Como planejar sua implementação de junção de Azure Active Directory híbridaHow To: Plan your hybrid Azure Active Directory join implementation

De maneira semelhante a um usuário, um dispositivo é outra identidade principal que você deseja proteger e usá-la para proteger seus recursos a qualquer hora e em qualquer local.In a similar way to a user, a device is another core identity you want to protect and use it to protect your resources at any time and from any location. É possível atingir essa meta colocando e gerenciando identidades de dispositivo no Azure AD usando um dos métodos a seguir:You can accomplish this goal by bringing and managing device identities in Azure AD using one of the following methods:

  • Ingresso no Azure ADAzure AD join
  • Ingresso no Azure AD HíbridoHybrid Azure AD join
  • Registro do Azure ADAzure AD registration

Ao colocar os dispositivos no Azure AD, você maximiza a produtividade dos usuários por meio de SSO (logon único) em toda a nuvem e recursos locais.By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. Ao mesmo tempo, você pode proteger o acesso a seus recursos locais e de nuvem com acesso condicional.At the same time, you can secure access to your cloud and on-premises resources with Conditional Access.

Se você tiver um ambiente de Active Directory local (AD) e desejar ingressar seus computadores ingressados no domínio do AD no Azure AD, poderá fazer isso fazendo uma junção híbrida do Azure AD.If you have an on-premises Active Directory (AD) environment and you want to join your AD domain-joined computers to Azure AD, you can accomplish this by doing hybrid Azure AD join. Este artigo fornece as etapas relacionadas para implementar uma associação híbrida do Azure AD em seu ambiente.This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

Pré-requisitosPrerequisites

Este artigo pressupõe que você esteja familiarizado com a introdução ao gerenciamento de identidade do dispositivo no Azure Active Directory.This article assumes that you are familiar with the Introduction to device identity management in Azure Active Directory.

Observação

A versão mínima necessária do controlador de domínio para o ingresso no Azure AD híbrido do Windows 10 é o Windows Server 2008 R2.The minimum required domain controller version for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

Planejar sua implementaçãoPlan your implementation

Para planejar sua implementação híbrida do AD do Azure, você deve se familiarizar com:To plan your hybrid Azure AD implementation, you should familiarize yourself with:

Verificação Dispositivos com suporte de revisãoReview supported devices
Verificação Você deve saber de coisas de revisãoReview things you should know
Verificação Examinar a validação controlada do ingresso no Azure AD híbridoReview controlled validation of hybrid Azure AD join
Verificação Selecione seu cenário com base na sua infraestrutura de identidadeSelect your scenario based on your identity infrastructure
Verificação Examine o suporte de UPN do AD local para ingressar no Azure AD híbridoReview on-premises AD UPN support for hybrid Azure AD join

Dispositivos com suporte de revisãoReview supported devices

Ingresso no Azure AD híbrido oferece suporte a dispositivos de uma ampla variedade de Windows.Hybrid Azure AD join supports a broad range of Windows devices. Como a configuração para dispositivos que executam versões mais antigas do Windows requer etapas adicionais ou diferentes, os dispositivos com suporte são agrupados em duas categorias:Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

Dispositivos atuais do WindowsWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Para dispositivos que executam o sistema operacional Windows desktop, a versão com suporte está listada neste artigo informações de versão do Windows 10.For devices running the Windows desktop operating system, supported version are listed in this article Windows 10 release information. Como prática recomendada, a Microsoft recomenda que você atualize para a versão mais recente do Windows 10.As a best practice, Microsoft recommends you upgrade to the latest version of Windows 10.

Dispositivos de nível inferior do WindowsWindows down-level devices

Como primeira etapa do planejamento, você deve revisar seu ambiente e determinar se precisa dar suporte a dispositivos de baixo nível do Windows.As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

Você deve saber de coisas de revisãoReview things you should know

No momento, não há suporte para o ingresso do Azure AD híbrido se seu ambiente consistir em uma única floresta do AD Sincronizando dados de identidade para mais de um locatário do Azure AD.Hybrid Azure AD join is currently not supported if your environment consists of a single AD forest synchronizing identity data to more than one Azure AD tenant.

No momento, não há suporte para o ingresso do Azure AD híbrido ao usar o VDI (Virtual Desktop Infrastructure).Hybrid Azure AD join is currently not supported when using virtual desktop infrastructure (VDI).

O ingresso no Azure AD híbrido tem suporte para TPM 2,0 compatível com FIPS e sem suporte para TPM 1,2.Hybrid Azure AD join is supported for FIPS-compliant TPM 2.0 and not supported for TPM 1.2. Se seus dispositivos tiverem o TPM 1,2 compatível com FIPS, você deverá desabilitá-los antes de prosseguir com a junção híbrida do Azure AD.If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Hybrid Azure AD join. A Microsoft não fornece nenhuma ferramenta para desabilitar o modo FIPS para TPMs, pois depende do fabricante do TPM.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Entre em contato com o OEM de hardware para obter suporte.Please contact your hardware OEM for support. A partir da versão 10 1903 do WIndows, TPMs 1,2 não são usadas para o ingresso híbrido do Azure AD e os dispositivos com esses TPMs serão considerados como se não tivessem um TPM.Starting from WIndows 10 1903 release, TPMs 1.2 are not used for hybrid Azure AD join and devices with those TPMs will be considered as if they don't have a TPM.

O ingresso no Azure AD híbrido não tem suporte no Windows Server que executa a função de controlador de domínio (DC).Hybrid Azure AD join is not supported for Windows Server running the Domain Controller (DC) role.

O ingresso no Azure AD híbrido não tem suporte em dispositivos de nível inferior do Windows ao usar o roaming de credencial ou o roaming de perfil do usuário.Hybrid Azure AD join is not supported on Windows down-level devices when using credential roaming or user profile roaming.

Se você estiver contando com a ferramenta de preparação do sistema (Sysprep) e se estiver usando uma imagem anterior ao Windows 10 1809 para instalação, verifique se a imagem não é de um dispositivo que já está registrado com o Azure ad como uma junção híbrida do Azure AD.If you are relying on the System Preparation Tool (Sysprep) and if you are using a pre-Windows 10 1809 image for installation, make sure that image is not from a device that is already registered with Azure AD as Hybrid Azure AD join.

Se você estiver contando com um instantâneo de VM (máquina virtual) para criar VMs adicionais, verifique se o instantâneo não é de uma VM que já está registrada com o Azure AD como uma junção híbrida do Azure AD.If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure that snapshot is not from a VM that is already registered with Azure AD as Hybrid Azure AD join.

Se seus dispositivos ingressados no domínio do Windows 10 forem registrados no Azure ad para seu locatário, isso poderá levar a um estado duplo de ingressado no Azure ad híbrido e ao dispositivo registrado do Azure AD.If your Windows 10 domain joined devices are Azure AD registered to your tenant, it could lead to a dual state of Hybrid Azure AD joined and Azure AD registered device. É recomendável atualizar para o Windows 10 1803 (com o KB4489894 aplicado) ou superior para resolver esse cenário automaticamente.We recommend upgrading to Windows 10 1803 (with KB4489894 applied) or above to automatically address this scenario. Em versões anteriores a 1803, você precisará remover manualmente o estado registrado do Azure AD antes de habilitar a junção híbrida do Azure AD.In pre-1803 releases, you will need to remove the Azure AD registered state manually before enabling Hybrid Azure AD join. Nas versões 1803 e acima, as seguintes alterações foram feitas para evitar esse estado duplo:In 1803 and above releases, the following changes have been made to avoid this dual state:

  • Qualquer estado registrado do Azure AD existente será removido automaticamente depois que o dispositivo for ingressado no Azure ad híbrido.Any existing Azure AD registered state would be automatically removed after the device is Hybrid Azure AD joined.
  • Você pode impedir que o dispositivo ingressado no domínio seja registrado no Azure AD adicionando essa chave do registro-HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin" = DWORD: 00000001.You can prevent your domain joined device from being Azure AD registered by adding this registry key - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
  • No Windows 10 1803, se você tiver o Windows Hello para empresas configurado, o usuário precisará reinstalar o Windows Hello para empresas após a limpeza do estado duplo. Esse problema foi resolvido com o KB4512509In Windows 10 1803, if you have Windows Hello for Business configured, the user needs to re-setup Windows Hello for Business after the dual state clean up.This issue has been addressed with KB4512509

Examinar a validação controlada do ingresso no Azure AD híbridoReview controlled validation of hybrid Azure AD join

Quando todos os pré-requisitos estiverem em vigor, os dispositivos Windows serão automaticamente registrados como dispositivos no seu locatário do Azure AD.When all of the pre-requisites are in place, Windows devices will automatically register as devices in your Azure AD tenant. O estado dessas identidades de dispositivo no Azure AD é chamado de junção híbrida do Azure AD.The state of these device identities in Azure AD is referred as hybrid Azure AD join. Mais informações sobre os conceitos abordados neste artigo podem ser encontradas no artigo introdução ao gerenciamento de identidade do dispositivo no Azure Active Directory.More information about the concepts covered in this article can be found in the article Introduction to device identity management in Azure Active Directory.

As organizações podem querer fazer uma validação controlada do ingresso no Azure AD híbrido antes de habilitá-lo em toda a organização de uma só vez.Organizations may want to do a controlled validation of hybrid Azure AD join before enabling it across their entire organization all at once. Examine o artigo validação controlada do ingresso no Azure ad híbrido para entender como realizá-lo.Review the article controlled validation of hybrid Azure AD join to understand how to accomplish it.

Selecione seu cenário com base na sua infraestrutura de identidadeSelect your scenario based on your identity infrastructure

O ingresso no Azure AD híbrido funciona com ambientes gerenciados e federados dependendo se o UPN é roteável ou não roteável.Hybrid Azure AD join works with both, managed and federated environments depending on whether the UPN is routable or non-routable. Veja a parte inferior da página para ver a tabela em cenários com suporte.See bottom of the page for table on supported scenarios.

Ambiente de leituraManaged environment

Um ambiente gerenciado pode ser implantado por meio da PHS (Sincronização de Hash de Senha) ou PTA (Autenticação de Passagem) com Logon Único Contínuo.A managed environment can be deployed either through Password Hash Sync (PHS) or Pass Through Authentication (PTA) with Seamless Single Sign On.

Esses cenários não exigem que você configure um servidor de federação para autenticação.These scenarios don't require you to configure a federation server for authentication.

Ambiente federadoFederated environment

Um ambiente federado deve ter um provedor de identidade que dá suporte aos requisitos a seguir.A federated environment should have an identity provider that supports the following requirements. Se você tem um ambiente federado usando o AD FS (Serviços de Federação do Active Directory), os requisitos abaixo já são compatíveis.If you have a federated environment using Active Directory Federation Services (AD FS), then the below requirements are already supported.

  • Declaração de WIAORMULTIAUTHN: Essa declaração é necessária para fazer uma junção híbrida do Azure AD para dispositivos de nível inferior do Windows.WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.
  • Protocolo WS-Trust: Esse protocolo é necessário para autenticar dispositivos adicionados ao Azure AD híbridos atuais do Windows com o Azure AD.WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD. Quando você estiver usando o AD FS, será necessário habilitar os seguintes pontos de extremidade WS-Trust: /adfs/services/trust/2005/windowstransportWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/windowstransport
    /adfs/services/trust/13/windowstransport
    /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Aviso

O adfs/services/trust/2005/windowstransport e também o adfs/services/trust/13/windowstransport devem ser habilitados como pontos de extremidade voltados para a intranet e NÃO devem ser expostos como pontos de extremidade voltados a uma extranet por meio do proxy de aplicativo Web.Both adfs/services/trust/2005/windowstransport or adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy. Para saber mais sobre como desabilitar os pontos de extremidade do Windows do WS-Trust, confira Desabilitar pontos de extremidade do Windows do WS-Trust no proxy.To learn more on how to disable WS-Trust Windows endpoints, see Disable WS-Trust Windows endpoints on the proxy. Veja quais pontos de extremidade estão habilitados por meio do console de gerenciamento do AD FS em Serviço > Pontos de extremidade.You can see what endpoints are enabled through the AD FS management console under Service > Endpoints.

Observação

O Azure AD não dá suporte a cartões inteligentes ou certificados em domínios gerenciados.Azure AD does not support smartcards or certificates in managed domains.

A partir da versão 1.1.819.0, o Azure AD Connect fornece um assistente para configurar o ingresso no Azure AD híbrido.Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. O assistente permite simplificar significativamente o processo de configuração.The wizard enables you to significantly simplify the configuration process. Se a instalação da versão necessária do Azure AD Connect não for uma opção, consulte como configurar manualmente o registro do dispositivo.If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

Com base no cenário que corresponde à sua infraestrutura de identidade, consulte:Based on the scenario that matches your identity infrastructure, see:

Examine o suporte de UPN do AD local para ingressar no Azure AD híbridoReview on-premises AD UPN support for Hybrid Azure AD join

Às vezes, seus UPNs do AD local podem ser diferentes dos UPNs do Azure AD.Sometimes, your on-premises AD UPNs could be different from your Azure AD UPNs. Nesses casos, o ingresso no Azure AD Híbrido do Windows 10 dá suporte limitado aos UPNs do AD local com base no método de autenticação, no tipo de domínio e na versão do Windows 10.In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. Há dois tipos de UPNs do AD local que podem existir em seu ambiente:There are two types of on-premises AD UPNs that can exist in your environment:

  • UPN roteável: um UPN roteável tem um domínio verificado válido, que é registrado com um registrador de domínios.Routable UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. Por exemplo, se contoso.com é o domínio primário do Azure AD, contoso.org é o domínio primário no AD local pertencente à Contoso e verificado no Azure ADFor example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • UPN não roteável: um UPN não roteável não tem um domínio verificado.Non-routable UPN: A non-routable UPN does not have a verified domain. É aplicável somente dentro da rede privada da sua organização.It is applicable only within your organization's private network. Por exemplo, se contoso.com é o domínio primário no Azure AD, contoso.local é o domínio primário no AD local, mas não é um domínio verificável na Internet e é usado apenas na rede da Contoso.For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

A tabela a seguir fornece detalhes sobre o suporte a esses UPNs do AD local no ingresso no Azure AD Híbrido do Windows 10The table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

Tipo de UPN do AD localType of on-premises AD UPN Tipo de domínioDomain type Versão do Windows 10Windows 10 version DescriçãoDescription
RoteávelRoutable FederadoFederated Da versão 1703From 1703 release Disponível para o público geralGenerally available
Não roteávelNon-routable FederadoFederated Da versão 1803From 1803 release Disponível para o público geralGenerally available
RoteávelRoutable GerenciadoManaged Da versão 1803From 1803 release Em geral, não há suporte para o SSPR do Azure AD na tela de bloqueio do WindowsGenerally available, Azure AD SSPR on Windows lockscreen is not supported
Não roteávelNon-routable GerenciadoManaged Sem suporteNot supported

Próximos passosNext steps