Como: Planejar sua implementação de ingresso no Azure ADHow to: Plan your Azure AD join implementation

O ingresso no Azure AD permite que você ingresse dispositivos diretamente ao Azure AD sem a necessidade de ingressarem no Active Directory local, mantendo os usuários produtivos e seguros.Azure AD join allows you to join devices directly to Azure AD without the need to join to on-premises Active Directory while keeping your users productive and secure. O ingresso no Azure AD está pronto para empresas em escala e implantações no escopo.Azure AD join is enterprise-ready for both at-scale and scoped deployments.

Esse artigo fornece as informações necessárias para começar com as APIs de relatório do Azure Active Directory.This article provides you with the information you need to plan your Azure AD join implementation.

Pré-requisitosPrerequisites

Este artigo presume que você esteja familiarizado com o Introdução ao gerenciamento de dispositivos no Active Directory do Azure.This article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

Planejar sua implementaçãoPlan your implementation

Para planejar sua implementação de ingresso no Azure AD, você deve se familiarizar com:To plan your Azure AD join implementation, you should familiarize yourself with:

Verificar Revisar seus cenáriosReview your scenarios
Verificar Revisar sua infraestrutura de identidadeReview your identity infrastructure
Verificar Avaliar o gerenciamento de dispositivoAssess your device management
Verificar Entenda as considerações para aplicativos e recursosUnderstand considerations for applications and resources
Verificar Entenda suas opções de provisionamentoUnderstand your provisioning options
Verificar Configurar o roaming de estadoConfigure enterprise state roaming
Verificar Configurar o acesso condicionalConfigure Conditional Access

Revisar seus cenáriosReview your scenarios

Enquanto o ingresso do Ingresso no Azure AD Híbrido pode ser preferencial para determinados cenários, o ingresso do Azure Active Directory possibilita que você transacione para um modelo de primeira nuvem com o Windows.While Hybrid Azure AD join may be preferred for certain scenarios, Azure AD join enables you to transition towards a cloud-first model with Windows. Se você estiver planejando modernizar seu gerenciamento de dispositivos e reduzir os custos de TI relacionados ao dispositivo, o ingresso no Azure AD fornece uma ótima base para atingir esses objetivos.If you are planning to modernize your devices management and reduce device-related IT costs, Azure AD join provides a great foundation towards achieving those objectives.

Você deve considerar o ingresso no Azure AD se suas metas se alinham com os seguintes critérios:You should consider Azure AD join if your goals align with the following criteria:

  • Você está adotando o Microsoft 365 como o conjunto de produtividade para seus usuários.You are adopting Microsoft 365 as the productivity suite for your users.
  • Você deseja gerenciar dispositivos com uma solução de gerenciamento de dispositivo de nuvem.You want to manage devices with a cloud device management solution.
  • Você deseja simplificar o provisionamento de dispositivos para usuários distribuídos geograficamente.You want to simplify device provisioning for geographically distributed users.
  • Você planeja modernizar sua infraestrutura de aplicativo.You plan to modernize your application infrastructure.

Revisar sua infraestrutura de identidadeReview your identity infrastructure

O ingresso no Azure AD funciona com os ambientes, gerenciados e federados.Azure AD join works with both, managed and federated environments.

Ambiente de leituraManaged environment

Um ambiente gerenciado pode ser implantado por meio da Sincronização de Hash de senha ou Autenticação de passagem com logon único contínuo.A managed environment can be deployed either through Password Hash Sync or Pass Through Authentication with Seamless Single Sign On.

Esses cenários não exigem que você configure um servidor de federação para autenticação.These scenarios don't require you to configure a federation server for authentication.

Ambiente federadoFederated environment

Um ambiente federado deve ter um provedor de identidade que dá suporte aos protocolos WS-Trust e WS-Fed:A federated environment should have an identity provider that supports both WS-Trust and WS-Fed protocols:

  • WS-Fed: Esse protocolo é necessário para ingressar um dispositivo no Azure AD.WS-Fed: This protocol is required to join a device to Azure AD.
  • WS-Trust: Esse protocolo é necessário para entrar em um dispositivo ingressado no Azure AD.WS-Trust: This protocol is required to sign in to an Azure AD joined device.

Quando você estiver usando o AD FS, será necessário habilitar os seguintes pontos de extremidade WS-Trust: /adfs/services/trust/2005/usernamemixedWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Se seu provedor de identidade não oferece suporte a esses protocolos, o ingresso no Azure Active Directory não trabalha nativamente.If your identity provider does not support these protocols, Azure AD join does not work natively. Começando com o Windows 10 1809, seus usuários podem entrar um dispositivo ingressado do Azure Active Directory com um provedor de identidade baseado em SAML web entrar no Windows 10.Beginning with Windows 10 1809, your users can sign in to an Azure AD joined device with a SAML-based identity provider through web sign-in on Windows 10. Atualmente, a entrada na Web é um recurso de visualização e não é recomendada para implantações de produção.Currently, web sign-in is a preview feature and is not recommended for production deployments.

Observação

Atualmente, o ingresso no Azure AD não funciona com AD FS 2019 configurado com provedores de autenticação externa como o método de autenticação principal.Currently, Azure AD join does not work with AD FS 2019 configured with external authentication providers as the primary authentication method. O ingresso no Azure AD usa como padrão a autenticação de senha como o método principal, o que resulta em falhas de autenticação nesse cenárioAzure AD join defaults to password authentication as the primary method, which results in authentication failures in this scenario

Cartões inteligentes e autenticação baseada em certificadoSmartcards and certificate-based authentication

É possível usar cartões inteligentes ou autenticação baseada em certificado para unir dispositivos ao Azure Active Directory.You can't use smartcards or certificate-based authentication to join devices to Azure AD. No entanto, os cartões inteligentes podem ser usado para entrar em dispositivos ingressados no Azure Active Directory se você tiver o AD FS configurado.However, smartcards can be used to sign in to Azure AD joined devices if you have AD FS configured.

Recomendação: Implemente o Windows Hello para Empresas para autenticação forte e sem senha em dispositivos Windows 10.Recommendation: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 devices.

Configuração do usuárioUser configuration

Se você criar usuários no seu:If you create users in your:

  • Active Directory local, você precisa sincronizá-los com o Azure AD usando o Azure Active Directory Connect.On-premises Active Directory, you need to synchronize them to Azure AD using Azure AD Connect.
  • Azure AD, nenhuma configuração adicional é necessária.Azure AD, no additional setup is required.

UPNs locais que são diferentes de UPNs do Azure AD não têm suporte em dispositivos ingressados no Azure AD.On-premises UPNs that are different from Azure AD UPNs are not supported on Azure AD joined devices. Se os usuários usarem um UPN local, você deverá planejar passar a usar seus UPNs primários do Azure AD.If your users use an on-premises UPN, you should plan to switch to using their primary UPN in Azure AD.

Avaliar o gerenciamento de dispositivoAssess your device management

Dispositivos com suporteSupported devices

Ingresso no Azure AD:Azure AD join:

  • Só é aplicável a dispositivos Windows 10.Is only applicable to Windows 10 devices.
  • Não é aplicável a versões anteriores do Windows ou outros sistemas operacionais.Is not applicable to previous versions of Windows or other operating systems. Se você tiver dispositivos Windows 7/8.1, você deve atualizar para o Windows 10 para implantar o ingresso no Azure Active Directory.If you have Windows 7/8.1 devices, you must upgrade to Windows 10 to deploy Azure AD join.
  • Não há suporte em dispositivos com o TPM no modo FIPS.Is not supported on devices with TPM in FIPS mode.

Recomendação: Sempre use a última versão do Windows 10 para aproveitar os recursos atualizados.Recommendation: Always use the latest Windows 10 release to take advantage of updated features.

Plataforma de gerenciamentoManagement platform

O gerenciamento de dispositivos para dispositivos ingressados no Azure AD é baseado em uma plataforma MDM, como o Intune, e CSPs de MDM.Device management for Azure AD joined devices is based on an MDM platform such as Intune, and MDM CSPs. Windows 10 tem um agente MDM interno que funciona com todas as soluções MDM compatíveis.Windows 10 has a built-in MDM agent that works with all compatible MDM solutions.

Observação

Não há suporte para políticas de grupo em dispositivos ingressados no Azure AD, pois eles não estão conectados a Active Directory locais.Group policies are not supported in Azure AD joined devices as they are not connected to on-premises Active Directory. O gerenciamento de dispositivos ingressados no Azure AD só é possível por meio do MDMManagement of Azure AD joined devices is only possible through MDM

Há duas abordagens para gerenciar o Azure Active Directory ingressado em dispositivos:There are two approaches for managing Azure AD joined devices:

  • Somente MDM - exclusivamente, um dispositivo é gerenciado por um provedor MDM como Intune.MDM-only - A device is exclusively managed by an MDM provider like Intune. Todas as políticas são fornecidas como parte do processo de registro de MDM.All policies are delivered as part of the MDM enrollment process. Para clientes do Azure AD Premium ou EMS, o registro do MDM é uma etapa automatizada que faz parte de uma junção do Azure Active Directory.For Azure AD Premium or EMS customers, MDM enrollment is an automated step that is part of an Azure AD join.
  • Cogerenciamento – um dispositivo é gerenciado por um provedor de MDM e o SCCM.Co-management - A device is managed by an MDM provider and SCCM. Nessa abordagem, o agente do SCCM é instalado em um dispositivo gerenciado por MDM para determinados aspectos de administrar.In this approach, the SCCM agent is installed on an MDM-managed device to administer certain aspects.

Se você estiver usando políticas de grupo, avalie a paridade de política MDM usando a Ferramenta de Análise de Migração de MDM (MMAT).If you are using group policies, evaluate your MDM policy parity by using the MDM Migration Analysis Tool (MMAT).

Revisar as políticas compatíveis ou não compatíveis para determinar se você pode usar uma solução MDM em vez de políticas de Grupo.Review supported and unsupported policies to determine whether you can use an MDM solution instead of Group policies. Para políticas sem suporte, considere o seguinte:For unsupported policies, consider the following:

  • As diretivas sem suporte são necessárias para dispositivos ou usuários adicionados ao Azure Active Directory?Are the unsupported policies necessary for Azure AD joined devices or users?
  • As diretivas sem suporte são aplicáveis em uma nuvem controlada por implantação?Are the unsupported policies applicable in a cloud driven deployment?

Se sua solução de MDM não estiver disponível por meio da galeria de aplicativo do Azure Active Directory, você pode adicioná-lo seguindo o processo descrito em integração do Active Directory do Azure com o MDM.If your MDM solution is not available through the Azure AD app gallery, you can add it following the process outlined in Azure Active Directory integration with MDM.

Por meio de cogerenciamento, você pode usar o SCCM para gerenciar determinados aspectos de seus dispositivos, enquanto as políticas são fornecidas por meio de sua plataforma MDM.Through co-management, you can use SCCM to manage certain aspects of your devices while policies are delivered through your MDM platform. Microsoft Intune permite que o cogerenciamento com o SCCM.Microsoft Intune enables co-management with SCCM. Para obter mais informações, consulte cogerenciamento para dispositivos Windows 10.For more information, see Co-management for Windows 10 devices. Se você usar um produto MDM que não seja o Intune, entre em contato com seu provedor de MDM em cenários de cogerenciamento aplicável.If you use an MDM product other than Intune, please check with your MDM provider on applicable co-management scenarios.

Recomendação: Considere o gerenciamento somente do MDM para dispositivos ingressados no Azure AD.Recommendation: Consider MDM only management for Azure AD joined devices.

Entenda as considerações para aplicativos e recursosUnderstand considerations for applications and resources

É recomendável migrar aplicativos locais para a nuvem para um usuário a melhor experiência e controle de acesso.We recommend migrating applications from on-premises to cloud for a better user experience and access control. No entanto, os dispositivos do Azure Active Directory ingressados podem perfeitamente fornecer acesso a ambos, aplicativos locais e de nuvem.However, Azure AD joined devices can seamlessly provide access to both, on-premises and cloud applications. Para obter mais informações, consulte Como o SSO para recursos locais funciona em dispositivos associados ao Microsoft Azure Active Directory.For more information, see How SSO to on-premises resources works on Azure AD joined devices.

As seções a seguir listam considerações para diferentes tipos de aplicativos e recursos.The following sections list considerations for different types of applications and resources.

Aplicativos seguros baseados em nuvemCloud-based applications

Se um aplicativo for adicionado à galeria de aplicativo do Azure Active Directory, os usuários obtêm SSO através dos dispositivos do Azure Active Directory ingressado.If an application is added to Azure AD app gallery, users get SSO through Azure AD joined devices. É necessário realizar uma configuração adicional.No additional configuration is required. Os usuários obtêm o SSO em navegadores Microsoft Edge e Chrome.Users get SSO on both, Microsoft Edge and Chrome browsers. Para o Chrome, você precisará implantar a extensão de contas do Windows 10.For Chrome, you need to deploy the Windows 10 Accounts extension.

Todos os aplicativos Win32 que:All Win32 applications that:

  • Confie no Gerenciador de Conta da Web (WAM) para solicitações de token também o SSO em dispositivos ingressados no Azure Active Directory.Rely on Web Account Manager (WAM) for token requests also get SSO on Azure AD joined devices.
  • Não confiar em WAM pode solicitar autenticação dos usuários.Don't rely on WAM may prompt users for authentication.

Aplicativos Web locaisOn-premises web applications

Se seus aplicativos são personalizados criados e/ou hospedados no local, você precisará adicioná-los para sites confiáveis do seu navegador:If your apps are custom built and/or hosted on-premises, you need to add them to your browser’s trusted sites to:

  • Habilitar autenticação integrada do Windows para trabalharEnable Windows integrated authentication to work
  • Fornecer uma experiência não prompt SSO para usuários.Provide a no-prompt SSO experience to users.

Se você usar o AD FS, consulte Verificar e gerenciar logon único com o AD FS.If you use AD FS, see Verify and manage single sign-on with AD FS.

Recomendação: Considere a hospedagem na nuvem (por exemplo, Azure) e a integração com o Azure AD para uma experiência melhor.Recommendation: Consider hosting in the cloud (for example, Azure) and integrating with Azure AD for a better experience.

Os aplicativos locais que dependem de protocolos herdados locaisOn-premises applications relying on legacy protocols

Os usuários obtêm SSO dos dispositivos Azure Active Directory ingressado se o dispositivo tiver acesso ao controlador de domínio.Users get SSO from Azure AD joined devices if the device has access to a domain controller.

Recomendação: Implante o proxy do Aplicativo Azure AD para habilitar o acesso seguro para esses aplicativos.Recommendation: Deploy Azure AD App proxy to enable secure access for these applications.

Compartilhamento de rede localOn-premises network shares

Seus usuários têm o SSO de dispositivos ingressados no Azure Active Directory quando um dispositivo tem acesso a um controlador de domínio local.Your users have SSO from Azure AD joined devices when a device has access to an on-premises domain controller.

ImpressorasPrinters

Para as impressoras, você precisará implantar nuvem híbrida impressão para descobrir impressoras no Azure Active Directory e ingressado em dispositivos.For printers, you need to deploy hybrid cloud print for discovering printers on Azure AD joined devices.

Enquanto as impressoras não podem ser descobertas automaticamente em um único ambiente de nuvem, os usuários também podem usar o caminho UNC das impressoras para direcioná-los.While printers can't be automatically discovered in a cloud only environment, your users can also use the printers’ UNC path to directly add them.

Aplicativos locais que dependem da autenticação do computadorOn-premises applications relying on machine authentication

O Azure Active Directory não dão suporte a aplicativos locais na autenticação de máquina da terceira parte confiável.Azure AD joined devices don't support on-premises applications relying on machine authentication.

Recomendação: Considere a desativação desses aplicativos e a migração para suas alternativas modernas.Recommendation: Consider retiring these applications and moving to their modern alternatives.

Serviços da Área de Trabalho RemotaRemote Desktop Services

Conexão da área de trabalho remota para um dispositivos adicionados ao Azure Active Directory requer que o computador host para o Azure Active Directory ingressado ou Azure AD Híbrido ingressado.Remote desktop connection to an Azure AD joined devices requires the host machine to be either Azure AD joined or Hybrid Azure AD joined. Área de trabalho remota de um dispositivo não relacionado ou não Windows que não é compatível.Remote desktop from an unjoined or non-Windows device is not supported. Para obter mais informações, consulte Conectar ao Azure Active Directory ingressado remoto pcFor more information, see Connect to remote Azure AD joined pc

Entenda suas opções de provisionamentoUnderstand your provisioning options

Você pode provisionar o ingresso no Azure Active Directory usando as seguintes abordagens:You can provision Azure AD join using the following approaches:

  • Autoatendimento nas configurações doOOBE/ – no modo autoatendimento, os usuários vão por meio do ingresso no Azure Active Directory seja durante fora do Windows Out of Box Experience (OOBE) ou Configurações do Windows.Self-service in OOBE/Settings - In the self-service mode, users go through the Azure AD join process either during Windows Out of Box Experience (OOBE) or from Windows Settings. Para obter mais informações, consulte ingressar seu dispositivo de trabalho para a rede da sua organização.For more information, see Join your work device to your organization's network.
  • Windows Autopilot - Windows Autopilot permite a configuração prévia de dispositivos para uma experiência mais suave em OOBE para realizar uma junção do Azure Active Directory.Windows Autopilot - Windows Autopilot enables pre-configuration of devices for a smoother experience in OOBE to perform an Azure AD join. Para saber mais, confira a página visão geral do Windows Autopilot.For more information, see the Overview of Windows Autopilot.
  • Registro em massa - o registro em massa permite que um administrador de ingresso no Azure Active Directory usando uma ferramenta de provisionamento em massa para configurar os dispositivos.Bulk enrollment - Bulk enrollment enables an administrator driven Azure AD join by using a bulk provisioning tool to configure devices. Para obter mais informações, consulte Registro em massa para dispositivos Windows.For more information, see Bulk enrollment for Windows devices.

Aqui está uma comparação dessas três abordagensHere’s a comparison of these three approaches

Instalação do autoatendimentoSelf-service setup Windows AutopilotWindows Autopilot Registro em massaBulk enrollment
Requer interação do usuário para configurarRequire user interaction to set up SimYes simYes NãoNo
Requer trabalho de TIRequire IT effort NãoNo SimYes SimYes
Fluxos aplicáveisApplicable flows OOBE e ConfiguraçõesOOBE & Settings OOBE somenteOOBE only OOBE somenteOOBE only
Direitos de administrador local para o usuário primárioLocal admin rights to primary user Sim, por padrãoYes, by default ConfigurávelConfigurable NãoNo
Precisar de suporte do OEMRequire device OEM support NãoNo SimYes NãoNo
Versões com suporteSupported versions 1511+1511+ 1709+1709+ 1703+1703+

Escolha sua abordagem de implantação ou abordagens examinando a tabela acima e revisar as considerações para adotar a qualquer uma das abordagens a seguir:Choose your deployment approach or approaches by reviewing the table above and reviewing the following considerations for adopting either approach:

  • Seus usuários são experientes em tecnologia para passar pela configuração?Are your users tech savvy to go through the setup themselves?
    • Autoatendimento pode funcionar melhor para esses usuários.Self-service can work best for these users. Considere o Windows Autopilot para aprimorar a experiência do usuário.Consider Windows Autopilot to enhance the user experience.
  • Os seus usuários são remotos ou dentro das instalações corporativas?Are your users remote or within corporate premises?
    • Autoatendimento ou trabalho de piloto automático melhor para usuários remotos para uma configuração de complicações.Self-service or Autopilot work best for remote users for a hassle-free setup.
  • Você prefere uma configuração conduzida ao usuário ou gerenciada pelo administrador?Do you prefer a user driven or an admin-managed configuration?
    • Inscrição em massa funciona melhor para a implantação orientada pelo administrador a fim de configurar os dispositivos antes de entregá-los aos usuários.Bulk enrollment works better for admin driven deployment to set up devices before handing over to users.
  • Você compra dispositivos do 1-2 OEMS ou você tem uma distribuição grande de dispositivos OEM?Do you purchase devices from 1-2 OEMS, or do you have a wide distribution of OEM devices?
    • Se você adquirir de OEMs limitados que também dão suporte a Autopilot, você pode aproveitar uma integração maior com o Autopilot.If purchasing from limited OEMs who also support Autopilot, you can benefit from tighter integration with Autopilot.

Configurar suas configurações de dispositivoConfigure your device settings

O portal do Azure permite você a controlar a implantação dos dispositivo Azure Active Directory em sua organização.The Azure portal allows you to control the deployment of Azure AD joined devices in your organization. Para definir as configurações relacionadas, sobre a página do Azure Active Directory, selecione Devices > Device settings.To configure the related settings, on the Azure Active Directory page, select Devices > Device settings.

Os usuários podem ingressar no Azure Active Directory com seus dispositivosUsers may join devices to Azure AD

Defina essa opção como Todos ou Selecionados com base no escopo de sua implantação e o dispositivo que você deseja permitir a instalação do Azure Active Directory ingressado.Set this option to All or Selected based on the scope of your deployment and who you want to allow to setup an Azure AD joined device.

Os usuários podem ingressar no Azure Active Directory com seus dispositivos

Administradores locais adicionais nos dispositivos ingressados do Azure ADAdditional local administrators on Azure AD joined devices

Escolher Selecionados e seleciona os usuários que você deseja adicionar ao grupo os administradores locais nos dispositivos de todos os dispositivos ingressados do Azure Active Directory.Choose Selected and selects the users you want to add to the local administrators’ group on all Azure AD joined devices.

Administradores locais adicionais nos dispositivos ingressados do Azure AD

Requer Autenticação Multifator para ingressar dispositivosRequire multi-factor Auth to join devices

Selecione "Sim se você exigir que os usuários realizem a MFA durante o ingresso de dispositivos para o Azure AD.Select “Yes if you require users to perform MFA while joining devices to Azure AD. Para os usuários de ingresso de dispositivos para o Azure Active Directory usando o MFA, o próprio dispositivo se torna um segundo fator.For the users joining devices to Azure AD using MFA, the device itself becomes a 2nd factor.

Requer Autenticação Multifator para ingressar dispositivos

Configurar as suas configurações de mobilidadeConfigure your mobility settings

Antes de definir as configurações de mobilidade, talvez você precise adicionar um provedor de MDM, pela primeira vez.Before you can configure your mobility settings, you may have to add an MDM provider, first.

Para adicionar um provedor MDM:To add an MDM provider:

  1. Na página Azure Active Directory, na seção Gerenciar, clique em Mobility (MDM and MAM).On the Azure Active Directory page, in the Manage section, click Mobility (MDM and MAM).

  2. Clique em Adicionar aplicativo.Click Add application.

  3. Selecione seu provedor de MDM da lista.Select your MDM provider from the list.

    Adicionar um aplicativo

Selecione seu provedor de MDM para definir as configurações relacionadas.Select your MDM provider to configure the related settings.

Escopo do usuário do MDMMDM user scope

Selecione Alguns ou Todos com base no escopo de sua implantação.Select Some or All based on the scope of your deployment.

Escopo do usuário do MDM

Com base no seu escopo, acontecerá o seguinte:Based on your scope, one of the following happens:

  • O usuário está no escopo do MDM: Caso você tenha uma assinatura do Azure AD Premium, o registro do MDM será automatizado, juntamente com o ingresso no Azure AD.User is in MDM scope: If you have an Azure AD Premium subscription, MDM enrollment is automated along with Azure AD join. Todos os usuários com escopo devem ter uma licença apropriada para seu MDM.All scoped users must have an appropriate license for your MDM. Se o registro do MDM falhar nesse cenário, ingresso no Azure Active Directory também será revertido novamente.If MDM enrollment fails in this scenario, Azure AD join will also be rolled back.
  • O usuário não está no escopo do MDM: Se os usuários não estiverem no escopo do MDM, o ingresso no Azure AD será concluído sem nenhum registro do MDM.User is not in MDM scope: If users are not in MDM scope, Azure AD join completes without any MDM enrollment. Isso resulta em um dispositivo não gerenciado.This results in an unmanaged device.

URLs do MDMMDM URLs

Há três URLs que estão relacionadas à sua configuração de MDM:There are three URLs that are related to your MDM configuration:

  • Termos de MDM de uso URLMDM terms of use URL
  • URL de descoberta de MDMMDM discovery URL
  • URL de conformidade de MDMMDM compliance URL

Adicionar um aplicativo

Cada URL tem um valor padrão predefinido.Each URL has a predefined default value. Se esses campos estiverem vazios, entre em contato com seu provedor de MDM para obter mais informações.If these fields are empty, please contact your MDM provider for more information.

Configurações de MAMMAM settings

MAM não é aplicável ao ingresso no Azure Active Directory.MAM does not apply to Azure AD join.

Configurar o roaming de estadoConfigure enterprise state roaming

Se você quiser habilitar o roaming de estado para o Azure Active Directory para que os usuários podem sincronizar suas configurações entre dispositivos, consulte habilitar o Enterprise State Roaming no Azure Active Directory.If you want to enable state roaming to Azure AD so that users can sync their settings across devices, see Enable Enterprise State Roaming in Azure Active Directory.

Recomendação: Habilite essa configuração mesmo para dispositivos híbridos ingressados no Azure AD.Recommendation: Enable this setting even for hybrid Azure AD joined devices.

Configurar o acesso condicionalConfigure Conditional Access

Se você tiver um provedor MDM configurado para os dispositivos Azure Active Directory ingressados, o provedor sinaliza o dispositivo como conformidade assim que o dispositivo está sob gerenciamento.If you have an MDM provider configured for your Azure AD joined devices, the provider flags the device as compliant as soon as the device is under management.

Dispositivo em conformidade

Você pode usar essa implementação para exigir dispositivos gerenciados para acesso de aplicativo de nuvem com acesso condicional.You can use this implementation to require managed devices for cloud app access with Conditional Access.

Próximas etapasNext steps