Planear a implementação de dispositivos do Microsoft Entra
Este artigo ajuda você a avaliar os métodos para integrar seu dispositivo com o Microsoft Entra ID, escolher o plano de implementação e fornece links importantes para as ferramentas de gerenciamento de dispositivos suportadas.
O panorama dos dispositivos do seu utilizador está em constante expansão. As organizações podem fornecer desktops, laptops, telefones, tablets e outros dispositivos. Seus usuários podem trazer sua própria variedade de dispositivos e acessar informações de locais variados. Nesse ambiente, seu trabalho como administrador é manter seus recursos organizacionais seguros em todos os dispositivos.
O Microsoft Entra ID permite que sua organização atinja essas metas com o gerenciamento de identidade de dispositivo. Agora você pode obter seus dispositivos no Microsoft Entra ID e controlá-los a partir de um local central no centro de administração do Microsoft Entra. Esse processo oferece uma experiência unificada, segurança aprimorada e reduz o tempo necessário para configurar um novo dispositivo.
Existem vários métodos para integrar seus dispositivos ao Microsoft Entra ID, eles podem trabalhar separadamente ou juntos com base no sistema operacional e seus requisitos:
- Você pode registrar dispositivos com o Microsoft Entra ID.
- Junte dispositivos ao Microsoft Entra ID (apenas na nuvem).
- O Microsoft Entra híbrido associa dispositivos ao seu domínio do Ative Directory local e ao Microsoft Entra ID.
Mais informações sobre o
Antes de começar, certifique-se de que está familiarizado com a visão geral do gerenciamento de identidade do dispositivo.
Benefícios
Os principais benefícios de dar aos seus dispositivos uma identidade Microsoft Entra:
Aumente a produtividade – Os usuários podem fazer logon contínuo (SSO) em seus recursos locais e na nuvem, permitindo a produtividade onde quer que estejam.
Aumente a segurança – Aplique políticas de Acesso Condicional a recursos com base na identidade do dispositivo ou utilizador. Associar um dispositivo ao Microsoft Entra ID é um pré-requisito para aumentar a sua segurança com uma estratégia sem palavra-passe .
Melhore a experiência do usuário – Forneça aos usuários acesso fácil aos recursos baseados em nuvem da sua organização a partir de dispositivos pessoais e corporativos. Os administradores podem habilitar o Enterprise State Roaming para uma experiência unificada em todos os dispositivos Windows.
Simplifique a implantação e o gerenciamento – Simplifique o processo de trazer dispositivos para o Microsoft Entra ID com o Windows Autopilot, provisionamento em massa ou autoatendimento: OOBE (out of Box Experience). Gerencie dispositivos com ferramentas de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune, e suas identidades no centro de administração do Microsoft Entra.
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva as partes interessadas certas
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis em termos de impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas e que os papéis das partes interessadas no projeto sejam bem compreendidos.
Para este plano, adicione os seguintes intervenientes à sua lista:
| Função | Description |
|---|---|
| Administrador de dispositivos | Um representante da equipe de dispositivos que possa verificar se o plano atenderá aos requisitos de dispositivo da sua organização. |
| Administrador de rede | Um representante da equipe de rede que pode se certificar de atender aos requisitos de rede. |
| Equipa de gestão de dispositivos | Equipa que gere o inventário de dispositivos. |
| Equipas de administração específicas do SO | Equipas que suportam e gerem versões específicas do SO. Por exemplo, pode haver uma equipe focada em Mac ou iOS. |
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique-se proativamente com seus usuários como a experiência deles mudará, quando mudará e como obter suporte se eles tiverem problemas.
Planeie um piloto
Recomendamos que a configuração inicial do seu método de integração esteja em um ambiente de teste ou com um pequeno grupo de dispositivos de teste. Consulte Práticas recomendadas para um piloto.
Talvez você queira fazer uma implantação direcionada da associação híbrida do Microsoft Entra antes de habilitá-la em toda a organização.
Aviso
As organizações devem incluir uma amostra de usuários de diferentes funções e perfis em seu grupo piloto. Uma distribuição direcionada ajudará a identificar quaisquer problemas que seu plano possa não ter resolvido antes de habilitar para toda a organização.
Escolha os seus métodos de integração
Sua organização pode usar vários métodos de integração de dispositivos em um único locatário do Microsoft Entra. O objetivo é escolher o(s) método(s) adequado(s) para que os seus dispositivos sejam geridos de forma segura no Microsoft Entra ID. Há muitos parâmetros que orientam essa decisão, incluindo propriedade, tipos de dispositivos, público principal e infraestrutura da sua organização.
As informações a seguir podem ajudá-lo a decidir quais métodos de integração usar.
Árvore de decisão para integração de dispositivos
Use esta árvore para determinar opções para dispositivos de propriedade da organização.
Nota
Cenários pessoais ou BYOD (traga seu próprio dispositivo) não são retratados neste diagrama. Eles sempre resultam no registro do Microsoft Entra.
Matriz de comparação
Os dispositivos iOS e Android só podem estar registados no Microsoft Entra. A tabela a seguir apresenta considerações de alto nível para dispositivos cliente Windows. Use-o como uma visão geral e, em seguida, explore os diferentes métodos de integração em detalhes.
| Consideração | Registados no Microsoft Entra | Associados ao Microsoft Entra | Associados ao Microsoft Entra híbrido |
|---|---|---|---|
| Sistemas operativos clientes | |||
| Dispositivos Windows 11 ou Windows 10 |  |
|
|
| Dispositivos de nível inferior do Windows (Windows 8.1 ou Windows 7) | |
||
| Linux Desktop - Ubuntu 20.04/22.04 | |
||
| Opções de início de sessão | |||
| Credenciais locais do usuário final | |
||
| Password | |
|
|
| PIN do dispositivo | |
||
| Windows Hello | |
||
| Windows Hello para empresas | |
|
|
| Chaves de segurança FIDO 2.0 | |
|
|
| Aplicativo Microsoft Authenticator (sem senha) | |
|
|
| Principais capacidades | |||
| SSO para recursos de nuvem | |
|
|
| Recursos de SSO para o local | |
|
|
| Acesso condicional (Exigir que os dispositivos sejam marcados como conformes) (Deve ser gerido pelo MDM) |
|
|
|
| Acesso condicional (Requer dispositivos híbridos associados ao Microsoft Entra) |
|
||
| Redefinição de senha de autoatendimento na tela de login do Windows | |
|
|
| Redefinição do PIN do Windows Hello | |
|
Registro do Microsoft Entra
Os dispositivos registados são frequentemente geridos com o Microsoft Intune. Os dispositivos são inscritos no Intune de várias maneiras, dependendo do sistema operacional.
Os dispositivos registrados do Microsoft Entra fornecem suporte para Bring Your Own Devices (BYOD) e dispositivos corporativos para SSO para recursos de nuvem. O acesso aos recursos baseia-se nas políticas de Acesso Condicional do Microsoft Entra aplicadas ao dispositivo e ao utilizador.
Registo de dispositivos
Os dispositivos registados são frequentemente geridos com o Microsoft Intune. Os dispositivos são inscritos no Intune de várias maneiras, dependendo do sistema operacional.
O BYOD e o dispositivo móvel corporativo são registrados pelos usuários que instalam o aplicativo do portal da empresa.
Se registar os seus dispositivos for a melhor opção para a sua organização, consulte os seguintes recursos:
- Esta visão geral dos dispositivos registrados do Microsoft Entra.
- Esta documentação do utilizador final em Registar o seu dispositivo pessoal na rede da sua organização.
Associação ao Microsoft Entra
O Microsoft Entra join permite que você faça a transição para um modelo baseado na nuvem com o Windows. Ele fornece uma excelente base se você estiver planejando modernizar o gerenciamento de dispositivos e reduzir os custos de TI relacionados ao dispositivo. O Microsoft Entra join funciona apenas com dispositivos Windows 10 ou mais recentes. Considere-o como a primeira escolha para novos dispositivos.
Os dispositivos associados ao Microsoft Entra podem SSO para recursos locais quando estão na rede da organização, podem autenticar-se em servidores locais, como ficheiros, impressão e outras aplicações.
Se esta opção for melhor para a sua organização, consulte os seguintes recursos:
- Esta visão geral dos dispositivos associados ao Microsoft Entra.
- Familiarize-se com o plano de implementação de ingresso do Microsoft Entra.
Provisionamento de dispositivos associados ao Microsoft Entra
Para provisionar dispositivos para ingressar no Microsoft Entra, você tem as seguintes abordagens:
- Autoatendimento: experiência de primeira execução do Windows 10
Se tiver o Windows 10 Professional ou o Windows 10 Enterprise instalado num dispositivo, a experiência predefine o processo de instalação dos dispositivos da empresa.
- Experiência Fora da Caixa do Windows (OOBE) ou a partir das Definições do Windows
- Windows Autopilot
- Inscrição em massa
Escolha seu procedimento de implantação após uma comparação cuidadosa dessas abordagens.
Você pode determinar que o Microsoft Entra join é a melhor solução para um dispositivo em um estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado desejado do dispositivo | Procedimentos |
|---|---|---|
| Ingressou no domínio local | Associados ao Microsoft Entra | Desassocie o dispositivo do domínio local antes de ingressar na ID do Microsoft Entra. |
| Associados ao Microsoft Entra híbrido | Associados ao Microsoft Entra | Desassocie o dispositivo do domínio local e da ID do Microsoft Entra antes de ingressar na ID do Microsoft Entra. |
| Registados no Microsoft Entra | Associados ao Microsoft Entra | Cancele o registro do dispositivo antes de ingressar na ID do Microsoft Entra. |
Ingresso híbrido do Microsoft Entra
Se você tiver um ambiente do Ative Directory local e quiser unir seus computadores associados ao domínio existente à ID do Microsoft Entra, poderá realizar essa tarefa com a associação híbrida do Microsoft Entra. Ele suporta uma ampla gama de dispositivos Windows, incluindo dispositivos Windows atuais e Windows de nível inferior.
A maioria das organizações já tem dispositivos ingressados no domínio e os gerencia por meio da Diretiva de Grupo ou do System Center Configuration Manager (SCCM). Nesse caso, recomendamos configurar a associação híbrida do Microsoft Entra para começar a obter benefícios ao usar os investimentos existentes.
Se a associação híbrida do Microsoft Entra for a melhor opção para sua organização, consulte os seguintes recursos:
- Esta visão geral dos dispositivos associados híbridos do Microsoft Entra.
- Familiarize-se com o plano de implementação de ingresso híbrido do Microsoft Entra.
Provisionamento de ingresso híbrido do Microsoft Entra em seus dispositivos
Analise sua infraestrutura de identidade. O Microsoft Entra Connect fornece um assistente para configurar a associação híbrida do Microsoft Entra para:
Se a instalação da versão necessária do Microsoft Entra Connect não for uma opção para você, veja como configurar manualmente a associação híbrida do Microsoft Entra.
Nota
O dispositivo Windows 10 ou mais recente associado ao domínio local tenta ingressar automaticamente na ID do Microsoft Entra para se tornar o Microsoft Entra híbrido associado por padrão. Isso só terá sucesso se você tiver configurado o ambiente certo.
Você pode determinar que a associação híbrida do Microsoft Entra é a melhor solução para um dispositivo em um estado diferente. A tabela a seguir mostra como alterar o estado de um dispositivo.
| Estado atual do dispositivo | Estado desejado do dispositivo | Procedimentos |
|---|---|---|
| Ingressou no domínio local | Associados ao Microsoft Entra híbrido | Use o Microsoft Entra Connect ou o AD FS para ingressar no Azure. |
| Grupo de trabalho local ingressado ou novo | Associados ao Microsoft Entra híbrido | Compatível com Windows Autopilot. Caso contrário, o dispositivo precisa estar associado ao domínio local antes da associação híbrida do Microsoft Entra. |
| Associados ao Microsoft Entra | Associados ao Microsoft Entra híbrido | Unjoin da ID do Microsoft Entra, que a coloca no grupo de trabalho local ou no novo estado. |
| Registados no Microsoft Entra | Associados ao Microsoft Entra híbrido | Depende da versão do Windows. Veja estas considerações. |
Gerir os seus dispositivos
Depois de registrar ou associar seus dispositivos à ID do Microsoft Entra, use o centro de administração do Microsoft Entra como um local central para gerenciar as identidades dos dispositivos. A página de dispositivos Microsoft Entra permite:
- Configure as definições do seu dispositivo.
- Você precisa ser um administrador local para gerenciar dispositivos Windows. O Microsoft Entra ID atualiza essa associação para dispositivos ingressados no Microsoft Entra, adicionando automaticamente usuários com a função de gerenciador de dispositivos como administradores a todos os dispositivos ingressados.
Certifique-se de manter o ambiente limpo gerenciando dispositivos obsoletos e concentre seus recursos no gerenciamento de dispositivos atuais.
Ferramentas de gestão de dispositivos suportadas
Os administradores podem proteger e controlar ainda mais os dispositivos registados e associados utilizando outras ferramentas de gestão de dispositivos. Essas ferramentas fornecem uma maneira de impor configurações, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações de software e atualizações de software.
Analise as plataformas suportadas e não suportadas para dispositivos integrados:
| Ferramentas de gestão de dispositivos | Registados no Microsoft Entra | Associados ao Microsoft Entra | Associados ao Microsoft Entra híbrido |
|---|---|---|---|
| Gestão de Dispositivos Móveis (MDM) Exemplo: Microsoft Intune |
|
|
|
| Cogestão com o Microsoft Intune e o Microsoft Configuration Manager (Windows 10 ou mais recente) |
|
|
|
| Política de grupo (Apenas no Windows) |
|
Recomendamos que considere a gestão de Aplicações Móveis (MAM) do Microsoft Intune com ou sem gestão de dispositivos para dispositivos iOS ou Android registados.
Os administradores também podem implantar plataformas VDI (infraestrutura de área de trabalho virtual) que hospedam sistemas operacionais Windows em suas organizações para simplificar o gerenciamento e reduzir custos por meio da consolidação e centralização de recursos.