Planejar a implantação do seu dispositivo do Microsoft Entra
Este artigo ajuda a avaliar os métodos para integrar seu dispositivo ao Microsoft Entra ID, escolher o plano de implementação e fornece links de chave para as ferramentas de gerenciamento de dispositivos com suporte.
O cenário dos dispositivos do usuário está em constante expansão. As organizações podem fornecer desktops, laptops, telefones, tablets e outros dispositivos. Os usuários podem trazer sua própria matriz de dispositivos e acessar informações de locais variados. Nesse ambiente, seu trabalho como administrador é manter os recursos organizacionais protegidos em todos os dispositivos.
O Microsoft Entra ID permite que sua organização atenda a essas metas com o gerenciamento de identidade do dispositivo. Agora você pode obter seus dispositivos no Microsoft Entra ID e controlá-los a partir de um local central no Centro de Administração Microsoft Entra. Esse processo oferece uma experiência unificada e segurança aprimorada, além de reduzir o tempo necessário para configurar um novo dispositivo.
Há vários métodos para integrar seus dispositivos ao Microsoft Entra ID e eles podem trabalhar separadamente ou juntos com base no sistema operacional e nos seus requisitos:
- É possível registrar seus dispositivos com o Microsoft Entra ID.
- Ingressar dispositivos no Microsoft Entra ID (somente na nuvem).
- Microsoft Entra dispositivos de junção híbrida ao domínio Active Directory local e ao Microsoft Entra ID.
Learn
Antes de começar, verifique se você está familiarizado com a visão geral do gerenciamento de identidade do dispositivo.
Benefícios
Os principais benefícios de fornecer aos seus dispositivos uma identidade Microsoft Entra:
Aumentar a produtividade – Os usuários podem fazer o SSO (logon contínuo) nos seus recursos locais e de nuvem, permitindo a produtividade onde quer que estejam.
Aumentar a segurança – Aplique políticas de acesso condicional aos recursos com base na identidade do dispositivo ou do usuário. O ingresso de um dispositivo no Microsoft Entra ID é um pré-requisito para aumentar sua segurança com uma estratégia de autenticação sem senha.
Aprimorar a experiência do usuário – Forneça aos usuários acesso fácil aos recursos baseados em nuvem da sua organização em dispositivos pessoais e corporativos. Os administradores podem habilitar a Enterprise State roaming para uma experiência unificada em todos os dispositivos Windows.
Simplificar a implantação e o gerenciamento – simplifique o processo de trazer dispositivos para o Microsoft Entra ID com o Windows Autopilot, o provisionamento em massa e o autoatendimento: OOBE (configuração inicial pelo usuário). Gerencie os dispositivos com ferramentas de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune, e suas identidades no Centro de Administração Microsoft Entra.
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva os participantes certos
Quando os projetos de tecnologia falham, isso normalmente ocorre devido a expectativas incompatíveis sobre o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e se as funções de stakeholder no projeto foram compreendidas.
Para este plano, adicione os seguintes participantes à sua lista:
| Função | Descrição |
|---|---|
| Administrador de Dispositivo | Um representante da equipe do dispositivo que pode verificar se o plano atenderá aos requisitos do dispositivo de sua organização. |
| Administrador de rede | Um representante da equipe de rede que pode se certificar de atender aos requisitos de rede. |
| Equipe de gerenciamento de dispositivo | Equipe que gerencia o inventário de dispositivos. |
| Equipes de administração específicas do sistema operacional | Equipes que dão suporte e gerenciam versões específicas do sistema operacional. Por exemplo, pode haver uma equipe focada em Mac ou iOS. |
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique de forma proativa a seus usuários como e quando sua experiência será alterada e como obter suporte em caso de problemas.
Planejar um piloto
É recomendável que a configuração inicial do seu método de integração esteja em um ambiente de teste ou com um pequeno grupo de dispositivos de teste. Consulte Melhores práticas para obter um piloto.
Poderá querer fazer uma implantação direcionada do ingresso no Microsoft Entra híbrido antes de habilitá-lo em toda a organização.
Aviso
As organizações devem incluir um exemplo de usuários de diferentes funções e perfis no grupo piloto. Uma distribuição direcionada ajudará a identificar os problemas que o plano pode não ter resolvido antes de habilitá-la para toda a organização.
Escolha seus métodos de integração
Sua organização pode usar vários métodos de integração de dispositivos em um único locatário do Microsoft Entra. O objetivo é escolher os métodos adequados para que seus dispositivos sejam gerenciados com segurança no Microsoft Entra ID. Há muitos parâmetros que orientam essa decisão, incluindo a propriedade, os tipos de dispositivo, o público principal e a infraestrutura da sua organização.
As seguintes informações podem ajudá-lo a decidir quais métodos de integração usar.
Árvore de decisão para integração de dispositivos
Use esta árvore para determinar as opções para dispositivos de propriedade da organização.
Observação
Cenários pessoais ou BYOD (traga seu próprio dispositivo) não são mostrados neste diagrama. Eles sempre resultam no registro do Microsoft Entra.
Matriz de comparação
dispositivos iOS e Android só podem ser registrados no Microsoft Entra. A tabela a seguir apresenta considerações de alto nível para dispositivos cliente do Windows. Use-o como uma visão geral e explore os métodos de integração diferentes detalhadamente.
| Consideração | Registrado no Microsoft Entra | Ingressado no Microsoft Entra | Ingressado no Microsoft Entra híbrido |
|---|---|---|---|
| Sistemas operacionais clientes | |||
| Dispositivos Windows 11 ou Windows 10 |  |
|
|
| Dispositivos de nível inferior do Windows (Windows 8.1 ou Windows 7) | |
||
| Área de Trabalho do Linux – Ubuntu 20.04/22.04 | |
||
| Opções de entrada | |||
| Credenciais locais do usuário final | |
||
| Senha | |
|
|
| PIN do dispositivo | |
||
| Windows Hello | |
||
| Windows Hello for Business | |
|
|
| Chaves de segurança do FIDO 2.0 | |
|
|
| Aplicativo Microsoft Authenticator (sem senha) | |
|
|
| Principais funcionalidades | |||
| SSO para recursos de nuvem | |
|
|
| Recursos de SSO a locais | |
|
|
| Acesso Condicional (Exigir que dispositivos sejam marcados como em conformidade) (Deve ser gerenciado pelo MDM) |
|
|
|
| Acesso Condicional (Exigir dispositivos conectados ao Microsoft Entra híbrido) |
|
||
| Redefinição de senha de autoatendimento a partir da tela de logon do Windows | |
|
|
| Redefinição de PIN do Windows Hello | |
|
Registro do Microsoft Entra
Dispositivos registrados geralmente são gerenciados com Microsoft Intune. Os dispositivos são registrados no Intune de várias maneiras, dependendo do sistema operacional.
Os dispositivos registrados no Microsoft Entra fornecem suporte para BYOD (traga seus próprios dispositivos) e dispositivos corporativos para SSO para recursos de nuvem. O acesso a recursos é baseado nas Políticas de acesso condicional do Microsoft Entra aplicadas ao dispositivo e ao usuário.
Registro de dispositivos
Dispositivos registrados geralmente são gerenciados com Microsoft Intune. Os dispositivos são registrados no Intune de várias maneiras, dependendo do sistema operacional.
O BYOD e o dispositivo móvel de propriedade corporativa são registrados por usuários que instalam o aplicativo do portal da empresa.
Se o registro de seus dispositivos for a melhor opção para sua organização, consulte os seguintes recursos:
- Essa visão geral de Microsoft Entra dispositivos registrados.
- Esta documentação do usuário final sobre como Registrar seu dispositivo pessoal na rede da sua organização.
Ingresso do Microsoft Entra
O ingresso no Microsoft Entra permite fazer a transição para um modelo de nuvem em primeiro lugar com o Windows. Ele fornecerá uma ótima base se você estiver planejando modernizar o gerenciamento de dispositivos e reduzir os custos de TI relacionados a dispositivos. O ingresso no Microsoft Entra funciona somente com dispositivos Windows 10 ou mais recentes. Considere-o como a primeira opção para novos dispositivos.
Os dispositivos ingressados no Microsoft Entra podem fazer SSO nos recursos locais quando eles estão na rede da organização e podem se autenticar em servidores locais, como arquivos, impressão e outros aplicativos.
Se essa for a melhor opção para sua organização, confira os seguintes recursos:
- Essa visão geral de dispositivos conectados ao Microsoft Entra.
- Familiarize-se com o plano de implementação de ingresso no Microsoft Entra.
Provisionar dispositivos ingressados no Microsoft Entra
Para provisionar dispositivos para o ingresso no Microsoft Entra, existem as seguintes abordagens:
- Self-Service: Experiência de primeira execução do Windows 10
Se você tiver o Windows 10 Professional ou o Windows 10 Enterprise em um dispositivo, a experiência usará como padrão o processo de instalação de dispositivos de propriedade da empresa.
- OOBE (configuração inicial pelo uso do Windows) do Windows ou das configurações do Windows
- Windows Autopilot
- Registro em massa
Escolha seu procedimento de implantação após uma comparação cuidadosa dessas abordagens.
É possível determinar que o ingresso no Microsoft Entra é a melhor solução para um dispositivo em um estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado do dispositivo desejado | Como fazer |
|---|---|---|
| Domínio local ingressado | Ingressado no Microsoft Entra | Desassociar o dispositivo do domínio local antes de ingressar no Microsoft Entra ID. |
| Ingressado no Microsoft Entra híbrido | Ingressado no Microsoft Entra | Desassociar o dispositivo do domínio local e do Microsoft Entra ID antes de ingressar no Microsoft Entra ID. |
| Registrado no Microsoft Entra | Ingressado no Microsoft Entra | Cancele o registro do dispositivo antes de ingressar no Microsoft Entra ID. |
Ingresso no Microsoft Entra híbrido
Caso tenha um ambiente do Active Directory local e deseje ingressar os computadores existentes conectados ao domínio no Microsoft Entra ID, realize essa tarefa com o ingresso no Microsoft Entra híbrido. Ele dá suporte a uma ampla variedade de dispositivos Windows, incluindo dispositivos Windows atuais e de nível inferior do Windows.
A maioria das organizações já tem dispositivos ingressados no domínio e os gerencia via Política de Grupo ou System Center Configuration Manager (SCCM). Nesse caso, recomendamos configurar o ingresso no Microsoft Entra híbrido para começar a obter benefícios usando os investimentos existentes.
Se o ingresso no Microsoft Entra for a melhor opção para sua organização, consulte os seguintes recursos:
- Essa visão geral de dispositivos conectados ao Microsoft Entra híbrido.
- Familiarize-se com o plano de implementação de ingresso no Microsoft Entra híbrido.
Provisionar ingresso no Microsoft Entra híbrido aos seus dispositivos
Revisar sua infraestrutura de identidade. O Microsoft Entra Connect fornece um assistente para configurar o ingresso no Microsoft Entra híbrido para:
Se a instalação da versão obrigatória do Microsoft Entra Connect não for uma opção para você, confira como configurar manualmente o ingresso no Microsoft Entra híbrido.
Observação
O dispositivo Windows 10 ou mais recente conectado ao domínio local tenta ingressar automaticamente no Microsoft Entra ID para se tornar um conectado ao Microsoft Entra híbrido por padrão. Isso só funcionará se você tiver configurado o ambiente certo.
É possível determinar que o ingresso no Microsoft Entra híbrido é a melhor solução para um dispositivo em um estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado do dispositivo desejado | Como fazer |
|---|---|---|
| Domínio local ingressado | Ingressado no Microsoft Entra híbrido | Use Microsoft Entra Connect ou AD FS para ingressar no Azure. |
| Ingressado no grupo de trabalho local ou novo | Ingressado no Microsoft Entra híbrido | Com suporte com o Windows AutoPilot. Caso contrário, o dispositivo precisa ser ingressado no domínio local antes do ingresso no Microsoft Entra híbrido. |
| Ingressado no Microsoft Entra | Ingressado no Microsoft Entra híbrido | Desassociar do Microsoft Entra ID, que o coloca no grupo de trabalho local ou no novo estado. |
| Registrado no Microsoft Entra | Ingressado no Microsoft Entra híbrido | Depende da versão do Windows. Veja estas considerações. |
Gerenciar seus dispositivos
Uma vez registrados ou ingressados os dispositivos no Microsoft Entra ID, use o Centro de Administração Microsoft Entra como um local central para gerenciar as identidades dos dispositivos. A página Microsoft Entra dispositivos permite que você:
- Defina as configurações do dispositivo.
- Você precisa ser um administrador local para gerenciar dispositivos Windows. O Microsoft Entra ID atualiza essa associação para os dispositivos conectados ao Microsoft Entra , ao adicionar os usuários automaticamente com a função de gerenciador de dispositivos como administradores a todos os dispositivos ingressados.
Certifique-se de manter o ambiente limpo gerenciando dispositivos obsoletose concentre seus recursos no gerenciamento de dispositivos atuais.
Ferramentas de gerenciamento de dispositivos com suporte
Os administradores podem proteger e controlar ainda mais os dispositivos registrados e ingressados usando outras ferramentas de gerenciamento de dispositivo. Essas ferramentas fornecem um modo de impor configurações como exigir que o armazenamento seja criptografado, complexidade de senha, instalações e atualizações de software.
Examine as plataformas com suporte e sem suporte para dispositivos integrados:
| Ferramentas de gerenciamento de dispositivo | Registrado no Microsoft Entra | Ingressado no Microsoft Entra | Ingressado no Microsoft Entra híbrido |
|---|---|---|---|
| Gerenciamento de Dispositivo Móvel (MDM) Exemplo: Microsoft Intune |
|
|
|
| Gerenciamento em conjunto com o Microsoft Intune e o Microsoft Configuration Manager (Windows 10 ou mais recente) |
|
|
|
| Política de grupo (Somente Windows) |
|
Recomendamos que você considere Microsoft Intune MAM (gerenciamento de aplicativo móvel) com ou sem gerenciamento de dispositivo para dispositivos IOS ou Android registrados.
Os administradores também podem implantar as plataformas de VDI (Virtual Desktop Infrastructure) que hospedam sistemas operacionais Windows em suas organizações para simplificar o gerenciamento e reduzir os custos por meio de consolidação e centralização de recursos.