Gerenciar identidades de dispositivo usando o portal do Azure

O Azure AD fornece um local central para gerenciar identidades de dispositivo.

A página Todos os dispositivos permite que você:

  • Identifique dispositivos, incluindo:
  • Execute tarefas de gerenciamento de identidade do dispositivo como habilitar, desabilitar, excluir ou gerenciar.
    • Impressoras e dispositivos Windows AutoPilot têm opções de gerenciamento limitadas no Azure AD. Eles devem ser gerenciados de suas respectivas interfaces de administrador.
  • Defina suas configurações de identidade do dispositivo.
  • Habilite ou desabilite o Enterprise State Roaming.
  • Examine os logs de auditoria relacionados ao dispositivo
  • Baixar dispositivos (versão prévia)

Todos os dispositivos no portal do Azure

Você pode acessar o portal de dispositivos usando as seguintes etapas:

  1. Entre no portal do Azure.
  2. Navegue até Azure Active Directory > MFA Alerta de fraude.

Gerenciar dispositivos

Há dois locais para gerenciar dispositivos no Azure AD:

  • Portal do Azure > Azure Active Directory > Dispositivos
  • Portal do Azure > Azure Active Directory > Usuários > Selecionar um usuário > Dispositivos

Ambas as opções permitem aos administradores a capacidade de:

  • Pesquisar dispositivos.
  • Consultar detalhes do dispositivo incluindo:
    • Nome do dispositivo
    • ID do Dispositivo
    • Sistema operacional e versão
    • Tipo de junção
    • Proprietário
    • Gerenciamento e conformidade de dispositivos móveis
    • Chave de recuperação do BitLocker
  • Executar tarefas de gerenciamento de identidade do dispositivo como habilitar, desabilitar, excluir ou gerenciar.
    • Impressoras e dispositivos Windows AutoPilot têm opções de gerenciamento limitadas no Azure AD. Eles devem ser gerenciados de suas respectivas interfaces de administrador.

Dica

  • Os dispositivos do Windows 10 ingressados no Azure AD híbrido não têm um proprietário. Se você está procurando por um dispositivo por proprietário e não o encontrou, pesquise pela ID do dispositivo.

  • Se você vir um dispositivo que é "ingressado no Azure AD híbrido" com um estado "Pendente" na coluna REGISTRADO, ele indica que o dispositivo foi sincronizado do Azure AD Connect e está aguardando a conclusão do registro do cliente. Saiba mais sobre como planejar sua implementação de ingresso no Azure AD híbrido. Informações adicionais podem ser encontradas no artigo, Perguntas frequentes sobre dispositivos.

  • Para alguns dispositivos iOS, os nomes de dispositivo que contém apóstrofos podem usar caracteres diferentes que se parecem com apóstrofos. Procurar esses dispositivos é um pouco confuso - se você não estiver vendo os resultados da pesquisa corretamente, verifique se a cadeia de caracteres de pesquisa contém um caractere de apóstrofo correspondente.

Gerenciar um dispositivo do Intune

Se você for um administrador de serviços do Intune, será possível gerenciar dispositivos quando MDM estiver marcado como Microsoft Intune. Se o dispositivo não estiver registrado no Microsoft Intune, a opção "Gerenciar" ficará desativada.

Habilitar ou desabilitar um dispositivo do Azure AD

Para ativar ou desativar dispositivos, você tem duas opções:

  • A barra de ferramentas na página Todos os dispositivos depois de selecionar um ou mais dispositivos.
  • A barra de ferramentas depois de fazer drill down em um dispositivo específico.

Importante

  • Você deve ser um administrador global, administrador de serviço do Intune ou administrador de dispositivo de nuvem no Azure Active Directory para habilitar ou desabilitar um dispositivo.
  • A desativação de um dispositivo impede que um dispositivo seja autenticado com êxito no Azure AD, impedindo que o dispositivo acesse os recursos do Azure AD protegidos pela Acesso condicional com base em dispositivo ou usando as credenciais do Windows Hello para Empresas.
  • A desabilitação de um dispositivo revogará o token de atualização principal (PRT) e os tokens de atualização (RT) no dispositivo.
  • As impressoras não podem ser habilitadas ou desabilitadas no Azure AD.

Excluir um dispositivo do Azure Active Directory

Para excluir um dispositivo, você tem duas opções:

  • A barra de ferramentas na página Todos os dispositivos depois de selecionar um ou mais dispositivos.
  • A barra de ferramentas depois de fazer drill down em um dispositivo específico.

Importante

  • Você deve ser atribuído à função administrador de dispositivo de nuvem, administrador de serviços do Intune ou administrador global no Azure AD para excluir um dispositivo.
  • Impressoras e dispositivos do Windows AutoPilot não podem ser excluídos no Azure AD
  • Excluindo um dispositivo:
    • Impede que um dispositivo acesse seus recursos do Azure Active Directory.
    • Remove todos os detalhes que estão relacionados ao dispositivo, por exemplo, chaves do BitLocker para dispositivos Windows.
    • Representa uma atividade não recuperável e não é recomendável a menos que necessário.

Se um dispositivo for gerenciado por outra autoridade de gerenciamento (por exemplo, o Microsoft Intune), certifique-se de que o dispositivo foi apagado/desativado antes de excluir o dispositivo no Azure AD. Analise como gerenciar dispositivos obsoletos antes de excluir qualquer dispositivo.

Exibir ou copiar a ID do dispositivo

Você pode usar uma ID de dispositivo para verificar os detalhes de ID de dispositivo no dispositivo ou usar o PowerShell durante a solução de problemas. Para acessar a opção de cópia, clique no dispositivo.

Exibir uma ID do dispositivo

Exibir ou copiar as chaves do BitLocker

É possível exibir e copiar as chaves do BitLocker para ajudar os usuários a recuperar unidades criptografadas. Essas chaves só estão disponíveis para dispositivos Windows que são criptografados e têm suas chaves armazenadas no Azure AD. Você pode encontrar essas chaves ao acessar detalhes de um dispositivo selecionando Mostrar chave de recuperação. Selecionar Mostrar chave de recuperação gerará um log de auditoria, que pode ser encontrado na KeyManagement categoria.

Exibir chaves do BitLocker

Para exibir ou copiar as chaves do BitLocker, você precisa ser o proprietário do dispositivo ou um usuário que tenha pelo menos uma das seguintes funções atribuídas:

  • Administrador de Dispositivo de Nuvem
  • Administrador Global
  • Administrador de assistência técnica
  • Administrador de serviços do Intune
  • Administrador de Segurança
  • Leitor de segurança

Filtragem da lista de dispositivos (versão prévia)

Anteriormente, você podia filtrar apenas a lista de dispositivos por atividade e estado habilitado. Essa visualização agora permite que você filtre a lista de dispositivos pelos seguintes atributos em um dispositivo:

  • Estado habilitado
  • Estado de conformidade
  • Tipo de junção (ingressado no Azure AD, ingressado no Azure AD híbrido, registrado no Azure AD)
  • Carimbo de data/hora da atividade
  • Sistema operacional
  • Tipo de dispositivo (impressoras, VMs seguras, dispositivos compartilhados, dispositivos registrados)

Para habilitar a funcionalidade de pré-visualização de filtragem na exibição Todos os dispositivos :

Habilitar a funcionalidade de pré-visualização de filtragem

  1. Entre no portal do Azure.
  2. Navegue até Azure Active Directory > MFA Alerta de fraude.
  3. Selecione a barra de notificações Experimentar as novas melhorias na filtragem de dispositivos. Clique para habilitar a versão prévia.

Agora você terá a capacidade de Adicionar filtros à sua exibição Todos os dispositivos.

Baixar dispositivos (versão prévia)

Administradores de dispositivo de nuvem, administradores do Intune e administradores globais podem usar a opção Baixar dispositivos (versão prévia) para exportar um arquivo CSV de dispositivos com base em qualquer filtro aplicado. Se nenhum filtro for aplicado à lista, todos os dispositivos serão exportados. Uma exportação pode ser executada por um período de até uma hora, dependendo do

A lista exportada inclui os seguintes atributos de identificação do dispositivo:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Definir configurações de dispositivo

Para gerenciar identidades de dispositivo usando o portal do Azure AD, esses dispositivos precisam ser registrados ou ingressados no Azure AD. Como administrador, você pode controlar o processo de registro e ingresso de dispositivos definindo as seguintes configurações do dispositivo.

Você deve receber uma das seguintes funções para exibir ou gerenciar as configurações do dispositivo no portal do Azure:

  • Administrador global
  • Administrador de dispositivo em nuvem
  • Leitor global
  • Leitor de diretório

Configurações do dispositivo relacionadas ao Azure AD

  • Os usuários podem associar dispositivos ao Azure AD – Essas configurações permitem que você selecione os usuários que podem registrar seus dispositivos como dispositivos associados do Azure AD. O padrão é All.

Observação

Os usuários podem ingressar dispositivos no Azure AD a configuração aplica-se somente ao ingresso no Azure AD no Windows 10. Essa configuração não se aplica a dispositivos ingressados no Azure AD híbrido, VMs Unidas do Azure AD no Azure e dispositivos ingressados no Azure ad usando o modo de Autoimplantação do Windows AutoPilot, pois esses métodos funcionam em um contexto sem usuário.

  • Outros administradores locais nos dispositivos associados ao Azure AD – você pode selecionar os usuários que têm direitos de administrador local em um dispositivo. Esses usuários são adicionados à função Administradores de dispositivos no Azure AD. Os administradores globais no Azure AD e os proprietários do dispositivo recebem direitos de administrador local por padrão. Essa opção é uma funcionalidade Premium Edition disponível por meio de produtos como o Azure AD Premium ou o EMS (Enterprise Mobility Suite).
  • Os usuários podem registrar seus dispositivos com o Azure AD – Você precisa definir essa configuração para permitir que dispositivos pessoais do Windows 10, iOS, Android e macOS sejam registrados no Azure AD. Se você selecionar Nenhum, os dispositivos não terão permissão para serem registrados no Azure AD. O registro no Microsoft Intune ou o Gerenciamento de Dispositivo Móvel (MDM) para o Microsoft 365 exige registro. Se você tiver configurado qualquer um desses serviços, a opção TODOS estará selecionada e NENHUM não estará disponível.
  • Os dispositivos a serem ingressados no Azure AD ou registrados no Azure AD exigem autenticação multifator - Você pode escolher se os usuários devem fornecer um fator de autenticação adicional para ingressar ou registrar seu dispositivo no Azure AD. O padrão é No. Recomendamos exigir a autenticação multifator ao registrar ou ingressar um dispositivo. Antes de habilitar a autenticação multifator para este serviço, você deve garantir que a autenticação multifator esteja configurada para os usuários que registram seus dispositivos. Para saber mais sobre os diferentes serviços de autenticação multifator do Azure, consulte Introdução à autenticação multifator do Azure AD.

Observação

Os dispositivos a serem ingressados no Azure AD ou registrados no Azure AD exigem que a configuração de autenticação multifator seja aplicada a dispositivos que sejam ingressados no Azure AD (com algumas exceções) ou registrados no Azure AD. Essa configuração não se aplica a dispositivos adicionados ao Azure AD Híbrido, VMs ingressadas no Azure AD no Azure e dispositivos ingressados no Azure AD usando o modo Autoimplantação do Windows AutoPilot.

Importante

  • Recomendamos usar a ação do usuário "Registrar ou ingressar dispositivos" no acesso condicional para impor a autenticação multifator para ingressar ou registrar um dispositivo.
  • Você deve definir essa configuração como Não se estiver usando a política de acesso condicional para exigir autenticação multifator.
  • Número máximo de dispositivos – Essa configuração permite selecionar o número máximo de dispositivos ingressados no Azure AD ou registrados no Azure AD que um usuário pode ter no Azure AD. Se um usuário atingir esta cota, ele não poderá adicionar mais dispositivos até que um ou mais dos seus dispositivos existentes sejam removidos. O valor padrão é 50. Você pode aumentar o valor até 100 e, se inserir um valor acima de 100, o Azure AD o definirá como 100. Você também pode usar um valor ilimitado para impor nenhum limite diferente dos limites de cota existentes.

Observação

A configuração Número máximo de dispositivos se aplica a dispositivos que sejam ingressados no Azure AD ou registrados no Azure AD. Essa configuração não se aplica a dispositivos ingressados no Azure AD híbrido.

Logs de auditoria

As atividades de dispositivo estão disponíveis por meio dos logs de atividade. Esses logs incluem atividades acionadas pelo serviço de registro do dispositivo e pelos usuários:

  • Criação de dispositivo e adição de usuários/proprietários no dispositivo
  • Alterações nas configurações do dispositivo
  • Operações de dispositivo como excluir ou atualizar um dispositivo

O ponto de entrada para os dados de auditoria é Logs de auditoria, na seção Atividade da página Dispositivos.

Um log de auditoria tem um modo de exibição de lista padrão que mostra:

  • A data e a hora da ocorrência
  • Os destinos
  • O iniciador/ator (quem) de uma atividade
  • A atividade (o quê)

Captura de tela de uma tabela na seção Atividade da página Dispositivos que lista a data, o destino, o ator e a atividade para quatro logs de auditoria.

Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.

Captura de tela mostrando a barra de ferramentas da página Dispositivos. O item Colunas está realçado.

Para restringir os dados relatados a um nível que funciona para você, filtre os dados de auditoria usando os seguintes campos:

  • Categoria
  • Tipo de recurso de atividade
  • Atividade
  • Intervalo de datas
  • Destino
  • Iniciado por (ator)

Além dos filtros, você pode pesquisar itens específicos.

Captura de tela dos controles de filtro de dados de auditoria, com os campos categoria, tipo de recurso de atividade, atividade, intervalo de datas, destino e ator e um campo de pesquisa.

Próximas etapas

Como gerenciar dispositivos obsoletos no Azure AD

Enterprise State Roaming