Gerenciar identidades de dispositivo usando o portal do AzureManage device identities using the Azure portal

Com o gerenciamento de identidade do dispositivo no Azure Active Directory (AD do Azure), você pode garantir que os usuários estejam acessando seus recursos de dispositivos que atendam aos seus padrões de segurança e conformidade.With device identity management in Azure Active Directory (Azure AD), you can ensure that your users are accessing your resources from devices that meet your standards for security and compliance.

Este artigo:This article:

Gerenciar identidades do dispositivoManage device identities

O portal do AD do Azure fornece um local central para gerenciar suas identidades de dispositivo.The Azure AD portal provides you with a central place to manage your device identities. Você pode acessar este local usando um link direto ou seguindo estas etapas manuais:You can get to this place by either using a direct link or by following these manual steps:

  1. Entre no portal do Azure como administrador.Sign in to the Azure portal as administrator.

  2. Procure e selecione Azure Active Directory ou selecione-o na Home Page.Search for and select Azure Active Directory or select it from the Home page.

  3. Na seção Gerenciar, clique em Dispositivos.In the Manage section, click Devices.

    Definir configurações do dispositivo

A página de Dispositivos permite que você:The Devices page enables you to:

  • Configurar suas configurações de dispositivoConfigure your device settings
  • Localizar dispositivosLocate devices
  • Executar tarefas de gerenciamento de identidade do dispositivoPerform device identity management tasks
  • Examinar os logs de auditoria relacionados ao dispositivoReview device-related audit logs

Definir configurações do dispositivoConfigure device settings

Para gerenciar suas identidades de dispositivo usando o portal do AD do Azure, seus dispositivos precisam ser registrados ou ingressados no Azure AD.To manage your device identities using the Azure AD portal, your devices need to be either registered or joined to Azure AD. Como administrador, você pode ajustar o processo de registro e ingresso de dispositivos definindo as configurações do dispositivo.As an administrator, you can fine-tune the process of registering and joining devices by configuring the device settings.

Definir configurações do dispositivo

A página de configurações do dispositivo permite que você configure:The device settings page enables you to configure:

Gerenciar um dispositivo do Intune

  • Os usuários podem ingressar dispositivos no Azure ad – essa configuração permite que você selecione os usuários que podem registrar seus dispositivos como dispositivos ingressados no Azure AD.Users may join devices to Azure AD - This setting enables you to select the users who can register their devices as Azure AD joined devices. O padrão é Todos.The default is All.

Observação

Os usuários podem ingressar dispositivos na configuração do Azure ad é aplicável somente ao ingresso no Azure AD no Windows 10.Users may join devices to Azure AD setting is only applicable to Azure AD join on Windows 10.

  • Outros administradores locais nos dispositivos associados ao Azure AD – você pode selecionar os usuários que têm direitos de administrador local em um dispositivo.Additional local administrators on Azure AD joined devices - You can select the users that are granted local administrator rights on a device. Os usuários adicionados aqui são adicionados à função Administradores do dispositivo no Azure AD.Users added here are added to the Device Administrators role in Azure AD. Os administradores globais no Azure AD e os proprietários do dispositivo recebem direitos de administrador local por padrão.Global administrators in Azure AD and device owners are granted local administrator rights by default. Essa opção é uma funcionalidade Premium Edition disponível por meio de produtos como o Azure AD Premium ou o EMS (Enterprise Mobility Suite).This option is a premium edition capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).
  • Os usuários podem registrar seus dispositivos com o Azure ad -você precisa definir essa configuração para permitir que dispositivos Windows 10 Personal, Ios, Android e macOs sejam registrados com o Azure AD.Users may register their devices with Azure AD - You need to configure this setting to allow Windows 10 personal, iOS, Android, and macOs devices to be registered with Azure AD. Se você selecionar nenhum, os dispositivos não terão permissão para se registrar no Azure AD.If you select None, devices are not allowed to register with Azure AD. O registro com o Microsoft Intune ou o MDM (Gerenciamento de Dispositivo Móvel) para o Office 365 exige registro.Enrollment with Microsoft Intune or Mobile Device Management (MDM) for Office 365 requires registration. Se você tiver configurado qualquer um desses serviços, a opção TODOS estará selecionada e NENHUM não estará disponível.If you have configured either of these services, ALL is selected and NONE is not available.
  • Exigir autenticação multifator para ingressar em dispositivos – você pode escolher se os usuários precisam fornecer um fator de autenticação adicional para ingressar seu dispositivo no Azure AD.Require Multi-Factor Auth to join devices - You can choose whether users are required to provide an additional authentication factor to join their device to Azure AD. O padrão é Não.The default is No. É recomendável exigir a autenticação multifator ao registrar um dispositivo.We recommend requiring multi-factor authentication when registering a device. Antes de habilitar a autenticação multifator para este serviço, você deve garantir que a autenticação multifator esteja configurada para os usuários que registram seus dispositivos.Before you enable multi-factor authentication for this service, you must ensure that multi-factor authentication is configured for the users that register their devices. Para saber mais sobre os diferentes serviços de autenticação multifator do Azure, consulte Introdução à autenticação multifator do Azure.For more information on different Azure multi-factor authentication services, see getting started with Azure multi-factor authentication.

Observação

Exigir a configuração de autenticação multifator para ingressar dispositivos se aplica a dispositivos que estão ingressados no Azure ad ou o Azure ad registrado.Require Multi-Factor Auth to join devices setting applies to devices that are either Azure AD joined or Azure AD registered. Essa configuração não se aplica a dispositivos ingressados no Azure AD híbrido.This setting does not apply to hybrid Azure AD joined devices.

  • Número máximo de dispositivos – essa configuração permite que você selecione o número máximo de dispositivos registrados no Azure ad ou do AD do Azure que um usuário pode ter no Azure AD.Maximum number of devices - This setting enables you to select the maximum number of Azure AD joined or Azure AD registered devices that a user can have in Azure AD. Se um usuário atingir esta cota, ele não poderá adicionar mais dispositivos até que um ou mais dos seus dispositivos existentes sejam removidos.If a user reaches this quota, they are not be able to add additional devices until one or more of the existing devices are removed. O valor padrão é 20.The default value is 20.

Observação

A configuração de número máximo de dispositivos se aplica a dispositivos que estão ingressados no Azure ad ou no Azure ad registrados.Maximum number of devices setting applies to devices that are either Azure AD joined or Azure AD registered. Essa configuração não se aplica a dispositivos ingressados no Azure AD híbrido.This setting does not apply to hybrid Azure AD joined devices.

  • Os usuários podem sincronizar configurações e dados de aplicativo em dispositivos – por padrão, essa configuração é definida como NENHUM.Users may sync settings and app data across devices - By default, this setting is set to NONE. Selecionar usuários específicos ou grupos ou TODOS permite que as configurações do usuário e os dados de aplicativo sejam sincronizados em seus dispositivos Windows 10.Selecting specific users or groups or ALL allows the user’s settings and app data to sync across their Windows 10 devices. Saiba mais sobre como a sincronização funciona no Windows 10.Learn more on how sync works in Windows 10. Essa opção é uma funcionalidade premium disponível por meio de produtos como o Azure AD Premium ou o EMS (Enterprise Mobility Suite).This option is a premium capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).

Localizar dispositivosLocate devices

Você tem duas opções para localizar dispositivos registrados e associados:You have two options to locate registered and joined devices:

  • Todos os dispositivos na seção Gerenciar da página DispositivosAll devices in the Manage section of the Devices page

    Todos os dispositivos

  • Dispositivos na seção Gerenciar de uma página UsuárioDevices in the Manage section of a User page

    Todos os dispositivos

Com as duas opções, você pode obter uma exibição que:With both options, you can get to a view that:

  • Permite pesquisar dispositivos usando o nome de exibição ou a ID do dispositivo como filtro.Enables you to search for devices using the display name or device ID as filter.
  • Fornece visão geral detalhada de dispositivos registrados e associadosProvides you with detailed overview of registered and joined devices
  • Permite que você execute tarefas comuns de gerenciamento de dispositivoEnables you to perform common device management tasks

Todos os dispositivos

Dica

  • Se você vir um dispositivo que é "ingressado no Azure AD híbrido" com um estado "pendente" na coluna registrado, ele indica que o dispositivo foi sincronizado do Azure AD Connect e está aguardando a conclusão do registro do cliente.If you see a device that is "Hybrid Azure AD joined" with a state "Pending" under the REGISTERED column, it indicates that the device has been synchronized from Azure AD connect and is waiting to complete registration from the client. Leia mais sobre como planejar sua implementação de ingresso no Azure ad híbrido.Read more on how to plan your Hybrid Azure AD join implementation. Informações adicionais podem ser encontradas no artigo, perguntas frequentes sobre dispositivos.Additional information can be found in the article, Devices frequently asked questions.

    Dispositivos pendentes

  • Para alguns dispositivos iOS, os nomes de dispositivo que contém apóstrofos podem usar caracteres diferentes que se parecem com apóstrofos.For some iOS devices, the device names containing apostrophes can potentially use different characters that look like apostrophes. Portanto, Pesquisar por tais dispositivos é um pouco complicado – se você não estiver vendo os resultados da pesquisa corretamente, verifique se a cadeia de caracteres de pesquisa contém o caractere de apóstrofo correspondente.So searching for such devices is a little tricky - if you are not seeing search results correctly, ensure that the search string contains matching apostrophe character.

Tarefas de gerenciamento de identidade do dispositivoDevice identity management tasks

Como administrador global ou administrador de dispositivo de nuvem, você pode gerenciar os dispositivos registrados ou ingressados.As a global administrator or cloud device administrator, you can manage the registered or joined devices. Os administradores de Serviço do Intune podem:Intune Service administrators can:

  • Atualizar dispositivos – exemplos são operações diárias, como habilitar/desabilitar dispositivosUpdate devices - Examples are daily operations such as enabling/disabling devices
  • Excluir dispositivos – quando um dispositivo está desativado e deve ser excluído do Azure ADDelete devices – When a device is retired and should be deleted in Azure AD

Esta seção fornece informações sobre tarefas comuns de gerenciamento de identidade de dispositivo.This section provides you with information about common device identity management tasks.

Gerenciar um dispositivo do IntuneManage an Intune device

Se você for um administrador do Intune, será possível gerenciar dispositivos marcados como Microsoft Intune.If you are an Intune administrator, you can manage devices marked as Microsoft Intune. Se o dispositivo não estiver registrado com Microsoft Intune a opção "gerenciar" ficará esmaecida.If the device is not enrolled with Microsoft Intune the "Manage" option will be greyed out.

Gerenciar um dispositivo do Intune

Habilitar/desabilitar um dispositivo do Azure Active DirectoryEnable / disable an Azure AD device

Para ativar / desativar um dispositivo, você tem duas opções:To enable / disable a device, you have two options:

  • O menu de tarefas ("...") na página Todos os dispositivosThe tasks menu ("...") on the All devices page

    Gerenciar um dispositivo do Intune

  • A barra de ferramentas na página DispositivosThe toolbar on the Devices page

    Gerenciar um dispositivo do Intune

Comentários:Remarks:

  • Você precisa ser um administrador global ou um administrador de dispositivo de nuvem no Azure AD para habilitar/desabilitar um dispositivo.You need to be a global administrator or cloud device administrator in Azure AD to enable / disable a device.
  • A desabilitação de um dispositivo impede que um dispositivo seja autenticado com êxito com o Azure AD, impedindo que o dispositivo acesse seus recursos do Azure AD protegidos pela AC do dispositivo ou usando suas credenciais do WH4B.Disabling a device prevents a device from successfully authenticating with Azure AD, thereby preventing the device from accessing your Azure AD resources that are guarded by device CA or using your WH4B credentials.
  • A desabilitação do dispositivo revogará o token de atualização primário (PRT) e os tokens de atualização (RT) no dispositivo.Disabling the device will revoke both the Primary Refresh Token (PRT) and any Refresh Tokens (RT) on the device.

Excluir um dispositivo do Azure Active DirectoryDelete an Azure AD device

Para excluir um dispositivo, você tem duas opções:To delete a device, you have two options:

  • O menu de tarefas ("...") na página Todos os dispositivosThe tasks menu ("...") on the All devices page

    Gerenciar um dispositivo do Intune

  • A barra de ferramentas na página DispositivosThe toolbar on the Devices page

    Excluir um dispositivo

Comentários:Remarks:

  • Você precisa ser um administrador global ou um administrador do Intune no Azure AD para excluir um dispositivo.You need to be a global administrator or an Intune administrator in Azure AD to delete a device.
  • Excluindo um dispositivo:Deleting a device:
    • Impede que um dispositivo acesse seus recursos do Azure Active Directory.Prevents a device from accessing your Azure AD resources.
    • Remove todos os detalhes que estão relacionados ao dispositivo, por exemplo, chaves do BitLocker para dispositivos Windows.Removes all details that are attached to the device, for example, BitLocker keys for Windows devices.
    • Representa uma atividade não recuperável e não é recomendável a menos que necessário.Represents a non-recoverable activity and is not recommended unless it is required.

Se um dispositivo for gerenciado por outra autoridade de gerenciamento (por exemplo, Microsoft Intune), verifique se o dispositivo foi apagado/desativado antes de excluir o dispositivo no Azure AD.If a device is managed by another management authority (for example, Microsoft Intune), make sure that the device has been wiped / retired before deleting the device in Azure AD. Examine como gerenciar dispositivos obsoletos antes de excluir qualquer dispositivo.Review how to manage stale devices before deleting any devices.

Exibir ou copiar a ID do dispositivoView or copy device ID

Você pode usar uma ID de dispositivo para verificar os detalhes de ID de dispositivo no dispositivo ou usar o PowerShell durante a solução de problemas.You can use a device ID to verify the device ID details on the device or using PowerShell during troubleshooting. Para acessar a opção de cópia, clique no dispositivo.To access the copy option, click the device.

Exibir uma ID do dispositivo

Exibir ou copiar as chaves do BitLockerView or copy BitLocker keys

É possível exibir e copiar as chaves do BitLocker para ajudar os usuários a recuperar sua unidade criptografada.You can view and copy the BitLocker keys to help users to recover their encrypted drive. Essas chaves só estão disponíveis para dispositivos Windows que são criptografados e têm suas chaves armazenadas no Azure AD.These keys are only available for Windows devices that are encrypted and have their keys stored in Azure AD. Você pode copiar essas chaves ao acessar detalhes do dispositivo.You can copy these keys when accessing details of the device.

Exibir chaves do BitLocker

Para exibir ou copiar as chaves do BitLocker, você precisa ser o proprietário do dispositivo ou um usuário que tenha pelo menos uma das seguintes funções atribuídas:To view or copy the BitLocker keys, you need to be either the owner of the device, or a user that has at least one of the following roles assigned:

  • Administrador de Dispositivo de NuvemCloud Device Administrator
  • Administrador globalGlobal Administrator
  • Administrador de assistência técnicaHelpdesk Administrator
  • Administrador de serviços do IntuneIntune Service Administrator
  • Administrador de segurançaSecurity Administrator
  • Leitor de segurançaSecurity Reader

Observação

Os dispositivos do Windows 10 ingressados no Azure AD híbrido não têm um proprietário.Hybrid Azure AD Joined Windows 10 devices do not have an owner. Portanto, se você está procurando por um dispositivo pelo proprietário e não o encontrou, pesquise pela ID do dispositivo.So, if you are looking for a device by owner and didn't find it, search by the device ID.

Logs de auditoriaAudit logs

As atividades de dispositivo estão disponíveis por meio dos logs de atividade.Device activities are available through the activity logs. Esses logs incluem atividades disparadas pelo serviço de registro de dispositivo e pelos usuários:These logs include activities triggered by the device registration service and by users:

  • Criação de dispositivo e adição de usuários/proprietários no dispositivoDevice creation and adding owners / users on the device
  • Alterações nas configurações do dispositivoChanges to device settings
  • Operações de dispositivo como excluir ou atualizar um dispositivoDevice operations such as deleting or updating a device

O ponto de entrada para os dados de auditoria é Logs de auditoria, na seção Atividade da página Dispositivos.Your entry point to the auditing data is Audit logs in the Activity section of the Devices page.

Logs de auditoria

Um log de auditoria tem um modo de exibição de lista padrão que mostra:An audit log has a default list view that shows:

  • A data e a hora da ocorrênciaThe date and time of the occurrence
  • Os destinosThe targets
  • O iniciador/ator (quem) de uma atividadeThe initiator / actor (who) of an activity
  • A atividade (o quê)The activity (what)

Logs de auditoria

Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.You can customize the list view by clicking Columns in the toolbar.

Logs de auditoria

Para restringir os dados relatados a um nível que funciona para você, filtre os dados de auditoria usando os seguintes campos:To narrow down the reported data to a level that works for you, you can filter the audit data using the following fields:

  • CategoriaCategory
  • Tipo de recurso de atividadeActivity resource type
  • AtividadeActivity
  • Intervalo de datasDate range
  • DestinoTarget
  • Iniciado por (ator)Initiated By (Actor)

Além dos filtros, você pode pesquisar itens específicos.In addition to the filters, you can search for specific entries.

Logs de auditoria

Próximas etapasNext steps

Como gerenciar dispositivos obsoletos no Azure ADHow to manage stale devices in Azure AD