Habilitar dispositivos Windows 10 de domínio a serem gerenciados por Microsoft 365 Business PremiumEnable domain-joined Windows 10 devices to be managed by Microsoft 365 Business Premium

Se a sua organização usa o Windows Active Directory no local, você pode configurar um Microsoft 365 Business Premium para proteger seus dispositivos Windows 10, enquanto ainda mantém o acesso a recursos locais que exigem autenticação local.If your organization uses Windows Server Active Directory on-premises, you can set up Microsoft 365 Business Premium to protect your Windows 10 devices, while still maintaining access to on-premises resources that require local authentication. Para configurar essa proteção, você pode implementar dispositivos ingressados no Azure AD híbridos.To set up this protection, you can implement Hybrid Azure AD joined devices. Esses dispositivos são ingressados no Active Directory local e no Azure Active Directory.These devices are joined to both your on-premises Active Directory and your Azure Active Directory.

Watch: Configure Hybrid Azure Active Directory joinWatch: Configure Hybrid Azure Active Directory join

Este vídeo descreve as etapas de como configurar isso para o cenário mais comum, que também é detalhado nas etapas a seguir.This video describes the steps for how to set this up for the most common scenario, which is also detailed in the steps that follow.

Antes de começarBefore you begin

  • Sincronizar usuários com o Azure AD com o Azure AD Conexão.Synchronize users to Azure AD with Azure AD Connect.
  • Conclua a sincronização da UO (Unidade Organizacional) do Azure A Conexão D.Complete Azure AD Connect Organizational Unit (OU) sync.
  • Certifique-se de que todos os usuários de domínio sincronizados tenham licenças para Microsoft 365 Business Premium.Make sure all the domain users you sync have licenses to Microsoft 365 Business Premium.

Consulte Sincronizar usuários de domínio com a Microsoft para ver as etapas.See Synchronize domain users to Microsoft for the steps.

1. Verifique a autoridade MDM no Intune1. Verify MDM Authority in Intune

Vá para Endpoint Manager e, na página Microsoft Intune, selecione Registro de dispositivo , em seguida, na página Visão geral, certifique-se de que a autoridade MDM seja o Intune.Go to Endpoint Manager and on the Microsoft Intune page, select Device enrollment, then on the Overview page, make sure MDM authority is Intune.

  • Se a autoridade MDM for None, clique na autoridade MDM para defini-la como Intune.If MDM authority is None, click the MDM authority to set it to Intune.
  • Se a autoridade MDM for Microsoft Office 365 ,vá para Dispositivos Registrar dispositivos e use a caixa de diálogo Adicionar autoridade MDM à direita para adicionar autoridade > MDM do Intune (a caixa de diálogo Adicionar Autoridade MDM só estará disponível se a Autoridade MDM estiver definida como Microsoft Office 365). If MDM authority is Microsoft Office 365,go to Devices > Enroll devices and use the Add MDM authority dialog on the right to add Intune MDM authority (the Add MDM Authority dialog is only available if the MDM Authority is set to Microsoft Office 365).

2. Verifique se o Azure AD está habilitado para ingressar em computadores2. Verify Azure AD is enabled for joining computers

  • Vá para o centro de administração em e selecione Azure Active Directory (selecione Mostrar tudo se Azure Active Directory não estiver visível) na https://admin.microsoft.com lista Centros de administração. Go to the admin center at https://admin.microsoft.com and select Azure Active Directory (select Show all if Azure Active Directory is not visible) in the Admin centers list.
  • No centro Azure Active Directory de administração,para Azure Active Directory, escolha Dispositivos e, em seguida, Configurações do dispositivo.In the Azure Active Directory admin center, go to Azure Active Directory , choose Devices and then Device settings.
  • Verificar se os usuários podem ingressar em dispositivos no Azure AD está habilitadoVerify Users may join devices to Azure AD is enabled
    1. Para habilitar todos os usuários, de acordo com All.To enable all users, set to All.
    2. Para habilitar usuários específicos, de acordo com Selected para habilitar um grupo específico de usuários.To enable specific users, set to Selected to enable a specific group of users.
      • Adicione os usuários de domínio desejados sincronizados no Azure AD a um grupo de segurança.Add the desired domain users synced in Azure AD to a security group.
      • Escolha Selecionar grupos para habilitar o escopo de usuário MDM para esse grupo de segurança.Choose Select groups to enable MDM user scope for that security group.

3. Verifique se o Azure AD está habilitado para o MDM3. Verify Azure AD is enabled for MDM

  • Vá para o centro de administração em e selecione Gerenciar Pontos de Extremidade t (selecione Mostrar tudo se Endpoint Manager https://admin.microsoft.com não estiver visível) Go to the admin center at https://admin.microsoft.com and select select Endpoint Managemen t (select Show all if Endpoint Manager is not visible)

  • No centro de administração Microsoft Endpoint Manager, vá para Dispositivos > Windows > Windows Registro Automático de > Registro.In the Microsoft Endpoint Manager admin center, go to Devices > Windows > Windows Enrollment > Automatic Enrollment.

  • Verifique se o escopo do usuário do MDM está habilitado.Verify MDM user scope is enabled.

    1. Para registrar todos os computadores, desmarco como Todos para registrar automaticamente todos os computadores de usuários que estão ingressados no Azure AD e novos computadores quando os usuários adicionarem uma conta de trabalho a Windows.To enroll all computers, set to All to automatically enroll all user computers that are joined to Azure AD and new computers when the users add a work account to Windows.
    2. De definida como Alguns para registrar os computadores de um grupo específico de usuários.Set to Some to enroll the computers of a specific group of users.
      • Adicione os usuários de domínio desejados sincronizados no Azure AD a um grupo de segurança.Add the desired domain users synced in Azure AD to a security group.
      • Escolha Selecionar grupos para habilitar o escopo de usuário MDM para esse grupo de segurança.Choose Select groups to enable MDM user scope for that security group.

4. Crie os recursos necessários4. Create the required resources

A execução das tarefas necessárias para configurar a junção híbrida do Azure AD foi simplificada por meio do uso do cmdlet Initialize-SecMgmtHybirdDeviceEnrollment encontrado no módulo SecMgmt PowerShell.Performing the required tasks to configure hybrid Azure AD join has been simplified through the use of the Initialize-SecMgmtHybirdDeviceEnrollment cmdlet found in the SecMgmt PowerShell module. Quando você invocar esse cmdlet, ele criará e configurará o ponto de conexão de serviço necessário e a política de grupo.When you invoke this cmdlet it will create and configure the required service connection point and group policy.

Você pode instalar este módulo invocando o seguinte de uma instância do PowerShell:You can install this module by invoking the following from an instance of PowerShell:

Install-Module SecMgmt

Importante

É recomendável instalar esse módulo no servidor Windows que executa o Azure AD Conexão.It is recommended that you install this module on the Windows Server running Azure AD Connect.

Para criar o ponto de conexão de serviço necessário e a política de grupo, você invocará o cmdlet Initialize-SecMgmtHybirdDeviceEnrollment.To create the required service connection point and group policy, you will invoke the Initialize-SecMgmtHybirdDeviceEnrollment cmdlet. Você precisará de suas Microsoft 365 Business Premium de administrador global ao executar essa tarefa.You will need your Microsoft 365 Business Premium global admin credentials when performing this task. Quando estiver pronto para criar os recursos, invoque o seguinte:When you are ready to create the resources, invoke the following:

PS C:\> Connect-SecMgmtAccount
PS C:\> Initialize-SecMgmtHybirdDeviceEnrollment -GroupPolicyDisplayName 'Device Management'

O primeiro comando estabelecerá uma conexão com a nuvem da Microsoft e, quando você for solicitado, especifique suas Microsoft 365 Business Premium de administrador global.The first command will establish a connection with the Microsoft cloud, and when you are prompted, specify your Microsoft 365 Business Premium global admin credentials.

  1. No Console de Gerenciamento de Política de Grupo (GPMC), clique com o botão direito do mouse no local onde você deseja vincular a política e selecione Vincular um GPO existente... no menu de contexto.In the Group Policy Management Console (GPMC), right-click on the location where you want to link the policy and select Link an existing GPO... from the context menu.
  2. Selecione a política criada na etapa acima e clique em OK.Select the policy created in the above step, then click OK.

Obter os modelos administrativos mais recentesGet the latest Administrative Templates

Se você não vir a política Habilitar o registro automático do MDM usando credenciais padrão do Azure AD, pode ser porque você não tem o ADMX instalado para Windows 10, versão 1803 ou posterior.If you do not see the policy Enable automatic MDM enrollment using default Azure AD credentials, it may be because you don’t have the ADMX installed for Windows 10, version 1803, or later. Para corrigir o problema, siga estas etapas (Observação: o MDM.admx mais recente é compatível com versões anteriores):To fix the issue, follow these steps (Note: the latest MDM.admx is backwards compatible):

  1. Download: Modelos Administrativos (.admx) para Windows 10 atualização de outubro de 2020 (20H2).Download: Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2).
  2. Instale o pacote em um Controlador de Domínio.Install the package on a Domain Controller.
  3. Navegue, dependendo da versão Modelos Administrativos para a pasta: C:\Arquivos de Programas (x86)\Política de Grupo da Microsoft\Windows 10 atualização de outubro de 2020 (20H2).Navigate, depending on the Administrative Templates version to the folder: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2).
  4. Renomeie a pasta Definições de Política no caminho acima para PolicyDefinitions.Rename the Policy Definitions folder in the above path to PolicyDefinitions.
  5. Copie a pasta PolicyDefinitions para seu compartilhamento SYSVOL, por padrão localizado em C:\Windows\SYSVOL\domain\Policies.Copy the PolicyDefinitions folder to your SYSVOL share, by default located at C:\Windows\SYSVOL\domain\Policies.
    • Se você planeja usar um armazenamento de política central para todo o seu domínio, adicione o conteúdo de PolicyDefinitions lá.If you plan to use a central policy store for your entire domain, add the contents of PolicyDefinitions there.
  6. Caso você tenha vários Controladores de Domínio, aguarde que o SYSVOL replique para que as políticas sejam disponibilizadas.In case you have several Domain Controllers, wait for SYSVOL to replicate for the policies to be available. Este procedimento funcionará para qualquer versão futura dos Modelos Administrativos também.This procedure will work for any future version of the Administrative Templates as well.

Neste ponto, você deve ser capaz de ver a política Habilitar o registro automático do MDM usando credenciais padrão do Azure AD disponíveis.At this point you should be able to see the policy Enable automatic MDM enrollment using default Azure AD credentials available.

Sincronizar usuários de domínio para Microsoft 365 (artigo)Synchronize domain users to Microsoft 365 (article)
Criar um grupo no centro de administração (artigo)Create a group in the admin center (article)
Tutorial: Configure hybrid Azure Active Directory join for managed domains (article)Tutorial: Configure hybrid Azure Active Directory join for managed domains (article)