Planeje a implantação do dispositivo do Azure Active Directory

Este artigo ajuda você a avaliar os métodos para integrar seu dispositivo ao Azure AD, escolher o plano de implementação e fornece links de chave para as ferramentas de gerenciamento de dispositivos com suporte.

O panorama dos dispositivos dos quais seus usuários se conectam está se expandindo. As organizações podem fornecer desktops, laptops, telefones, tablets e outros dispositivos. Os usuários podem trazer sua própria matriz de dispositivos e acessar informações de locais variados. Nesse ambiente, seu trabalho como administrador é manter os recursos organizacionais protegidos em todos os dispositivos.

O Azure Active Directory (Azure AD) permite que sua organização atenda a essas metas com o gerenciamento de identidade do dispositivo. Agora você pode obter seus dispositivos no Azure AD e controlá-los de um local central no portal do Azure. Isso oferece uma experiência unificada, segurança aprimorada e reduz o tempo necessário para configurar um novo dispositivo.

Há vários métodos para integrar seus dispositivos ao Azure AD:

Saiba mais

Antes de começar, verifique se você está familiarizado com a visão geral do gerenciamento de identidade do dispositivo.

Benefícios

Os principais benefícios de fornecer a seus dispositivos uma identidade do Azure AD:

  • Aumentar a produtividade – com o Azure AD, os usuários podem fazer logon contínuo (SSO) para seus recursos locais e na nuvem, o que permite que eles sejam produtivos onde quer que estejam.

  • Aumentar a segurança – os dispositivos do Azure AD permitem que você aplique políticas de acesso condicional a recursos com base na identidade do dispositivo ou usuário. As políticas de acesso condicional podem oferecer proteção extra usando Azure AD Identity Protection. Ingressar um dispositivo no Azure AD é um pré-requisito para aumentar sua segurança com uma estratégia de autenticação sem senha.

  • Melhorar a experiência do usuário – com identidades de dispositivo no Azure AD, você pode fornecer aos usuários acesso fácil aos recursos baseados em nuvem de sua organização de dispositivos pessoais e corporativos. Os administradores podem habilitar a Enterprise State roaming para uma experiência unificada em todos os dispositivos Windows.

  • Simplifique a implantação e o gerenciamento – o gerenciamento de identidades de dispositivo simplifica o processo de colocar dispositivos no Azure AD com o Windows AutoPilot, provisionamento em massae autoatendimento: OOBE (configuração inicial pelo uso). Você pode gerenciar esses dispositivos com ferramentas de MDM (gerenciamento de dispositivo móvel), como Microsoft Intune, e suas identidades no portal do Azure.

Recursos de treinamento

Vídeo: Acesso condicional com controles de dispositivo

Perguntas frequentes: Perguntas frequentes sobre gerenciamento de dispositivo do Azure AD e Perguntas frequentes sobre roaming de dados e definições

Planejar o projeto de implantação

Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.

Envolva os participantes certos

Quando os projetos de tecnologia falham, eles normalmente fazem isso devido a expectativas incompatíveis com o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas.

Para este plano, adicione os seguintes participantes à sua lista:

Função Descrição
Administrador de Dispositivo Um representante da equipe do dispositivo que pode verificar se o plano atenderá aos requisitos do dispositivo de sua organização.
Administrador de rede Um representante da equipe de rede que pode se certificar de atender aos requisitos de rede.
Equipe de gerenciamento de dispositivo Equipe que gerencia o inventário de dispositivos.
Equipes de administração específicas do sistema operacional Equipes que dão suporte e gerenciam versões específicas do sistema operacional. Por exemplo, pode haver uma equipe focada em Mac ou iOS.

Planejar comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique de forma proativa a seus usuários como e quando sua experiência será alterada e como obter suporte em caso de problemas.

Planejar um piloto

É recomendável que a configuração inicial do seu método de integração esteja em um ambiente de teste ou com um pequeno grupo de dispositivos de teste. Consulte Melhores práticas para obter um piloto.

A implantação de ingresso no Azure AD híbrido é simples e é 100% da tarefa de um administrador sem a necessidade de ação do usuário final. Você pode querer fazer uma validação controlada do ingresso no Azure AD híbrido antes de habilitá-lo em toda a organização, de uma só vez.

Escolha seus métodos de integração

Sua organização pode usar vários métodos de integração de dispositivos em um único locatário do Azure AD. O objetivo é escolher o(s) método(s) adequado(s) para que seus dispositivos sejam gerenciados com segurança no Azure AD. Há muitos parâmetros que orientam essa decisão, incluindo a propriedade, os tipos de dispositivo, o público principal e a infraestrutura da sua organização.

As seguintes informações podem ajudá-lo a decidir quais métodos de integração usar.

Árvore de decisão para integração de dispositivos

Use esta árvore para determinar as opções para dispositivos de propriedade da organização.

Observação

Cenários pessoais ou BYOD (traga seu próprio dispositivo) não são mostrados neste diagrama. Eles sempre resultam no registro do Azure AD.

Árvore de decisão

Matriz de comparação

dispositivos iOS e Android só podem ser registrados no Azure AD. A tabela a seguir apresenta considerações de alto nível para dispositivos cliente do Windows. Use-o como uma visão geral e explore os métodos de integração diferentes detalhadamente.

Consideração Azure AD registrado Ingresso no Azure AD Ingresso no Azure AD Híbrido
Sistemas operacionais clientes
Dispositivos Windows 10 Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
Dispositivos de nível inferior do Windows (Windows 8.1 ou Windows 7) Marca de seleção para esses valores.
Opções de entrada
Credenciais locais do usuário final Marca de seleção para esses valores.
Senha Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
PIN do dispositivo Marca de seleção para esses valores.
Windows Hello Marca de seleção para esses valores.
Windows Hello para Empresas Marca de seleção para esses valores. Marca de seleção para esses valores.
Chaves de segurança do FIDO 2.0 Marca de seleção para esses valores. Marca de seleção para esses valores.
Aplicativo Microsoft Authenticator (sem senha) Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
Principais funcionalidades
SSO para recursos de nuvem Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
Recursos de SSO a locais Marca de seleção para esses valores. Marca de seleção para esses valores.
Acesso condicional
(Exigir que dispositivos sejam marcados como em conformidade)
(Deve ser gerenciado pelo MDM)
Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
Acesso condicional
(Requer dispositivos que tenham ingressado no Microsoft Azure AD Híbrido)
Marca de seleção para esses valores.
Redefinição de senha self-service a partir da tela de logon do Windows Marca de seleção para esses valores. Marca de seleção para esses valores.
Redefinição de PIN do Windows Hello Marca de seleção para esses valores. Marca de seleção para esses valores.
Enterprise State Roaming entre dispositivos Marca de seleção para esses valores. Marca de seleção para esses valores.

Registro do Azure AD

Dispositivos registrados geralmente são gerenciados com Microsoft Intune. Os dispositivos são registrados no Intune de várias maneiras, dependendo do sistema operacional.

Os dispositivos registrados no Azure AD fornecem suporte para BYOD (traga seus próprios dispositivos) e dispositivos corporativos para SSO para recursos de nuvem. O acesso a recursos é baseado nas Políticas de acesso condicional do Azure AD aplicadas ao dispositivo e ao usuário.

Registro de dispositivos

Dispositivos registrados geralmente são gerenciados com Microsoft Intune. Os dispositivos são registrados no Intune de várias maneiras, dependendo do sistema operacional.

O BYOD e o dispositivo móvel de propriedade corporativa são registrados por usuários que instalam o aplicativo do portal da empresa.

Se o registro de seus dispositivos for a melhor opção para sua organização, consulte os seguintes recursos:

Ingresso no Azure AD

O ingresso no Azure AD permite que você faça a transição para um modelo de nuvem primeiro com o Windows. Ele fornecerá uma ótima base se você estiver planejando modernizar o gerenciamento de dispositivos e reduzir os custos de TI relacionados a dispositivos. O ingresso no Azure AD funciona somente com dispositivos Windows 10. Considere-o como a primeira opção para novos dispositivos.

No entanto, os dispositivos ingressados no Azure AD podem fazer SSO para recursos locais quando eles estão na rede da organização, podem se autenticar em servidores locais, como arquivos, impressão e outros aplicativos.

Se essa for a melhor opção para sua organização, consulte os seguintes recursos:

Provisionamento do ingresso no Azure AD em seus dispositivos

Para provisionar o ingresso no Azure AD, você tem as seguintes abordagens:

Se você tiver o Windows 10 Professional ou o Windows 10 Enterprise em um dispositivo, a experiência usará como padrão o processo de instalação de dispositivos de propriedade da empresa.

Escolha seu procedimento de implantação após uma comparação cuidadosa dessas abordagens.

Você pode determinar que o ingresso no Azure AD é a melhor solução para um dispositivo e que o dispositivo pode já estar em estados diferentes. Aqui estão as considerações de atualização.

Estado atual do dispositivo Estado do dispositivo desejado Como fazer
Domínio local ingressado Ingresso no AD do Azure Desassociar o dispositivo do domínio local antes de ingressar no Azure AD
Ingresso híbrido no Azure AD Ingresso no AD do Azure Desassociar o dispositivo do domínio local e do Azure AD antes de ingressar no Azure AD
Azure AD registrado Ingresso no AD do Azure Cancelar o registro do dispositivo antes de ingressar no Azure AD

Ingresso no Azure AD Híbrido

Caso tenha um ambiente local do Active Directory e queira ingressar computadores adicionados ao domínio no Active Directory, é possível fazer isso com o ingresso no Azure AD híbrido. Ele dá suporte a uma ampla variedade de dispositivos Windows, incluindo dispositivos Windows atuais e de nível inferior do Windows.

A maioria das organizações já tem dispositivos ingressados no domínio e os gerencia via Política de Grupo ou System Center Configuration Manager (SCCM). Nesse caso, é recomendável configurar o ingresso híbrido do Azure AD para começar a obter benefícios e aproveitar o investimento existente.

Se o ingresso no Azure AD for a melhor opção para sua organização, consulte os seguintes recursos:

Provisionamento do ingresso no Azure AD híbrido em seus dispositivos

Revisar sua infraestrutura de identidade. O Azure AD Connect fornece um assistente para configurar o ingresso no Azure AD híbrido:

Se a instalação da versão requerida do Azure AD Connect não for uma opção para você, confira como configurar manualmente o ingresso no Azure AD híbrido.

Observação

O dispositivo Windows 10 ingressado no domínio local tenta ingressar automaticamente no Azure AD para se tornar ingressado no Azure AD híbrido por padrão. Isso só terá sucesso se você tiver configurado o ambiente certo.

Você pode determinar que o ingresso no Azure AD híbrido é a melhor solução para um dispositivo e que o dispositivo pode já estar em um estado diferente. Aqui estão as considerações de atualização.

Estado atual do dispositivo Estado do dispositivo desejado Como fazer
Ingresso no domínio local Ingresso híbrido no Azure AD Usar o Azure AD Connect ou AD FS para ingressar no Azure
Ingressado no grupo de trabalho local ou novo Ingresso híbrido no Azure AD Com suporte com o Windows AutoPilot. Caso contrário, o dispositivo precisa ser ingressado no domínio local antes do ingresso no Azure AD híbrido
Adicionado ao Azure AD Ingresso híbrido no Azure AD Desingresse do Azure AD, que o coloca no grupo de trabalho local ou no novo estado.
Registrado no Azure AD Ingresso híbrido no Azure AD Depende da versão do Windows. Veja estas considerações.

Gerenciar seus dispositivos

Depois de registrar ou ingressar seus dispositivos no Azure AD, use o portal do Azure como um local central para gerenciar suas identidades de dispositivo. A página de dispositivos do Azure Active Directory permite que você:

Certifique-se de manter o ambiente limpo gerenciando dispositivos obsoletose concentre seus recursos no gerenciamento de dispositivos atuais.

Ferramentas de gerenciamento de dispositivos com suporte

Os administradores podem proteger e controlar ainda mais esses dispositivos registrados e ingressados usando ferramentas de gerenciamento de dispositivos adicionais. Essas ferramentas fornecem um meio de impor configurações necessárias à organização, como exigir que o armazenamento seja criptografado, complexidade de senha, instalações e atualizações de software.

Examine as plataformas com suporte e sem suporte para dispositivos integrados:

Ferramentas de gerenciamento de dispositivo Azure AD registrado Ingresso no Azure AD Ingresso no Azure AD Híbrido
Gerenciamento de Dispositivos Móveis (MDM)
Exemplo: Microsoft Intune
Marca de seleção para esses valores. Marca de seleção para esses valores. Marca de seleção para esses valores.
Gerenciamento em conjunto com o Microsoft Intune e o Microsoft Endpoint Configuration Manager
(Windows 10 e superior)
Marca de seleção para esses valores. Marca de seleção para esses valores.
Política de grupo
(Somente Windows)
Marca de seleção para esses valores.

Recomendamos que você considere Microsoft Intune MAM (gerenciamento de aplicativo móvel) com ou sem gerenciamento de dispositivo para dispositivos IOS ou Android registrados.

Os administradores também podem implantar as plataformas de VDI (Virtual Desktop Infrastructure) que hospedam sistemas operacionais Windows em suas organizações para simplificar o gerenciamento e reduzir os custos por meio de consolidação e centralização de recursos.

Solucionar problemas de identidades de dispositivos

Se estiver com problemas para concluir o ingresso no Azure AD híbrido de dispositivos Windows unidos ao domínio, confira:

Próximas etapas