Perguntas frequentes sobre o gerenciamento de dispositivo do Microsoft Entra

Dispositivos Windows 10 ou mais recentes híbridos ingressados no Microsoft Entra não aparecem em dispositivos USER. Use a exibição Todos os dispositivos. Você também pode usar um cmdlet Get-MgDevice do PowerShell.

Apenas os dispositivos a seguir estão listados sob os dispositivos do usuário:

• Todos os dispositivos pessoais híbridos que não são ingressados no Microsoft Entra.
• Todos os dispositivos que não são Windows 10 ou mais recentes e o Windows Server 2016 ou posterior.
• Todos os dispositivos não Windows.

Vá para Todos os dispositivos. Procure o dispositivo usando a identificação do dispositivo. Verifique o valor na coluna de tipo de associação. Às vezes, o dispositivo pode ter sido redefinido ou recriado. Portanto, é essencial verificar também o estado do registro do dispositivo no dispositivo:

• Para dispositivos Windows 10 ou mais recentes e Windows Server 2016 ou posterior, execute dsregcmd.exe /status.
• Para versões de sistema operacional de nível inferior, execute %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Para encontrar informações sobre soluções de problemas, consulte os seguintes artigos:

• Solução de problemas de dispositivos usando o comando dsregcmd
• Solução de problemas de dispositivos Windows 10 e Windows Server 2016 ingressados de forma híbrida no Microsoft Entra
• Solução de problemas de dispositivos híbridos ingressados no nível inferior do Microsoft Entra

Os clientes Windows obterão o PRT do Microsoft Entra ID se o usuário e o dispositivo pertencerem ao mesmo locatário. Os usuários não receberão um PRT para outro locatário se o dispositivo não estiver registrado ou se o usuário não for um membro nele. Se os dois locatários confiarem um no outro por meio do B2B, você sempre poderá criar declarações de dispositivo de confiança e acesso B2B entre locatários no locatário inicial.

O estado do ingresso do dispositivo, refletido por deviceID, precisa corresponder ao estado no Microsoft Entra ID e atender a qualquer critério de avaliação para o Acesso Condicional. Para obter mais informações, confira Exigir dispositivos gerenciados para acesso ao aplicativo em nuvem com Acesso Condicional.

Em dispositivos Windows 10/11 ingressados ou registrados no Microsoft Entra ID, os usuários recebem um PRT (token de atualização principal) que habilita o logon único. A validade do PRT é baseada na validade do próprio dispositivo. Os usuários veem essa mensagem se o dispositivo foi excluído ou desabilitado no Microsoft Entra ID sem que a ação tenha sido iniciada no próprio dispositivo. Um dispositivo pode ser excluído ou desabilitado no Microsoft Entra em um dos seguintes cenários:

• O usuário desabilita o dispositivo no portal Meus Aplicativos.
• Um administrador (ou usuário) exclui ou desabilita o dispositivo.
• Somente dispositivo híbrido ingressado no Microsoft Entra: um administrador remove a UO dos dispositivos do escopo de sincronização, levando à exclusão dos dispositivos do Microsoft Entra ID.
• Somente dispositivo híbrido ingressado no Microsoft Entra: um administrador desabilita a conta do computador local, resultando na desabilitação do dispositivo no Microsoft Entra ID.
• Atualizando o Microsoft Entra Connect para a versão 1.4.xx.x. Noções básicas sobre o Microsoft Entra Connect 1.4.xx.x e o desaparecimento do dispositivo.

Essa operação ocorre por design. Nesse caso, o dispositivo não tem acesso a recursos na nuvem. Os administradores podem executar essa ação para dispositivos obsoletos, perdidos ou roubados a fim de impedir o acesso não autorizado. Se a ação foi executada acidentalmente, você precisa habilitar ou registrar novamente o dispositivo usando as seguintes etapas:

• Se o dispositivo foi desabilitado no Microsoft Entra ID, um administrador com privilégios suficientes pode habilitá-lo no centro de administração do Microsoft Entra.

  Observação

  Se você estiver sincronizando dispositivos usando o Microsoft Entra Connect, os dispositivos ingressados de forma híbrida no Microsoft Entra serão habilitados automaticamente durante o próximo ciclo de sincronização. Portanto, caso precise desabilitar um dispositivo ingressado no Microsoft Entra híbrido, desabilite-o por meio do AD local.

• Se o dispositivo foi excluído no Microsoft Entra ID, você precisa registrá-lo novamente. Para registrar novamente, você precisa executar uma ação manual no dispositivo. Confira as etapas a seguir para obter instruções para registrá-lo novamente com base no estado do dispositivo.

  Para registrar novamente dispositivos Windows 10/11 e Windows Server 2016/2019 ingressados de forma híbrida no Microsoft Entra, execute as seguintes etapas:

  1. Abra o prompt de comando como administrador.
  2. Digite dsregcmd.exe /debug /leave.
  3. Saia e entre para disparar a tarefa agendada que registra o dispositivo com o Microsoft Entra ID novamente.

  Para versões do sistema operacional Windows de nível inferior ingressadas de forma híbrida no Microsoft Entra, execute as seguintes etapas:

  1. Abra o prompt de comando como administrador.
  2. Digite "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Digite "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Para dispositivos Windows 10/11 ingressados de forma híbrida no Microsoft Entra, execute as seguintes etapas:

  1. Abra o prompt de comando como administrador
  2. Insira dsregcmd /forcerecovery (você precisa ser um administrador para executar esta ação).
  3. Clique em "Entrar" na caixa de diálogo que é aberta e prossiga com o processo de entrada.
  4. Saia e entre novamente no dispositivo para concluir a recuperação.

  Para dispositivos Windows 10/11 registrados do Microsoft Entra, execute as seguintes etapas:

  1. Acesse Configurações>Contas>Acessar trabalho ou escola.
  2. Selecione a conta e escolha Desconectar.
  3. Clique em "+ Conectar" e registre o dispositivo novamente passando pelo processo de entrada.

• Para o Windows 10 ou mais recente e o Windows Server 2016 ou posterior, tentativas repetidas de remover o ingresso do dispositivo e reingressá-lo podem resultar em entradas duplicadas.
• Cada usuário do Windows que usar Adicionar Conta Corporativa ou de Estudante cria um novo registro do dispositivo com o mesmo nome do dispositivo.
• Para versões do sistema operacional do Windows de nível inferior que são ingressadas no domínio do Azure Directory local, o registro automático cria um novo registro de dispositivo com o mesmo nome do dispositivo para cada usuário de domínio que entra no dispositivo.
• Uma máquina ingressada no Microsoft Entra que foi apagada, reinstalada e reunida com o mesmo nome é exibida como outro registro com o mesmo nome de dispositivo.

O registro de dispositivos Windows 10/11 tem suporte apenas para TPM 2.0 em conformidade com FIPS e não tem suporte para TPM 1.2. Se seus dispositivos têm o TPM 1.2 em conformidade com o FIPS, você precisará desabilitá-los antes de prosseguir com o ingresso no Microsoft Entra ou o ingresso híbrido no Microsoft Entra. A Microsoft não fornece ferramentas para desabilitar o modo FIPS para TPMs, pois isso depende do fabricante do TPM. Entre em contato com o OEM do hardware para obter suporte.

Demora até uma hora para que uma revogação seja aplicada a partir do momento que o dispositivo do Microsoft Entra é marcado como desabilitado.

O Microsoft Entra ID adicionou suporte para várias contas do Microsoft Entra a partir da versão 1803 do Windows 10. No entanto, o Windows 10/11 restringe o número de contas do Microsoft Entra em um dispositivo a três para limitar o tamanho das solicitações de token e habilitar o SSO (logon único) confiável. Após três contas serem adicionadas, os usuários verão um erro para as contas seguintes. As informações adicionais sobre o problema na tela de erro mostram a seguinte mensagem, indicando o motivo: “A operação de adição de conta foi bloqueada porque o limite da conta foi atingido”.

Os certificados MS-Organization-Access são emitidos pelo serviço de Registro de Dispositivos do Microsoft Entra durante o processo de registro do dispositivo. Esses certificados são emitidos para todos os tipos de ingressos com suporte no Windows – ingressados no Microsoft Entra, dispositivos híbridos ingressados no Microsoft Entra e registrados no Microsoft Entra. Depois de emitidos, eles são usados como parte do processo de autenticação do dispositivo para solicitar um PRT (token de atualização principal). Para dispositivos ingressados no Microsoft Entra e híbridos ingressados no Microsoft Entra, esse certificado está presente em Computador Local\Pessoal\Certificados, enquanto para dispositivos registrados no Microsoft Entra, está presente em Usuário Atual\Pessoal\Certificados. Todos os certificados MS-Organization-Access têm um tempo de vida padrão de dez anos. Esses certificados são excluídos do repositório de certificados correspondente quando o registro do dispositivo é cancelado no Microsoft Entra ID. Qualquer exclusão acidental desse certificado resulta em falhas de autenticação para o usuário e exige um novo registro do dispositivo, nesses casos.

Para os dispositivos exclusivamente ingressados no Microsoft Entra, verifique se você tem uma conta de administrador local offline ou crie uma. Você não pode entrar com as credenciais de usuário do Microsoft Entra. Em seguida, acesse Configurações>Contas>Acessar corporativo ou de estudante. Selecione sua conta e, em seguida, Desconectar. Siga os prompts e forneça as credenciais de administrador local, quando solicitado. Reinicie o dispositivo para concluir o processo de cancelar a associação.

Sim. O Windows tem uma funcionalidade de armazenamento em cache de nome de usuário e senha que permite aos usuários que se conectaram anteriormente acessarem a área de trabalho rapidamente, mesmo sem conectividade de rede.

Quando um dispositivo é excluído ou desabilitado no Microsoft Entra ID, ele não é reconhecido pelo dispositivo Windows. Portanto, os usuários que se conectaram anteriormente continuam a acessar a área de trabalho com o nome de usuário e a senha armazenados em cache. No entanto, assim que o dispositivo for excluído ou desabilitado, os usuários não poderão acessar nenhum recurso protegido pelo Acesso Condicional baseado no dispositivo.

Os usuários que não se conectaram anteriormente não podem acessar o dispositivo. Não há nenhum nome de usuário e senha armazenados em cache habilitados para eles.

Sim, mas apenas por um período limitado. Quando um usuário é excluído ou desabilitado no Microsoft Entra ID, ele não é imediatamente conhecido para o dispositivo do Windows. Portanto, os usuários que se conectaram anteriormente podem acessar a área de trabalho com o nome de usuário e a senha armazenados em cache.

Normalmente, o dispositivo está ciente do estado do usuário em menos de quatro horas. Em seguida, o Windows bloqueia o acesso desses usuários à área de trabalho. Como o usuário é excluído ou desabilitado no Microsoft Entra ID, todos os seus tokens são revogados. Portanto, eles não podem acessar nenhum recurso.

Os usuários excluídos ou desabilitados que não se conectaram anteriormente não podem acessar um dispositivo. Não há nenhum nome de usuário e senha armazenados em cache habilitados para eles.

Não. Atualmente, os usuários convidados não podem entrar em um dispositivo ingressado no Microsoft Entra.

As organizações podem optar por implantar o Windows Server Hybrid Cloud Print com Pré-Autenticação ou a Impressão Universal para seus dispositivos ingressados no Microsoft Entra.

Confira Conectar-se ao computador remoto ingressado no Microsoft Entra.

Você configurou regras de acesso condicional específicas para exigir um estado de dispositivo específico? Se o dispositivo não atender aos critérios, os usuários são bloqueados e veem essa mensagem. Avalie as regras da política de acesso condicional. Verifique se o dispositivo atende aos critérios para evitar a mensagem.

As razões comuns para esse cenário são as seguintes:

• Suas credenciais de usuário não são mais válidas.
• Seu computador não pode se comunicar com Microsoft Entra ID. Verifique se há problemas de conectividade de rede.
• Credenciais federadas requerem que o servidor de federação dê suporte a pontos de extremidade do WS-Trust que estejam habilitados e acessíveis.
• Você habilitou a autenticação de passagem. Portanto, sua senha temporária precisa ser alterada quando você entrar.

Atualmente, os dispositivos ingressados no Microsoft Entra não forçam os usuários a alterar a senha na tela de bloqueio. Portanto, os usuários com senhas temporárias ou expiradas serão forçados a alterar as senhas somente quando acessarem um aplicativo (que requer um token do Microsoft Entra) depois de fazer logon no Windows.

Esse erro ocorre quando o registro automático do Microsoft Entra é configurado com o Intune sem uma licença adequada atribuída. Certifique-se de que o usuário que tenta fazer o ingresso do Microsoft Entra tenha a licença correta do Intune atribuída. Para obter mais informações, confira Configurar registro para dispositivos Windows.

Uma causa provável é que você se conectou ao dispositivo usando a conta de administrador interno local. Crie uma conta local diferente antes de usar o ingresso no Microsoft Entra para concluir a instalação.

O aplicativo P2P Server é um aplicativo registrado pelo Microsoft Entra ID para habilitar conexões de Protocolo de Área de Trabalho Remota (RDP) para qualquer dispositivo ingressado no Microsoft Entra ou ingressado de forma híbrida no Microsoft Entra no seu locatário. Esse aplicativo cria um certificado de todo o locatário emitido pela autoridade de certificação do Microsoft Entra e é usado para emitir certificados de dispositivo RDP e de usuário para conectividade RDP. Para garantir que esse seja o aplicativo correto, você pode encontrar o de ID de Objeto do aplicativo P2P Server no centro de administração do Microsoft Entra>Aplicativos>Aplicativos Empresariais. Remova o filtro padrão aplicado. Você pode ver todos os aplicativos. Compare essa ID de Objeto usando a API do Microsoft Graph para consultar os detalhes usando GET /servicePrincipals/{objectid} e confirme se a propriedade servicePrincipalNames é urn:p2p_cert.

Os certificados MS-Organization-P2P-Access são emitidos pelo Microsoft Entra ID para ambos, dispositivos ingressados no Microsoft Entra e híbridos ingressados no Microsoft Entra. Esses certificados são usados para habilitar a confiança entre os dispositivos no mesmo locatário para cenários de área de trabalho remotos. Um certificado é emitido para o dispositivo e o outro é emitido para o usuário. O certificado do dispositivo está presente no Local Computer\Personal\Certificates e é válido por um dia. Esse certificado é renovado (emitindo um novo certificado) se o dispositivo ainda estiver ativo no Microsoft Entra ID. O certificado de usuário não é persistente e é válido por uma hora, mas é emitido sob demanda quando um usuário tenta entrar em uma sessão de área de trabalho remota em outro dispositivo ingressado no Microsoft Entra. Ele não é renovado após o vencimento. Esses dois certificados são emitidos usando o certificado MS-Organization-P2P-Access presente no Local Computer\AAD Token Issuer\Certificates. Esse certificado é emitido pelo Microsoft Entra ID durante o registro do dispositivo.

Não é possível desabilitar nem expirar os logons armazenados em cache anteriores em dispositivos ingressados no Microsoft Entra.

Para dispositivos híbridos ingressados no Microsoft Entra, verifique se o registro automático está desativado no AD usando o artigo Validação controlada. A tarefa agendada não registra o dispositivo novamente. Agora, abra um prompt de comando como administrador e digite dsregcmd.exe /debug /leave. Ou execute este comando como um script em vários dispositivos para fazer um cancelamento de associação em massa.

Para encontrar informações sobre soluções de problemas, consulte os seguintes artigos:

• Solução de problemas de dispositivos Windows 10 e Windows Server 2016 ingressados de forma híbrida no Microsoft Entra
• Solução de problemas de dispositivos híbridos ingressados no nível inferior do Microsoft Entra

Quando os usuários adicionam suas contas a aplicativos em um dispositivo conectado ao domínio, eles podem receber o prompt Adicionar conta ao Windows? Se eles inserirem Sim no prompt, o dispositivo será registrado com o Microsoft Entra ID. O tipo de relação de confiança é marcado como registrado no Microsoft Entra. Depois de habilitar o ingresso híbrido do Microsoft Entra em sua organização, o dispositivo híbrido também é ingressado no Microsoft Entra. Em seguida, dois estados de dispositivo aparecem para o mesmo dispositivo.

Na maioria dos casos, o ingresso híbrido do Microsoft Entra tem precedência sobre o estado registrado do Microsoft Entra, o que faz com que seu dispositivo seja considerado ingressado de forma híbrida no Microsoft Entra para qualquer autenticação e avaliação de Acesso Condicional. No entanto, às vezes, esse estado duplo pode resultar em uma avaliação não determinística do dispositivo e causar problemas de acesso. É altamente recomendável atualizar para o Windows 10 versão 1803 e superior, em que limpamos automaticamente o estado registrado do Microsoft Entra. Saiba como evitar ou limpar esse estado duplo no computador com Windows 10.

Há suporte para alterações no nome UPN no Windows 10 atualização 2004, sendo aplicável também ao Windows 11. Os usuários em dispositivos com essa atualização não terão problemas depois de alterar os respectivos UPNs.

As alterações de UPN nas versões mais antigas do Windows 10 não têm suporte completo em dispositivos ingressados no Microsoft Entra híbrido. Embora os usuários possam entrar no dispositivo e acessar seus aplicativos locais, a autenticação com o Microsoft Entra ID falhará após a alteração de um UPN. Como resultado, os usuários têm problemas de SSO e Acesso Condicional em seus dispositivos. Você precisa cancelar o ingresso do dispositivo no Microsoft Entra ID (execute “dsregcmd /leave” com privilégios elevados) e ingressá-lo novamente (processo automático) para resolver o problema.

Não, exceto quando a senha do usuário é alterada. Após a conclusão do ingresso híbrido do Windows 10/11 no Microsoft Entra, quando o usuário tiver se conectado pelo menos uma vez, o dispositivo não exigirá linha de visão com o controlador de domínio para acessar os recursos de nuvem. O Windows 10/11 pode usar o logon único em aplicativos do Microsoft Entra em qualquer lugar em que haja uma conexão com a Internet, exceto em caso de alteração de senha. Usuários que entram com o Windows Hello para Empresas continuam usando o logon único para aplicativos do Microsoft Entra após uma alteração de senha, mesmo se não tiverem linha de visão com o controlador de domínio.

Se uma senha for alterada fora da rede corporativa (por exemplo, usando a SSPR do Microsoft Entra), ocorrerá uma falha na entrada do usuário com a nova senha. Em dispositivos híbridos ingressados no Microsoft Entra, o Active Directory local é a autoridade principal. Quando um dispositivo não tem uma linha de visão para um controlador de domínio, ele não consegue validar a nova senha. O usuário precisa estabelecer uma conexão com o controlador de domínio (por meio da VPN ou da rede corporativa) para entrar no dispositivo com a nova senha. Caso contrário, ele só poderá entrar com a senha antiga devido à capacidade de entrada armazenada em cache no Windows. No entanto, a senha antiga é invalidada pelo Microsoft Entra ID durante as solicitações de token e, portanto, impede o logon único e falha em qualquer política de Acesso Condicional baseada em dispositivo até que o usuário seja autenticado com a nova senha dele em um aplicativo ou navegador. Esse problema não ocorrerá se você usar dispositivos ingressados no Microsoft Entra.

• Para dispositivos Windows 10/11 registrados no Microsoft Entra, acesse Configurações>Contas>Acessar trabalho ou escola. Selecione sua conta e, em seguida, Desconectar. O registro de dispositivo no Windows 10/11 é por perfil de usuário.
• Para iOS e Android, você pode acessar Configurações>Registro de Dispositivo no aplicativo Microsoft Authenticator e selecionar Cancelar registro de dispositivo.
• Para macOS, você pode usar o aplicativo Portal da Empresa do Microsoft Intune para cancelar o registro do dispositivo do gerenciamento e remover qualquer registro.

No Windows 10 versão 2004 e anterior, esse processo pode ser automatizado com a ferramenta de remoção WPJ (Workplace Join).

Habilite o registro a seguir para impedir que os usuários adicionem outras contas corporativas aos seus dispositivos corporativos ingressados no domínio, ingressados no Microsoft Entra ou dispositivos Windows 10/11 híbridos ingressados no Microsoft Entra. Essa política também pode ser usada para impedir que computadores ingressados no domínio tenham inadvertidamente registrado no Microsoft Entra com a mesma conta de usuário.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Conteúdo relacionado

• A ferramenta de pesquisa de erros da Microsoft