Microsoft Entra híbrido ingressar implantação direcionada

Você pode validar seu planejamento e pré-requisitos para dispositivos híbridos de ingresso do Microsoft Entra usando uma implantação direcionada antes de habilitá-la em toda a organização. Este artigo explica como realizar uma implantação direcionada da associação híbrida do Microsoft Entra.

Atenção

Tenha cuidado ao modificar valores no Ative Directory. Fazer alterações em um ambiente estabelecido pode ter consequências indesejadas.

Implantação direcionada da associação híbrida do Microsoft Entra em dispositivos atuais do Windows

Para dispositivos que executam o Windows 10, a versão mínima suportada é o Windows 10 (versão 1607) para fazer a associação híbrida. Como prática recomendada, atualize para a versão mais recente do Windows 10 ou 11. Se precisar de suportar sistemas operativos anteriores, consulte a secção Suporte a dispositivos de nível inferior.

Para fazer uma implantação direcionada do Microsoft Entra hybrid join em dispositivos Windows atuais, você precisa:

1. Desmarque a entrada SCP (Ponto de Conexão de Serviço) do Ative Directory do Windows Server, se existir.
2. Configure a configuração do Registro do lado do cliente para SCP em seus computadores ingressados no domínio usando um GPO (Objeto de Diretiva de Grupo).
3. Se você estiver usando os Serviços de Federação do Ative Directory (AD FS), também deverá definir a configuração do Registro do lado do cliente para SCP no servidor AD FS usando um GPO.
4. Talvez seja necessário personalizar as opções de sincronização no Microsoft Entra Connect para habilitar a sincronização de dispositivos.

Gorjeta

O SCP pode ser configurado localmente no registro do dispositivo em determinadas situações. Se o dispositivo encontrar um valor no registro, ele usará essa configuração, caso contrário, ele consultará o diretório para o SCP e tentará associação híbrida.

Limpar o SCP do Ative Directory do Microsoft Windows Server

Use o Editor de Interfaces de Serviços do Ative Directory (ADSI Edit) para modificar os objetos SCP no Ative Directory do Microsoft Windows Server.

1. Inicie o aplicativo de desktop ADSI Edit a partir da estação de trabalho administrativa ou de um controlador de domínio como um administrador corporativo.
2. Conecte-se ao Contexto de Nomenclatura de Configuração do seu domínio.
3. Navegue até CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Clique com o botão direito do mouse no objeto folha CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selecione Propriedades.
   1. Selecione palavras-chave na janela Editor de atributos e selecione Editar.
   2. Selecione os valores de azureADId e azureADName (um de cada vez) e selecione Remover.
5. Feche o ADSI Edit.

Configurar a definição de registo do lado do cliente para o SCP

Use o exemplo a seguir para criar um GPO (Objeto de Diretiva de Grupo) para implantar uma configuração do Registro configurando uma entrada SCP no registro de seus dispositivos.

1. Abra uma consola da Gestão de Política de Grupo e crie um Objeto de Política de Grupo novo no domínio.
   1. Dê um nome ao GPO acabado de criar (por exemplo, ClientSideSCP).
2. Edite o GPO e localize o seguinte caminho: Preferências>de Configuração do>Computador Registro de Configurações>do Windows.
3. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
   1. Na guia Geral, configure o seguinte.
      1. Ação: Atualizar.
      2. Colmeia: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Dados do valor: O identificador global exclusivo (GUID) ou ID do locatário do seu locatário do Microsoft Entra, que pode ser encontrado em ID do locatário das Propriedades>de Visão Geral>da Identidade.>
   2. Selecione OK.
4. Clique com o botão direito do mouse no Registro e selecione Novo>Item do Registro.
   1. Na guia Geral, configure o seguinte.
      1. Ação: Atualizar.
      2. Colmeia: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: seu nome de domínio verificado se você estiver usando um ambiente federado, como o AD FS. Seu nome de domínio verificado ou seu nome de domínio onmicrosoft.com, por exemplocontoso.onmicrosoft.com, se você estiver usando um ambiente gerenciado.
   2. Selecione OK.
5. Feche o editor do GPO acabado de criar.
6. Vincule o GPO recém-criado à unidade organizacional (UO) correta que contém computadores ingressados no domínio que pertencem à sua população de distribuição controlada.

Definir definições do AD FS

Se sua ID do Microsoft Entra estiver federada com o AD FS, primeiro você precisará configurar o SCP do lado do cliente usando as instruções mencionadas anteriormente, vinculando o GPO aos servidores AD FS. O objeto SCP define a fonte de autoridade para objetos de dispositivo. Pode ser local ou Microsoft Entra ID. Quando o SCP do lado do cliente é configurado para AD FS, a origem dos objetos de dispositivo é estabelecida como ID do Microsoft Entra.

Nota

Se você não conseguiu configurar o SCP do lado do cliente em seus servidores AD FS, a origem das identidades de dispositivo será considerada como local. O AD FS começará a excluir objetos de dispositivo do diretório local após o período estipulado definido no atributo "MaximumInactiveDays" do Registro de Dispositivo do AD FS. Os objetos de Registro de Dispositivo do AD FS podem ser encontrados usando o cmdlet Get-AdfsDeviceRegistration.

Suporte a dispositivos de nível inferior

Para registrar dispositivos de nível inferior do Windows, as organizações devem instalar o Microsoft Workplace Join para computadores que não sejam Windows 10 disponíveis no Centro de Download da Microsoft.

Você pode implantar o pacote usando um sistema de distribuição de software como o Microsoft Configuration Manager. O pacote suporta as opções de instalação silenciosa padrão com o parâmetro quiet. A ramificação atual do Configuration Manager oferece benefícios em relação às versões anteriores, como a capacidade de rastrear registros concluídos.

O instalador cria uma tarefa agendada no sistema que é executado no contexto do usuário. A tarefa é acionada quando o usuário entra no Windows. A tarefa silenciosamente une o dispositivo com o Microsoft Entra ID com as credenciais do usuário depois de autenticar com o Microsoft Entra ID.

Para controlar o registro do dispositivo, você deve implantar o pacote do Windows Installer no grupo selecionado de dispositivos de nível inferior do Windows.

Nota

Se um SCP não estiver configurado no Microsoft Windows Server Ative Directory, você deverá seguir a mesma abordagem descrita para Configurar a configuração do Registro do lado do cliente para SCP) em seus computadores ingressados no domínio usando um GPO (Objeto de Diretiva de Grupo).

Por que um dispositivo pode estar em um estado pendente

Quando você configura uma tarefa de associação híbrida do Microsoft Entra no Microsoft Entra Connect Sync para seus dispositivos locais, a tarefa sincroniza objetos de dispositivo com a ID do Microsoft Entra e define temporariamente o estado registrado dos dispositivos como "pendente" antes que o dispositivo conclua o registro do dispositivo. Esse estado pendente ocorre porque o dispositivo deve ser adicionado ao diretório do Microsoft Entra antes de poder ser registrado. Para obter mais informações sobre o processo de registro de dispositivo, consulte Como funciona: Registro de dispositivo.

Pós-validação

Depois de verificar se tudo funciona conforme o esperado, você pode registrar automaticamente o restante dos seus dispositivos Windows atuais e de nível inferior com o Microsoft Entra ID. Automatize a associação híbrida do Microsoft Entra configurando o SCP usando o Microsoft Entra Connect.

Conteúdos relacionados

• Planeje sua implementação de ingresso híbrido do Microsoft Entra
• Configurar a associação híbrida do Microsoft Entra
• Configurar manualmente a associação híbrida do Microsoft Entra