as seguintes considerações para a adoção de qualquer uma das abordagens:

  • Os seus utilizadores são experientes em analisar a configuração por si mesmos?
    • O self-service pode funcionar melhor para estes utilizadores. Considere o Windows Autopilot para melhorar a experiência do utilizador.
  • Os seus utilizadores são remotos ou dentro das instalações corporativas?
    • O self-service ou o Autopilot funcionam melhor para utilizadores remotos para uma configuração sem ações.
  • Prefere um utilizador conduzido ou uma configuração gerida por administradores?
    • A inscrição a granel funciona melhor para a implementação orientada por administradores para configurar dispositivos antes de ser entregue aos utilizadores.
  • Compra dispositivos a partir de 1-2 OEMS ou tem uma ampla distribuição de dispositivos OEM?
    • Se comprar de OEMs limitados que também suportam o Autopilot, poderá beneficiar de uma integração mais apertada com o Autopilot.

Configure as definições do seu dispositivo

O portal Azure permite-lhe controlar a implementação de dispositivos aderidos a Azure AD na sua organização. Para configurar as definições relacionadas, na página do Diretório Ativo Azure, selecione Devices > Device settings. Saiba mais

Os utilizadores podem associar dispositivos ao Azure AD

Desconfie esta opção para Todos ou Selecionados com base no âmbito da sua implementação e em quem pretende configurar um dispositivo azure AD.

Users may join devices to Azure AD

Administradores locais adicionais nos dispositivos associados do Azure AD

Escolha Selecionado e selecione os utilizadores que pretende adicionar ao grupo de administradores locais em todos os dispositivos aderidos a Azure AD.

Additional local administrators on Azure AD joined devices

Requerem a autenticação de vários fatores (MFA) para aderir a dispositivos

Selecione "Sim , se exigir que os utilizadores façam MFA enquanto juntam dispositivos ao Azure AD.

Require multi-factor Auth to join devices

Recomendação: Utilize o registo de ação do utilizador ou junte-se a dispositivos em Acesso Condicional para impor MFA para unir dispositivos.

Configure as suas definições de mobilidade

Antes de configurar as suas definições de mobilidade, poderá ter de adicionar primeiro um fornecedor de MDM.

Para adicionar um provedor de MDM:

  1. Na página Azure Ative Directory, na secção Gerir , selecione Mobility (MDM and MAM).

  2. Selecione Adicionar a aplicação.

  3. Selecione o seu fornecedor DEM na lista.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Selecione o seu fornecedor DEM para configurar as definições relacionadas.

Âmbito do utilizador MDM

Selecione Some ou All com base no âmbito da sua implementação.

MDM user scope

Com base no seu âmbito, um dos seguintes acontece:

  • O utilizador está no âmbito do MDM: Se tiver uma subscrição Azure AD Premium, a inscrição no MDM é automatizada juntamente com a ad Azure. Todos os utilizadores com âmbito de aplicação devem ter uma licença adequada para o seu MDM. Se a inscrição no MDM falhar neste cenário, a ad a ad Azure também será revertida.
  • O utilizador não está no âmbito do MDM: Se os utilizadores não estiverem no âmbito do MDM, a Azure AD junta-se a conclusões sem qualquer inscrição de MDM. Este âmbito resulta num dispositivo não gerido.

URLs MDM

Existem três URLs que estão relacionados com a sua configuração de MDM:

  • URL dos termos de utilização da MDM
  • URL de deteção da MDM
  • URL de conformidade da MDM

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Cada URL tem um valor predefinido. Se estes campos estiverem vazios, contacte o seu fornecedor de MDM para obter mais informações.

Definições MAM

O MAM não se aplica à Azure AD.

Configurar o roaming do estado da empresa

Se pretender ativar o roaming do Estado para a Azure AD para que os utilizadores possam sincronizar as suas definições através dos dispositivos, consulte Enable Enterprise State Roaming in Azure Ative Directory.

Recomendação: Ative esta definição mesmo para dispositivos híbridos Azure AD.

Configure acesso condicional

Se tiver um fornecedor DEM configurado para os seus dispositivos aderentes Azure AD, o fornecedor sinaliza o dispositivo conforme compatível assim que o dispositivo estiver sob gestão.

Compliant device

Pode utilizar esta implementação para exigir dispositivos geridos para acesso a aplicações na nuvem com Acesso Condicional.

Passos seguintes