Perguntas frequentes sobre gerenciamento de dispositivos Microsoft Entra

Os dispositivos Windows 10 ou mais recentes que são associados híbridos do Microsoft Entra não aparecem em dispositivos USER. Utilize a vista Todos os dispositivos . Você também pode usar um cmdlet Get-MgDevice do PowerShell.

Apenas os seguintes dispositivos estão listados em Dispositivos de UTILIZADOR:

• Todos os dispositivos pessoais que não são híbridos do Microsoft Entra ingressaram.
• Todos os dispositivos que não sejam Windows 10 ou mais recentes e Windows Server 2016 ou posterior.
• Todos os dispositivos que não sejam Windows.

Vá para Todos os dispositivos. Procure o dispositivo usando o ID do dispositivo. Verifique o valor na coluna tipo de junção. Às vezes, o dispositivo pode ser redefinido ou recriado. Por isso, é essencial verificar também o estado de registro do dispositivo no dispositivo:

• Para dispositivos Windows 10 ou mais recentes e Windows Server 2016 ou posterior, execute dsregcmd.exe /status.
• Para versões de SO de nível inferior, execute %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Para obter informações sobre solução de problemas, consulte estes artigos:

• Solução de problemas de dispositivos usando o comando dsregcmd
• Resolver problemas de registos associados ao Microsoft Entra híbrido em dispositivos Windows 10 e Windows Server 2016
• Resolução de problemas de dispositivos de nível inferior associados ao Microsoft Entra híbrido

Os clientes Windows buscam o PRT do Microsoft Entra ID se o usuário e o dispositivo pertencerem ao mesmo locatário. Os usuários não receberão um PRT para outro locatário se o dispositivo não estiver registrado ou se o usuário não for um membro lá. Se os dois locatários confiarem um no outro via B2B, você sempre poderá criar acesso B2B entre locatários e declarações de dispositivo de confiança do seu locatário residencial.

O estado de associação do dispositivo, mostrado por deviceID, deve corresponder ao estado no Microsoft Entra ID e atender a todos os critérios de avaliação para Acesso Condicional. Para obter mais informações, consulte Exigir dispositivos gerenciados para acesso a aplicativos na nuvem com acesso condicional.

Nos dispositivos Windows 10/11 associados ou registados com o Microsoft Entra ID, os utilizadores recebem um token de atualização primário (PRT) que permite o início de sessão único. A validade do PRT baseia-se na validade do próprio dispositivo. Os usuários verão essa mensagem se o dispositivo for excluído ou desativado no Microsoft Entra ID sem iniciar a ação a partir do próprio dispositivo. Um dispositivo pode ser excluído ou desabilitado no Microsoft Entra em um dos seguintes cenários:

• O utilizador desativa o dispositivo a partir do portal As Minhas Aplicações.
• Um administrador (ou utilizador) elimina ou desativa o dispositivo.
• Somente ingresso híbrido do Microsoft Entra: um administrador remove a UO de dispositivos fora do escopo de sincronização, resultando na exclusão dos dispositivos da ID do Microsoft Entra.
• Somente ingresso híbrido do Microsoft Entra: um administrador desabilita a conta do computador no local, resultando na desativação do dispositivo na ID do Microsoft Entra.
• Atualizando o Microsoft Entra Connect para a versão 1.4.xx.x. Noções básicas sobre o Microsoft Entra Connect 1.4.xx.x e o desaparecimento do dispositivo.

Esta operação é por design. Nesse caso, o dispositivo não tem acesso a recursos na nuvem. Os administradores podem executar essa ação para dispositivos obsoletos, perdidos ou roubados para impedir o acesso não autorizado. Se essa ação foi executada sem intenção, você precisará reativar ou registrar novamente o dispositivo usando as etapas a seguir:

• Se o dispositivo foi desativado no Microsoft Entra ID, um administrador com privilégios suficientes pode habilitá-lo no centro de administração do Microsoft Entra.

  Nota

  Se você estiver sincronizando dispositivos usando o Microsoft Entra Connect, os dispositivos associados híbridos do Microsoft Entra serão automaticamente reativados durante o próximo ciclo de sincronização. Portanto, se você precisar desabilitar um dispositivo associado híbrido do Microsoft Entra, precisará desativá-lo do seu AD local.

• Se o dispositivo for excluído no Microsoft Entra ID, você precisará registrar novamente o dispositivo. Para voltar a registar, terá de realizar uma ação manual no dispositivo. Consulte as etapas a seguir para obter instruções sobre como registrar novamente com base no estado do dispositivo.

  Para registrar novamente os dispositivos híbridos do Microsoft Entra com Windows 10/11 e Windows Server 2016/2019, siga as seguintes etapas:

  1. Abra o prompt de comando como administrador.
  2. Introduzir dsregcmd.exe /debug /leave.
  3. Saia e entre para disparar a tarefa agendada que registra o dispositivo novamente com o Microsoft Entra ID.

  Para versões de nível inferior do sistema operacional Windows que são unidas híbridas do Microsoft Entra, execute as seguintes etapas:

  1. Abra o prompt de comando como administrador.
  2. Introduzir "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Introduzir "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Para dispositivos Microsoft Entra associados dispositivos Windows 10/11, execute as seguintes etapas:

  1. Abra o prompt de comando como administrador
  2. Enter dsregcmd /forcerecovery (Você precisa ser um administrador para executar esta ação).
  3. Clique em "Entrar" na caixa de diálogo que se abre e continue com o processo de login.
  4. Saia e entre novamente no dispositivo para concluir a recuperação.

  Para dispositivos Windows 10/11 registrados no Microsoft Entra, execute as seguintes etapas:

  1. Aceda a Definições,>Contas>, Acesso, Trabalho ou Escola.
  2. Selecione a conta e selecione Desconectar.
  3. Clique em "+ Conectar" e registre o dispositivo novamente passando pelo processo de login.

• Para o Windows 10 ou mais recente e o Windows Server 2016 ou posterior, tentativas repetidas de desassociar e reingressar no mesmo dispositivo podem causar entradas duplicadas.
• Cada utilizador do Windows que utilize Adicionar Conta Escolar ou Profissional cria um novo registo do dispositivo com o mesmo nome do dispositivo.
• Nas versões do SO Windows de nível inferior com associação a um domínio do Azure Directory, o registo automático cria um novo registo do dispositivo com o mesmo nome de dispositivo para cada utilizador de domínio que se inscreva no dispositivo.
• Uma máquina virtual associada ao Microsoft Entra ID que seja eliminada, reinstalada e novamente associada com o mesmo nome aparece como outro registo com o mesmo nome do dispositivo.

O registo de dispositivos Windows 10/11 só é suportado para TPM 2.0 compatível com FIPS e não para TPM 1.2. Se seus dispositivos tiverem TPM 1.2 compatível com FIPS, você deverá desativá-los antes de prosseguir com a associação híbrida do Microsoft Entra ou a associação híbrida do Microsoft Entra. A Microsoft não fornece nenhuma ferramenta para desabilitar o modo FIPS para TPMs, pois ele depende do fabricante do TPM. Entre em contato com o OEM de hardware para obter suporte.

Leva até uma hora para que uma revogação seja aplicada a partir do momento em que o dispositivo Microsoft Entra é marcado como desativado.

O Microsoft Entra ID adicionou suporte para várias contas do Microsoft Entra a partir da versão Windows 10 1803. No entanto, o Windows 10/11 restringe o número de contas do Microsoft Entra em um dispositivo a 3 para limitar o tamanho das solicitações de token e habilitar o logon único confiável (SSO). Quando 3 contas são adicionadas, os usuários veem um erro para as contas subsequentes. As informações adicionais sobre o problema na tela de erro fornecem a seguinte mensagem indicando o motivo - "Adicionar operação de conta está bloqueada porque o limite da conta foi atingido".

Os certificados MS-Organization-Access são emitidos pelo Serviço de Registro de Dispositivo Microsoft Entra durante o processo de registro do dispositivo. Esses certificados são emitidos para todos os tipos de associação suportados no Windows - Microsoft Entra juntou, Microsoft Entra híbrido ingressou e Microsoft Entra dispositivos registrados. Uma vez emitidos, eles são usados como parte do processo de autenticação do dispositivo para solicitar um PRT (Primary Refresh Token). Para dispositivos associados ao Microsoft Entra e híbridos do Microsoft Entra, esse certificado está presente em Local Computer\Personal\Certificates, enquanto para dispositivos registrados do Microsoft Entra, o certificado está presente em Current User\Personal\Certificates. Todos os certificados MS-Organization-Access têm um tempo de vida padrão de 10 anos. Esses certificados são excluídos do armazenamento de certificados correspondente quando o dispositivo não é registrado do Microsoft Entra ID. Qualquer exclusão inadvertida deste certificado leva a falhas de autenticação para o usuário, e exigindo um novo registro do dispositivo nesses casos.

Para dispositivos associados ao Microsoft Entra puros, certifique-se de que tem uma conta de administrador local offline ou crie uma. Não é possível entrar com nenhuma credencial de usuário do Microsoft Entra. Em seguida, vá para Configurações>Contas>de Acesso Trabalho ou Escola. Selecione sua conta e selecione Desconectar. Siga as instruções e forneça as credenciais de administrador local quando solicitado. Reinicie o dispositivo para concluir o processo de ununsão.

Sim. O Windows tem um recurso de nome de usuário e senha em cache que permite que os usuários que entraram anteriormente acessem a área de trabalho rapidamente, mesmo sem conectividade de rede.

Quando um dispositivo é excluído ou desativado no Microsoft Entra ID, ele não é conhecido pelo dispositivo Windows. Assim, os utilizadores que iniciaram sessão anteriormente continuam a aceder ao ambiente de trabalho com o nome de utilizador e palavra-passe armazenados em cache. Mas como o dispositivo é excluído ou desativado, os usuários não podem acessar nenhum recurso protegido pelo Acesso Condicional baseado em dispositivo.

Os utilizadores que não iniciaram sessão anteriormente não podem aceder ao dispositivo. Não há nenhum nome de usuário e senha armazenados em cache habilitados para eles.

Sim, mas apenas por um tempo limitado. Quando um usuário é excluído ou desativado no Microsoft Entra ID, ele não é imediatamente conhecido pelo dispositivo Windows. Assim, os utilizadores que iniciaram sessão anteriormente podem aceder ao ambiente de trabalho com o nome de utilizador e palavra-passe armazenados em cache.

Normalmente, o dispositivo está ciente do estado do usuário em menos de quatro horas. Em seguida, o Windows bloqueia o acesso desses usuários à área de trabalho. Como o usuário é excluído ou desativado no Microsoft Entra ID, todos os seus tokens são revogados. Portanto, eles não podem acessar nenhum recurso.

Os utilizadores eliminados ou desativados que não iniciaram sessão anteriormente não podem aceder a um dispositivo. Não há nenhum nome de usuário e senha armazenados em cache habilitados para eles.

Não, atualmente, os utilizadores convidados não podem iniciar sessão num dispositivo associado ao Microsoft Entra.

As organizações podem optar por implantar o Windows Server Hybrid Cloud Print com Pré-Autenticação ou Universal Print para seus dispositivos associados ao Microsoft Entra.

Consulte Conectar-se ao PC remoto ingressado no Microsoft Entra.

Você configurou determinadas regras de Acesso Condicional para exigir um estado de dispositivo específico? Se o dispositivo não atender aos critérios, os usuários serão bloqueados e verão essa mensagem. Avalie as regras da política de Acesso Condicional. Verifique se o dispositivo atende aos critérios para evitar a mensagem.

As razões comuns para este cenário são as seguintes:

• Suas credenciais de usuário não são mais válidas.
• O seu computador não consegue comunicar com o Microsoft Entra ID. Verifique se há problemas de conectividade de rede.
• As entradas federadas exigem que o servidor de federação ofereça suporte a pontos de extremidade WS-Trust habilitados e acessíveis.
• Você habilitou a autenticação de passagem. Portanto, sua senha temporária precisa ser alterada quando você entrar.

Atualmente, os dispositivos associados ao Microsoft Entra não forçam os usuários a alterar a senha na tela de bloqueio. Assim, os utilizadores com palavras-passe temporárias ou expiradas serão forçados a alterar palavras-passe apenas quando acederem a uma aplicação (que requer um token Microsoft Entra) depois de iniciarem sessão no Windows.

Este erro acontece quando configura o registo automático do Microsoft Entra com o Intune sem a devida licença atribuída. Verifique se o usuário que tenta ingressar no Microsoft Entra tem a licença correta do Intune atribuída. Para obter mais informações, consulte Configurar o registro para dispositivos Windows.

Uma causa provável é que você entrou no dispositivo usando a conta de administrador interna local. Crie uma conta local diferente antes de usar o Microsoft Entra para concluir a configuração.

O aplicativo Servidor P2P é um aplicativo registrado pela ID do Microsoft Entra para habilitar conexões RDP (Remote Desktop Protocol) para qualquer dispositivo Windows associado ao Microsoft Entra ou híbrido do Microsoft Entra em seu locatário. Este aplicativo cria um certificado de todo o locatário emitido pela autoridade de certificação do Microsoft Entra e é usado para emitir certificados de dispositivo RDP e usuário para conectividade RDP. Para garantir que este é o aplicativo correto, você pode encontrar a ID do objeto do aplicativo P2P Server no centro de administração>Microsoft Entra Applications>Enterprise Applications. Remova o filtro padrão aplicado se você pode ver todos os aplicativos. Compare essa ID de objeto usando a API do Microsoft Graph para consultar os detalhes usando GET /servicePrincipals/{objectid} e confirme se a propriedade servicePrincipalNames é urn:p2p_cert .

Os certificados MS-Organization-P2P-Access são emitidos pela ID do Microsoft Entra para dispositivos associados ao Microsoft Entra e híbridos do Microsoft Entra. Esses certificados são usados para habilitar a confiança entre dispositivos no mesmo locatário para cenários de área de trabalho remota. Um certificado é emitido para o dispositivo e outro é emitido para o usuário. O certificado do dispositivo está presente Local Computer\Personal\Certificates e é válido por um dia. Este certificado é renovado (emitindo um novo certificado) se o dispositivo ainda estiver ativo no Microsoft Entra ID. O certificado de usuário não é persistente e é válido por uma hora, mas é emitido sob demanda quando um usuário tenta uma sessão de área de trabalho remota para outro dispositivo associado ao Microsoft Entra. Não é renovado no vencimento. Ambos os certificados são emitidos usando o certificado MS-Organization-P2P-Access presente no Local Computer\AAD Token Issuer\Certificates. Este certificado é emitido pelo Microsoft Entra ID durante o registo do dispositivo.

Não é possível desativar ou expirar logons anteriores armazenados em cache em dispositivos associados ao Microsoft Entra.

Para dispositivos associados híbridos do Microsoft Entra, certifique-se de desativar o registro automático no AD usando o artigo Validação controlada. Em seguida, a tarefa agendada não registrará o dispositivo novamente. Em seguida, abra um prompt de comando como administrador e digite dsregcmd.exe /debug /leave. Ou execute este comando como um script em vários dispositivos para desunir em massa.

Para obter informações sobre solução de problemas, consulte estes artigos:

• Resolver problemas de registos associados ao Microsoft Entra híbrido em dispositivos Windows 10 e Windows Server 2016
• Resolução de problemas de dispositivos de nível inferior associados ao Microsoft Entra híbrido

Quando seus usuários adicionam suas contas a aplicativos em um dispositivo associado a um domínio, eles podem ser solicitados com Adicionar conta ao Windows? Se eles digitarem Sim no prompt, o dispositivo se registrará com o Microsoft Entra ID. O tipo de confiança está marcado como Microsoft Entra registrado. Depois de habilitar a associação híbrida do Microsoft Entra em sua organização, o dispositivo também recebe a associação híbrida do Microsoft Entra. Em seguida, dois estados de dispositivo aparecem para o mesmo dispositivo.

Na maioria dos casos, a associação híbrida do Microsoft Entra tem precedência sobre o estado registrado do Microsoft Entra, resultando em seu dispositivo sendo considerado associado híbrido do Microsoft Entra para qualquer autenticação e avaliação de Acesso Condicional. No entanto, às vezes, esse estado duplo pode resultar em uma avaliação não determinística do dispositivo e causar problemas de acesso. É altamente recomendável atualizar para o Windows 10 versão 1803 e superior, onde limpamos automaticamente o estado registrado do Microsoft Entra. Saiba como evitar ou limpar este estado duplo na máquina Windows 10.

As alterações UPN são suportadas com a atualização do Windows 10 2004 e também se aplicam ao Windows 11. Os utilizadores em dispositivos com esta atualização não terão quaisquer problemas depois de alterarem os seus UPNs.

As alterações UPN em versões mais antigas do Windows 10 não são totalmente suportadas com dispositivos associados híbridos do Microsoft Entra. Embora os usuários possam entrar no dispositivo e acessar seus aplicativos locais, a autenticação com o Microsoft Entra ID falha após uma alteração UPN. Como resultado, os usuários têm problemas de SSO e Acesso Condicional em seus dispositivos. Você precisa desingressar o dispositivo do Microsoft Entra ID (execute "dsregcmd /leave" com privilégios elevados) e voltar a ingressar (acontece automaticamente) para resolver o problema.

Não, exceto quando a senha do usuário é alterada. Depois que a associação híbrida do Microsoft Entra do Windows 10/11 for concluída e o usuário tiver entrado pelo menos uma vez, o dispositivo não precisará de linha de visão para o controlador de domínio para acessar recursos de nuvem. O Windows 10/11 pode obter logon único para aplicativos Microsoft Entra de qualquer lugar com uma conexão com a Internet, exceto quando uma senha é alterada. Os utilizadores que iniciam sessão com o Windows Hello para Empresas continuam a obter início de sessão único nas aplicações Microsoft Entra mesmo após uma alteração de palavra-passe, mesmo que não tenham linha de visão para o controlador de domínio.

Se uma senha for alterada fora da rede corporativa (por exemplo, usando o Microsoft Entra SSPR), o login do usuário com a nova senha falhará. Para dispositivos associados híbridos do Microsoft Entra, o Ative Directory local é a autoridade principal. Quando um dispositivo não tem linha de visão para um controlador de domínio, não consegue validar a nova palavra-passe. O usuário precisa estabelecer uma conexão com o controlador de domínio (via VPN ou estar na rede corporativa) antes de poder entrar no dispositivo com sua nova senha. Caso contrário, eles só poderão entrar com sua senha antiga devido ao recurso de entrada em cache no Windows. No entanto, a senha antiga é invalidada pelo ID do Microsoft Entra durante solicitações de token e, portanto, impede o logon único e falha em qualquer política de Acesso Condicional baseada em dispositivo até que o usuário se autentique com sua nova senha em um aplicativo ou navegador. Esse problema não ocorre se você usar dispositivos associados do Microsoft Entra.

• Para dispositivos registados no Microsoft Entra Windows 10/11, aceda a Definições>Contas>Acesso Trabalho ou Escola. Selecione sua conta e selecione Desconectar. O registro do dispositivo é por perfil de usuário no Windows 10/11.
• Para iOS e Android, você pode usar o aplicativo Microsoft Authenticator Configurações>de Registro de Dispositivo e selecionar Cancelar registro de dispositivo.
• Para macOS, você pode usar o aplicativo Portal da Empresa do Microsoft Intune para cancelar o registro do dispositivo do gerenciamento e remover qualquer registro.

Para o Windows 10 versão 2004 e versões anteriores, esse processo pode ser automatizado com a ferramenta de remoção WPJ (Ingresso no Local de Trabalho).

Habilite o registro a seguir para impedir que seus usuários adicionem outras contas de trabalho aos dispositivos Windows 10/11 ingressados no domínio corporativo, no Microsoft Entra ingressado ou no Microsoft Entra híbrido. Esta política também pode ser usada para impedir que máquinas ingressadas no domínio obtenham inadvertidamente o registro do Microsoft Entra com a mesma conta de usuário.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Conteúdos relacionados

• Ferramenta de Procura de Erros da Microsoft