Implementar dispositivos associados híbridos do Microsoft Entra com o Intune e o Windows Autopilot

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Importante

A Microsoft recomenda a implementação de novos dispositivos como nativos da cloud através da associação ao Microsoft Entra. A implementação de novos dispositivos como dispositivos de associação híbrida do Microsoft Entra não é recomendada, incluindo através do Autopilot. Para obter mais informações, consulte Microsoft Entra joined vs. Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization.

Pode utilizar o Intune e o Windows Autopilot para configurar dispositivos associados híbridos ao Microsoft Entra. Para isso, siga as etapas neste artigo. Para obter mais informações sobre a associação híbrida do Microsoft Entra, veja Compreender a associação híbrida e a cogestão híbrida do Microsoft Entra.

Pré-requisitos

• Configurou com êxito os seus dispositivos associados híbridos do Microsoft Entra. Certifique-se de que verifica o registo do dispositivo com o cmdlet Get-MgDevice .
• Se a filtragem baseada em Domínio e UO estiver configurada como parte do Microsoft Entra Connect, certifique-se de que a unidade organizacional (UO) predefinida ou o contentor destinado aos dispositivos Autopilot está incluído no âmbito de sincronização.

Pré-requisitos de registro do dispositivo

O dispositivo a ser registrado deve seguir estes requisitos:

• Use o Windows 11 ou Windows 10 versão 1809 ou posterior.
• Tenha acesso à internet seguindo os requisitos de rede do Windows Autopilot.
• Tenha acesso a um controlador de domínio do Active Directory.
• Executar ping com êxito no controlador de domínio do domínio em que você está tentando ingressar.
• Se estiver usando um proxy, a opção de configurações de proxy WPAD precisa ser habilitada e definida.
• Passar pela experiência de configuração inicial pelo usuário (OOBE).
• Utilize um tipo de autorização suportado pelo Microsoft Entra ID no OOBE.

Embora não seja necessário, configurar a associação híbrida do Microsoft Entra para os Serviços Federados do Active Directory (AD FS) permite um processo de registo mais rápido do Windows Autopilot Microsoft Entra durante as implementações. Os clientes federados que não suportam a utilização de palavras-passe e que utilizam o AD FS têm de seguir os passos descritos no artigo Suporte do parâmetro prompt=login dos Serviços de Federação do Active Directory para configurar corretamente a experiência de autenticação.

Pré-requisitos do servidor do conector do Intune

• O Conector do Intune para o Active Directory tem de estar instalado num computador com o Windows Server 2016 ou posterior com a versão 4.7.2 ou posterior do .NET Framework.

• O servidor que aloja o Conector do Intune tem de ter acesso à Internet e ao Active Directory.

  Observação

  O servidor do Conector do Intune requer acesso de cliente de domínio padrão aos controladores de domínio, o que inclui os requisitos de porta RPC necessários para comunicar com o Active Directory. Para saber mais, confira os seguintes artigos:

  • Visão geral do serviço e requisitos de porta de rede para o Windows
  • Como configurar um firewall para domínios e relações de confiança do Active Directory
  • Portas e Protocolos Requeridos para Identidade Híbrida

• Para aumentar a escala e a disponibilidade, instale vários conectores no seu ambiente. É recomendável instalar o Conector em um servidor que não está executando nenhum outro conector do Intune. Cada conector deve ser capaz de criar objetos de computador em qualquer domínio ao qual você deseja dar suporte.

• Se a sua organização tiver vários domínios e instalar vários Conectores do Intune, tem de ser utilizada uma conta de serviço de domínio que possa criar objetos de computador em todos os domínios. Este requisito é verdadeiro mesmo que planeie implementar a associação híbrida do Microsoft Entra apenas para um domínio específico. Se estes domínios forem domínios não fidedignos, tem de desinstalar os conectores de domínios nos quais não pretende utilizar o Windows Autopilot. Caso contrário, com vários conectores em vários domínios, todos os conectores devem ser capazes de criar objetos de computador em todos os domínios.

  Esta conta de serviço do conector precisa ter as seguintes permissões:

  • Inicie sessão como um serviço.
  • Tem de fazer parte do grupo de utilizadores domínio .
  • Tem de ser um membro do grupo administradores local no servidor Windows que aloja o conector.

  Importante

  As contas de serviço geridas não são suportadas para a conta de serviço. A conta de serviço tem de ser uma conta de domínio.

• O Conector do Intune requer os mesmos pontos de extremidade que o Intune.

Configurar a inscrição automática de MDM do Windows

1. Entre no portal do Azure. No painel esquerdo, selecione Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

2. Certifique-se de que os utilizadores que implementam dispositivos associados ao Microsoft Entra através do Intune e do Windows são membros de um grupo incluído no âmbito do Utilizador mdm.

3. Use os valores padrão para as caixas Termos de uso do MDM, Descoberta do MDM e URL da Conformidade do MDM e, em seguida, selecione Salvar.

Aumentar o limite de conta de computador na Unidade Organizacional

O conector do Intune para o Active Directory cria computadores do Autopilot registrados no domínio do Active Directory Local. O computador que hospeda o Conector do Intune deve ter os direitos de criar os objetos de computador dentro do domínio.

Em alguns domínios, os computadores não recebem os direitos para criar computadores. Além disso, os domínios têm um limite integrado (padrão de 10) que se aplica a todos os usuários e computadores que não têm direitos delegados para criar objeto de computador. Os direitos têm de ser delegados a computadores que alojam o Intune Connector na unidade organizacional onde são criados os dispositivos associados híbridos do Microsoft Entra.

A unidade organizacional que tem os direitos de criação de computadores tem de corresponder:

• A unidade organizacional introduzida no perfil de Associação a Um Domínio.
• Ou, se nenhum perfil for selecionado, ao nome de domínio do computador para seu domínio.

1. Abra Usuários e Computadores do Active Directory (DSA.msc).

2. Clique com o botão direito do rato na unidade organizacional a utilizar para criar computadores > associados híbridos do Microsoft Entra Delegate Control.

   

3. No assistente Delegação de Controle, escolha Avançar>Adicionar>Tipos de Objeto.

4. No painel Tipos de Objeto, selecione Computadores>OK.

   

5. No painel Selecionar Usuários, Computadores ou Grupos, na caixa Inserir nomes de objeto para selecionar, insira o nome do computador em que o Conector está instalado.

   

6. Selecione Verificar Nomes para validar sua entrada >OK>Avançar.

7. Selecione Criar uma tarefa personalizada para delegar>Avançar.

8. Selecione Apenas os seguintes objetos na pasta>objetos de Computador.

9. Selecione Criar objetos selecionados nesta pasta e Excluir objetos selecionados nesta pasta.

   

10. Selecione Avançar.

11. Sob Permissões, selecione a caixa de seleção Controle total. Essa ação selecionará todas as outras opções.

    

12. Selecione Avançar>Concluir.

Instalar o Conector do Intune

Antes de iniciar a instalação, certifique-se de que todos os pré-requisitos do servidor do conector do Intune são cumpridos .

Etapas de instalação

1. Desative a Configuração de Segurança Avançada do Internet Explorer. Por padrão, o Windows Server tem a Configuração de Segurança Reforçada do Internet Explorer ativada. Se não conseguir iniciar sessão no Conector do Intune para o Active Directory, desative a Configuração de Segurança Avançada do Internet Explorer para o Administrador. Para desativar a Configuração de Segurança Avançada do Internet Explorer:

   1. No servidor onde o Intune Connector está a ser instalado, abra o Gestor de Servidor.
   2. No painel esquerdo do Gestor de Servidor, selecione Servidor Local.
   3. No painel PROPRIEDADES correto do Gestor de Servidor, selecione a ligação Ativado ou Desativado junto a Configuração de Segurança Avançada do IE.
   4. Na janela Configuração de Segurança Avançada do Internet Explorer , selecione Desativado em Administradores:e, em seguida, selecione OK.

2. No centro de administração do Microsoft Intune, selecioneDispositivos>> WindowsInscrição>do Windows Conector do Intune para a adição do Active Directory>.

3. Siga as instruções para baixar o Conector.

4. Abra o arquivo de configuração do Conector baixado, ODJConnectorBootstrapper.exe, para instalar o Conector.

5. No final da configuração, selecione Configurar Agora.

6. Selecione Entrar.

7. Insira as credenciais da função de Administrador Global ou Administrador do Intune. A conta de usuário deve ter uma licença válida do Intune.

8. Vá para Dispositivos>Windows>Registro do Windows>Conector do Intune para Active Directory e confirme se o status da conexão é Ativo.

Observação

• A função Administrador Global é um requisito temporário no momento da instalação.
• Depois de iniciar sessão no Conector, pode demorar vários minutos a aparecer no centro de administração do Microsoft Intune. O Conector somente será exibido se puder se comunicar com êxito com o serviço Intune.
• Os conectores inativos do Intune continuam a aparecer na página Conectores do Intune e serão limpos automaticamente após 30 dias.

Após a instalação do Conector do Intune, este iniciará o registo no Visualizador de Eventos no caminho Applications and Services Logs>Microsoft>Intune>ODJConnectorService. Neste caminho, podem ser encontrados registos de Administrador e Operacionais .

Observação

O Intune Connector iniciou sessão no Visualizador de Eventos diretamente em Registos de Aplicações e Serviços num registo chamado Serviço do Conector ODJ. No entanto, o registo do Conector do Intune foi, desde então, movido para o caminho Registos de Aplicações e Serviços> doMicrosoft>Intune>ODJConnectorService. Se descobrir que o registo do Serviço do Conector ODJ na localização original está vazio ou não está a atualizar, verifique antes a nova localização do caminho.

Definir configurações de proxy Web

Se você tiver um proxy da Web em seu ambiente de rede, verifique se o conector do Intune para o Active Directory funciona corretamente consultando Trabalhar com existentes locais servidores proxy.

Criar um grupo de dispositivos

1. No centro de administração do Microsoft Intune, selecioneGrupos>Novo grupo.

2. No painel Grupo, escolha as seguintes opções:

   1. Para Tipo de grupo, selecione Segurança.
   2. Insira o Nome do grupo e a Descrição do grupo.
   3. Selecione um Tipo de associação.

3. Se você selecionou Dispositivos Dinâmicos para o tipo de associação, no painel Grupo, selecione Membros do dispositivo dinâmico.

4. Selecione Editar na caixa Sintaxe de Regra e insira uma das seguintes linhas de código:

   • Para criar um grupo que inclua todos os dispositivos do Autopilot, insira (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
   • O campo Etiqueta de Grupo do Intune mapeia para o atributo OrderID em dispositivos Microsoft Entra. Se você deseja criar um grupo que inclua todos os seus dispositivos do Autopilot com uma Marca de Grupo (OrderID) específica, digite: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
   • Para criar um grupo que inclua todos os dispositivos do Autopilot com uma ID do pedido de compra específica, insira (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

5. Selecione Salvar>Criar.

Registrar seus dispositivos do Autopilot

Escolha uma das maneiras a seguir para registrar seus dispositivos do Autopilot.

Registrar dispositivos do Autopilot já registrados

1. Crie um perfil de implementação do Autopilot com a definição Converter todos os dispositivos visados no Autopilot definido como Sim.

2. Atribua o perfil a um grupo que contém os membros que você deseja registrar automaticamente com o Autopilot.

Para obter mais informações, confira Criar um perfil de implantação do Autopilot.

Registrar dispositivos Autopilot não registrados

Se os dispositivos ainda não estiverem registrados, você poderá registrá-los por conta própria. Para obter mais informações, consulte Registro manual.

Registrar dispositivos de um OEM

Se você estiver comprando novos dispositivos, alguns OEMs poderão registrar dispositivos para você. Para obter mais informações, consulte registro OEM.

Apresentar o dispositivo Autopilot registado

Antes de serem registrados no Intune, dispositivos registrados do Autopilot são exibidos em três locais (com nomes definidos para seus números de série):

• O painel Dispositivos Autopilot do Intune no portal do Azure. Selecione Registro de dispositivo>Registro do Windows>Dispositivos.
• O painel dispositivos Microsoft Entra no Intune no portal do Azure. Selecione Dispositivos>Microsoft Entra Devices.
• O painel Todos os Dispositivos do Microsoft Entra no Microsoft Entra ID no portal do Azure ao selecionar Dispositivos>Todos os Dispositivos.

Depois que os dispositivos do Autopilot são registrados, eles são exibidos em quatro lugares:

• O painel Dispositivos Autopilot do Intune no portal do Azure. Selecione Registro de dispositivo>Registro do Windows>Dispositivos.
• O painel dispositivos Microsoft Entra no Intune no portal do Azure. Selecione Dispositivos>Microsoft Entra Devices.
• O painel Todos os Dispositivos do Microsoft Entra no Microsoft Entra ID no portal do Azure. Selecione Dispositivos>Todos os dispositivos.
• O painel Todos os Dispositivos do Intune no portal do Azure. Selecione Dispositivos>Todos os dispositivos.

Um objeto de dispositivo é pré-criado no Microsoft Entra ID assim que um dispositivo é registado no Autopilot. Quando um dispositivo passa por uma implementação híbrida do Microsoft Entra, por predefinição, é criado outro objeto de dispositivo que resulta em entradas duplicadas.

BYO VPNs

Os seguintes clientes VPN são testados e validados:

Clientes VPN

• Cliente VPN do Windows in-box
• Cisco AnyConnect (cliente Win32)
• Pulse Secure (cliente Win32)
• GlobalProtect (cliente Win32)
• Ponto de verificação (cliente Win32)
• Citrix NetScaler (cliente Win32)
• SonicWall (cliente Win32)
• VPN FortiClient (Cliente Win32)

Observação

Esta lista de clientes VPN não é uma lista abrangente de todos os clientes VPN que funcionam com o Autopilot. Contacte o respetivo fornecedor de VPN sobre compatibilidade e suporte com o Autopilot ou sobre quaisquer problemas com a utilização de uma solução VPN com o Autopilot.

Clientes VPN não suportados

Sabe-se que as seguintes soluções de VPN não funcionam com o Autopilot e, por conseguinte, não são suportadas para utilização com o Autopilot:

• Plug-ins VPN baseados em UWP
• Qualquer coisa que exija um certificado de usuário
• DirectAccess

Observação

Ao utilizar VPNs BYO, deve selecionar Sim para a opção Ignorar verificação de conectividade do AD no perfil de implementação do Windows Autopilot. Always-On VPNs não devem exigir esta opção, uma vez que se liga automaticamente.

Criar e atribuir um perfil de implantação do Autopilot

Os perfis de implantação do Autopilot são usados para configurar os dispositivos do Autopilot.

1. No centro de administração do Microsoft Intune, selecioneDispositivos>> Windowsinscrição Perfis de Implementação>Criar>Perfil.

2. Na página Básico, digite um Nome e uma Descrição opcional.

3. Se pretender que todos os dispositivos nos grupos atribuídos se registem automaticamente no Autopilot, defina Converter todos os dispositivos visados no Autopilot comoSim. Todos os dispositivos pertencentes à empresa que não pertencem ao Autopilot em grupos atribuídos registam-se no serviço de implementação do Autopilot. Os dispositivos pessoais não estão registados no Autopilot. Aguarde 48 horas para que o registro seja processado. Quando a inscrição e a reposição do dispositivo forem anuladas, o Autopilot volta a inscrevê-lo. Depois de um dispositivo ser registado desta forma, desativar esta definição ou remover a atribuição de perfil não removerá o dispositivo do serviço de implementação do Autopilot. Em vez disso, é necessário remover o dispositivo diretamente.

4. Selecione Avançar.

5. Na página OOBE (Experiência de configuração inicial pelo usuário), para o Modo de implantação, selecione Orientado pelo usuário.

6. Na caixa Aderir ao Microsoft Entra ID como , selecione Associação híbrida do Microsoft Entra.

7. Se você estiver implantando dispositivos fora da rede da organização usando suporte à VPN, defina a opção Ignorar Verificação de Conectividade de Domínio como Sim. Para obter mais informações, veja Modo orientado pelo utilizador para a associação híbrida do Microsoft Entra com suporte de VPN.

8. Configure as opções restantes da página Experiência de configuração inicial pelo usuário (OOBE) como necessário.

9. Selecione Avançar.

10. Na página Marcas de escopo, selecione as marcas de escopo para esse perfil.

11. Selecione Avançar.

12. Na página Atribuições, selecione Selecionar grupos para incluir> a pesquisa e selecione o grupo > de dispositivos Selecionar.

13. Selecione Avançar>Criar.

Observação

O Intune verifica periodicamente a existência de novos dispositivos nos grupos atribuídos e, em seguida, inicia o processo de atribuição de perfis a esses dispositivos. Devido a vários fatores diferentes envolvidos no processo de atribuição de perfis do Autopilot, um tempo estimado para a atribuição pode variar de cenário para cenário. Estes fatores podem incluir grupos do Microsoft Entra, regras de associação, hash de um dispositivo, serviço Do Intune e Autopilot e ligação à Internet. O tempo de atribuição varia consoante todos os fatores e variáveis envolvidos num cenário específico.

(Opcional) Ative a página de status de registro

1. No centro de administração do Microsoft Intune, selecioneDispositivos> Página de Estado deInscrição>doWindows>.

2. No painel Página de Status de Registro, selecione Padrão>Configurações.

3. Na caixa Mostrar o progresso da instalação do aplicativo e do perfil, selecione Sim.

4. Configure as outras opções conforme necessário.

5. Selecione Salvar.

Criar e atribuir um perfil de Ingresso no Domínio

1. No centro de administração do Microsoft Intune, selecionePerfis de configuração de dispositivos>>Criar Perfil.

2. Insira as seguintes propriedades:

   • Nome: Insira um nome descritivo para o novo perfil.
   • Descrição: Insira uma descrição para o perfil.
   • Plataforma: Selecione Windows 10 e posterior.
   • Tipo de perfil: Selecione Modelos, escolha o nome do modelo Ingressar no Domínio e selecione Criar.

3. Insira o Nome e a Descrição e selecione Próximo.

4. Forneça um Prefixo do nome do computador e Nome do domínio.

5. (Opcional) Forneça uma UO Unidade organizacional no formato. As opções são:

   • Forneça uma UO na qual o controlo é delegado ao seu dispositivo Windows 2016 que está a executar o Intune Connector.
   • Forneça uma UO na qual o controlo é delegado aos computadores raiz no seu Active Directory no local.
   • Se deixar esta opção em branco, o objeto de computador é criado no contentor predefinido do Active Directory (CN=Computers se nunca o tiver alterado).

   Estes são alguns exemplos válidos:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Aqui estão alguns exemplos que não são válidos:

   • CN=Computers,DC=contoso,DC=com (não pode especificar um contentor; em vez disso, deixe o valor em branco para utilizar a predefinição para o domínio)
   • OU=Mine (tem de especificar o domínio através dos DC= atributos)

   Observação

   Não use aspas em volta do valor na Unidade organizacional.

6. Selecione OK>Criar. O perfil é criado e exibido na lista.

7. Atribua um perfil de dispositivo ao mesmo grupo usado na etapa Criar um grupo de dispositivos. Grupos diferentes podem ser usados se houver a necessidade de unir dispositivos a domínios ou UOs diferentes.

Observação

A capacidade de nomenclatura para a associação híbrida do Windows Autopilot para Microsoft Entra não suporta variáveis como %SERIAL%. Só suporta prefixos para o nome do computador.

Desinstalar o Conector ODJ

O conector ODJ é instalado localmente num computador através de um ficheiro executável. Se o conector ODJ precisar de ser desinstalado de um computador, também tem de ser feito localmente no computador. O conector ODJ não pode ser removido através do portal do Intune ou através de uma chamada à API de grafos.

Para desinstalar o Conector ODJ do computador, siga estes passos:

1. Inicie sessão no computador que aloja o conector ODJ.
2. Clique com o botão direito do rato no menu Iniciar e selecione Definições.
3. Na janela Definições do Windows , selecione Aplicações.
4. Em Aplicações & funcionalidades, localize e selecione Conector do Intune para o Active Directory.
5. Em Conector do Intune para o Active Directory, selecione o botão Desinstalar e, em seguida, selecione novamente o botão Desinstalar.
6. O conector ODJ continua a desinstalar.

Próximas etapas

Depois de configurar o Windows Autopilot, saiba como gerenciar esses dispositivos. Para obter mais informações, confira O que é gerenciamento de dispositivos do Microsoft Intune?.

Artigos relacionados

• O que é uma identidade de dispositivo?.
• Saiba mais sobre os pontos finais nativos da cloud.
• O Microsoft Entra juntou-se vs. Microsoft Entra híbrido associado em pontos finais nativos da cloud.
• Tutorial: Configurar um ponto final do Windows nativo da cloud com o Microsoft Intune.
• Como: Planear a implementação da sua associação ao Microsoft Entra.
• Uma arquitetura para a transformação de gestão de pontos finais do Windows.
• Compreender os cenários híbridos do Azure AD e da cogestão.
• Êxito com a associação remota do Windows Autopilot e do Azure Active Directory híbrido.