Planeje sua implementação de ingresso híbrido do Microsoft Entra

  • Artigo

Se você tiver um ambiente local dos Serviços de Domínio Ative Directory (AD DS) e quiser associar seus computadores ingressados no domínio do AD DS à ID do Microsoft Entra, poderá realizar essa tarefa fazendo a associação híbrida do Microsoft Entra.

Gorjeta

O acesso de logon único (SSO) a recursos locais também está disponível para dispositivos aos quais o Microsoft Entra ingressou. Para obter mais informações, consulte Como funciona o SSO para recursos locais em dispositivos associados ao Microsoft Entra.

Pré-requisitos

Este artigo pressupõe que você esteja familiarizado com a Introdução ao gerenciamento de identidade de dispositivo no Microsoft Entra ID.

Nota

A versão mínima necessária do controlador de domínio (DC) para o Windows 10 ou mais recente Microsoft Entra associação híbrida é o Windows Server 2008 R2.

Os dispositivos associados híbridos do Microsoft Entra exigem linha de visão de rede para os controladores de domínio periodicamente. Sem esta ligação, os dispositivos tornam-se inutilizáveis.

Os cenários que quebram sem linha de visão para os controladores de domínio incluem:

  • Alteração da palavra-passe do dispositivo
  • Alteração de senha de usuário (credenciais armazenadas em cache)
  • Redefinição do TPM (Trusted Platform Module)

Planear a implementação

Para planejar sua implementação híbrida do Microsoft Entra, você deve se familiarizar com:

  • Rever os dispositivos suportados
  • Reveja o que deve saber
  • Revisar a implantação direcionada do ingresso híbrido do Microsoft Entra
  • Selecione seu cenário com base em sua infraestrutura de identidade
  • Revise o suporte UPN (nome principal de usuário) do Microsoft Windows Server Ative Directory local para ingresso híbrido do Microsoft Entra

Rever os dispositivos suportados

A associação híbrida Microsoft Entra suporta uma ampla gama de dispositivos Windows.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Observação: os clientes de nuvem do Azure National exigem a versão 1803
  • Windows Server 2019

Como prática recomendada, a Microsoft recomenda que você atualize para a versão mais recente do Windows.

Reveja o que deve saber

Cenários não suportados

  • A associação híbrida do Microsoft Entra não é suportada para o Windows Server que executa a função de Controlador de Domínio (DC).
  • O Server Core OS não suporta nenhum tipo de registro de dispositivo.
  • A Ferramenta de Migração de Estado do Usuário (USMT) não funciona com o registro de dispositivos.

Considerações sobre a criação de imagens do SO

  • Se você estiver confiando na Ferramenta de Preparação do Sistema (Sysprep) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se essa imagem não é de um dispositivo que já está registrado com a ID do Microsoft Entra como Microsoft Entra híbrido ingressado.

  • Se você estiver confiando em um instantâneo de máquina virtual (VM) para criar mais VMs, certifique-se de que o instantâneo não seja de uma VM que já esteja registrada com a ID do Microsoft Entra como associação híbrida do Microsoft Entra.

  • Se você estiver usando o Filtro de Gravação Unificado e tecnologias semelhantes que limpam as alterações no disco na reinicialização, elas deverão ser aplicadas depois que o dispositivo for associado ao Microsoft Entra híbrido. Habilitar essas tecnologias antes da conclusão da associação híbrida do Microsoft Entra resulta na desassociação do dispositivo a cada reinicialização.

Manipulando dispositivos com o estado registrado do Microsoft Entra

Se os seus dispositivos associados ao domínio do Windows 10 ou mais recentes estiverem registados no Microsoft Entra para o seu inquilino, isso poderá levar a um estado duplo de Microsoft Entra híbrido associado e dispositivo registado Microsoft Entra. Recomendamos atualizar para o Windows 10 1803 (com KB4489894 aplicado) ou mais recente para resolver automaticamente esse cenário. Nas versões anteriores ao 1803, você precisa remover o estado registrado do Microsoft Entra manualmente antes de habilitar a associação híbrida do Microsoft Entra. Em 1803 e versões anteriores, as seguintes alterações foram feitas para evitar este estado duplo:

  • Qualquer estado registrado do Microsoft Entra existente para um usuário será removido automaticamente depois que o dispositivo for associado ao Microsoft Entra híbrido e o mesmo usuário fizer login. Por exemplo, se o Utilizador A tiver um estado de registo no Microsoft Entra no dispositivo, o estado duplo do Utilizador A só será limpo quando o Utilizador A iniciar sessão no dispositivo. Se houver vários usuários no mesmo dispositivo, o estado duplo será limpo individualmente quando esses usuários entrarem. Depois que um administrador remover o estado registrado do Microsoft Entra, o Windows 10 cancelará o registro do dispositivo do Intune ou de outro gerenciamento de dispositivo móvel (MDM), se o registro tiver acontecido como parte do registro do Microsoft Entra por meio do registro automático.
  • O estado registado do Microsoft Entra em quaisquer contas locais no dispositivo não é afetado por esta alteração. Aplicável apenas a contas de domínio. O estado registado do Microsoft Entra nas contas locais não é removido automaticamente mesmo após o início de sessão do utilizador, uma vez que o utilizador não é um utilizador de domínio.
  • Você pode impedir que seu dispositivo ingressado no domínio seja registrado pelo Microsoft Entra adicionando o seguinte valor do Registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • No Windows 10 1803, se você tiver o Windows Hello for Business configurado, o usuário precisará reconfigurar o Windows Hello for Business após a limpeza de estado duplo. Este problema é resolvido com KB4512509.

Nota

Embora o Windows 10 e o Windows 11 removam automaticamente o estado registrado do Microsoft Entra localmente, o objeto de dispositivo na ID do Microsoft Entra não será excluído imediatamente se for gerenciado pelo Intune. Você pode validar a remoção do estado registrado do Microsoft Entra executando dsregcmd /status e considerar que o dispositivo não é registrado pelo Microsoft Entra com base nisso.

Ingresso híbrido do Microsoft Entra para floresta única, vários locatários do Microsoft Entra

Para registrar dispositivos como o Microsoft Entra híbrido ingressar nos respetivos locatários, as organizações precisam garantir que a configuração do Ponto de Conexão de Serviço (SCP) seja feita nos dispositivos e não no Ative Directory do Microsoft Windows Server. Mais detalhes sobre como realizar essa tarefa podem ser encontrados no artigo Microsoft Entra hybrid join targeted deployment. É importante que as organizações entendam que determinados recursos do Microsoft Entra não funcionam em uma única floresta, em várias configurações de locatários do Microsoft Entra.

  • O write-back do dispositivo não funciona. Essa configuração afeta o Acesso Condicional baseado em Dispositivo para aplicativos locais federados usando o AD FS. Essa configuração também afeta a implantação do Windows Hello for Business ao usar o modelo Hybrid Cert Trust.
  • O write-back de grupos não funciona. Essa configuração afeta o write-back dos Grupos do Office 365 em uma floresta com o Exchange instalado.
  • O SSO contínuo não funciona. Essa configuração afeta cenários de SSO em organizações que usam plataformas de navegador como iOS ou Linux com Firefox, Safari ou Chrome sem a extensão do Windows 10.
  • A Proteção por Senha do Microsoft Entra local não funciona. Essa configuração afeta a capacidade de fazer alterações de senha e eventos de redefinição de senha em controladores de domínio dos Serviços de Domínio Ative Directory (AD DS) locais usando as mesmas listas de senhas proibidas globais e personalizadas armazenadas no Microsoft Entra ID.

Outras considerações

  • Se o seu ambiente usa VDI (infraestrutura de área de trabalho virtual), consulte Identidade do dispositivo e virtualização da área de trabalho.

  • A associação híbrida do Microsoft Entra é suportada para TPM 2.0 compatível com Federal Information Processing Standard (FIPS) e não para TPM 1.2. Se seus dispositivos tiverem TPM 1.2 compatível com FIPS, você deverá desativá-los antes de prosseguir com a associação híbrida do Microsoft Entra. A Microsoft não fornece nenhuma ferramenta para desabilitar o modo FIPS para TPMs, pois ele depende do fabricante do TPM. Entre em contato com o OEM de hardware para obter suporte.

  • A partir da versão do Windows 10 1903, os TPMs 1.2 não são usados com a associação híbrida Microsoft Entra e os dispositivos com esses TPMs são tratados como se não tivessem um TPM.

  • As alterações UPN só são suportadas a partir da atualização do Windows 10 2004. Para dispositivos anteriores à atualização do Windows 10 2004, os usuários podiam ter problemas de SSO e Acesso Condicional em seus dispositivos. Para resolver esse problema, você precisa desingressar o dispositivo do Microsoft Entra ID (execute "dsregcmd /leave" com privilégios elevados) e reingressar (acontece automaticamente). No entanto, os utilizadores que iniciam sessão com o Windows Hello para Empresas não enfrentam este problema.

Rever a associação híbrida Microsoft Entra direcionada

As organizações podem querer fazer uma distribuição direcionada da associação híbrida do Microsoft Entra antes de habilitá-la para toda a organização. Analise o artigo Microsoft Entra hybrid join targeted deployment para entender como realizá-la.

Aviso

As organizações devem incluir uma amostra de usuários de diferentes funções e perfis em seu grupo piloto. Uma distribuição direcionada ajudará a identificar quaisquer problemas que seu plano possa não ter resolvido antes de habilitar para toda a organização.

Selecione seu cenário com base em sua infraestrutura de identidade

A associação híbrida do Microsoft Entra funciona com ambientes gerenciados e federados, dependendo se o UPN é roteável ou não roteável. Consulte a parte inferior da página para obter uma tabela sobre os cenários suportados.

Ambiente gerido

Um ambiente gerenciado pode ser implantado por meio de PHS (Password Hash Sync) ou PTA (Pass Through Authentication) com logon único contínuo.

Esses cenários não exigem que você configure um servidor de federação para autenticação (AuthN).

Nota

A autenticação na nuvem usando a distribuição em etapas só é suportada a partir da atualização do Windows 10 1903.

Ambiente federado

Um ambiente federado deve ter um provedor de identidade que ofereça suporte aos seguintes requisitos. Se você tiver um ambiente federado usando os Serviços de Federação do Ative Directory (AD FS), os requisitos abaixo já são suportados.

Protocolo WS-Trust: Este protocolo é necessário para autenticar dispositivos híbridos associados ao Microsoft Entra atuais do Windows com o Microsoft Entra ID. Ao usar o AD FS, você precisa habilitar os seguintes pontos de extremidade WS-Trust:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Aviso

Ambos adfs /services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport devem ser habilitados apenas como pontos de extremidade voltados para intranet e NÃO devem ser expostos como pontos de extremidade voltados para extranet por meio do Proxy de Aplicativo Web. Para saber mais sobre como desabilitar pontos de extremidade WS-Trust do Windows, consulte Desabilitar pontos de extremidade WS-Trust do Windows no proxy. Você pode ver quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Pontos de Extremidade de Serviço>.

A partir da versão 1.1.819.0, o Microsoft Entra Connect fornece um assistente para configurar a associação híbrida do Microsoft Entra. O assistente permite-lhe simplificar significativamente o processo de configuração. Se a instalação da versão necessária do Microsoft Entra Connect não for uma opção para você, consulte Como configurar manualmente o registro do dispositivo. Se contoso.com estiver registrado como um domínio personalizado confirmado, os usuários poderão obter um PRT mesmo que o sufixo AD DS UPN local sincronizado esteja em um subdomínio como test.contoso.com.

Revise o suporte UPN de usuários locais do Microsoft Windows Server Ative Directory para ingresso híbrido do Microsoft Entra

Às vezes, os UPNs locais dos usuários do Ative Directory do Microsoft Windows Server são diferentes dos UPNs do Microsoft Entra. Nesses casos, a associação híbrida do Microsoft Entra no Windows 10 ou mais recente fornece suporte limitado para UPNs locais do Ative Directory do Microsoft Windows Server com base no método de autenticação, no tipo de domínio e na versão do Windows. Há dois tipos de UPNs locais do Ative Directory do Microsoft Windows Server que podem existir em seu ambiente:

  • UPN de usuários roteáveis: um UPN roteável tem um domínio verificado válido que está registrado em um registrador de domínios. Por exemplo, se contoso.com for o domínio primário no Microsoft Entra ID, contoso.org será o domínio primário no Ative Directory local do Microsoft Windows Server de propriedade da Contoso e verificado no Microsoft Entra ID.
  • UPN de usuários não roteáveis: um UPN não roteável não tem um domínio verificado e é aplicável somente na rede privada da sua organização. Por exemplo, se contoso.com for o domínio primário no Microsoft Entra ID e contoso.local for o domínio primário no Ative Directory local do Microsoft Windows Server, mas não for um domínio verificável na Internet e usado apenas na rede da Contoso.

Nota

As informações nesta seção aplicam-se apenas a um UPN de usuários locais. Não é aplicável a um sufixo de domínio de computador local (exemplo: computer1.contoso.local).

A tabela a seguir fornece detalhes sobre o suporte para esses UPNs locais do Microsoft Windows Server Ative Directory no Windows 10 Microsoft Entra associação híbrida:

Tipo de UPN do Ative Directory do Microsoft Windows Server local Tipo de domínio Versão do Windows 10 Description
Roteável Federados A partir da versão de 1703 Disponibilidade geral
Não roteável Federados A partir da versão de 1803 Disponibilidade geral
Roteável Não gerido A partir da versão de 1803 Geralmente disponível, o Microsoft Entra SSPR na tela de bloqueio do Windows não é suportado em ambientes onde o UPN local é diferente do UPN do Microsoft Entra. O UPN local deve ser sincronizado com o atributo no ID do onPremisesUserPrincipalName Microsoft Entra
Não roteável Não gerido Não suportado

Próximo passo