Registro de dispositivos Windows no MDM

No primeiro mundo da nuvem de hoje, os departamentos de TI corporativos querem cada vez mais permitir que os funcionários usem seus próprios dispositivos ou até mesmo escolher e comprar dispositivos corporativos. Conectar seus dispositivos ao trabalho facilita o acesso aos recursos da sua organização, como aplicativos, rede corporativa e email.

Observação

Quando você conecta seu dispositivo usando o registro de MDM (gerenciamento de dispositivo móvel), sua organização pode impor determinadas políticas em seu dispositivo.

Conectar dispositivos Windows de propriedade corporativa

Você pode conectar dispositivos corporativos para funcionar juntando o dispositivo a um domínio do Active Directory ou a um domínio Microsoft Entra. O Windows não requer uma conta microsoft pessoal em dispositivos ingressados em Microsoft Entra ID ou um domínio Active Directory local.

active directory Microsoft Entra entrada.

Observação

Para dispositivos ingressados no Active Directory local, consulte Registro de política de grupo.

Conectar seu dispositivo a um domínio Microsoft Entra (ingressar Microsoft Entra ID)

Todos os dispositivos Windows podem ser conectados a um domínio Microsoft Entra. Esses dispositivos podem ser conectados durante o OOBE. Além disso, os dispositivos de área de trabalho podem ser conectados a um domínio Microsoft Entra usando o aplicativo Configurações.

Experiência fora de caixa

Para ingressar em um domínio:

  1. Selecione Meu trabalho ou a escola o possui e selecione Avançar.

    oobe – criação de conta local

  2. Selecione Ingressar Microsoft Entra ID e selecione Avançar.

    escolha o domínio ou Microsoft Entra ID

  3. Digite seu nome de usuário Microsoft Entra. Esse nome de usuário é o endereço de email que você usa para fazer logon em Microsoft Office 365 e serviços semelhantes.

    Se o locatário for somente nuvem, sincronização de hash de senha ou locatário de autenticação de passagem, essa página será alterada para mostrar a identidade visual personalizada da organização e você poderá inserir sua senha diretamente nesta página. Se o locatário fizer parte de um domínio federado, você será redirecionado para o servidor de federação local da organização, como Serviços de Federação do Active Directory (AD FS) (AD FS) para autenticação.

    Com base na política de TI, você também pode ser solicitado a fornecer um segundo fator de autenticação neste momento.

    Se o locatário Microsoft Entra tiver o registro automático configurado, seu dispositivo também será registrado no MDM durante esse fluxo. Para obter mais informações, confira estas etapas. Se o locatário não estiver configurado para o registro automático, você deverá passar pelo fluxo de registro uma segunda vez para conectar seu dispositivo ao MDM. Depois de concluir o fluxo, seu dispositivo será conectado ao domínio Microsoft Entra da sua organização.

    Microsoft Entra entrada durante o OOBE.

Usar o aplicativo Configurações

Para criar uma conta local e conectar o dispositivo:

  1. Inicie o aplicativo Configurações.

    tela que exibe as configurações do Windows

  2. Em seguida, navegue até Contas.

    escolher contas de configurações do Windows

  3. Navegue até Acessar trabalho ou escola.

    escolher a opção de acesso ao trabalho ou à escola

  4. Selecione Conectar.

    Opção de se conectar ao trabalho ou à escola

  5. Em Ações Alternativas, selecione Ingressar neste dispositivo para Microsoft Entra ID.

    opção de ingressar na conta do trabalho ou da escola para Microsoft Entra ID

  6. Digite seu nome de usuário Microsoft Entra. Esse nome de usuário é o endereço de email que você usa para fazer logon em Office 365 e serviços semelhantes.

    Microsoft Entra entrada usando o aplicativo Configurações.

    Se o locatário for somente nuvem, sincronização de hash de senha ou locatário de autenticação de passagem, essa página será alterada para mostrar a identidade visual personalizada da organização e você poderá inserir sua senha diretamente nesta página. Se o locatário fizer parte de um domínio federado, você será redirecionado para o servidor de federação local da organização, como o AD FS, para autenticação.

    Com base na política de TI, você também pode ser solicitado a fornecer um segundo fator de autenticação neste momento.

    Se o locatário Microsoft Entra tiver o registro automático configurado, seu dispositivo também será registrado no MDM durante esse fluxo. Para obter mais informações, consulte esta postagem do blog. Se o locatário não estiver configurado para o registro automático, você deverá passar pelo fluxo de registro uma segunda vez para conectar seu dispositivo ao MDM.

    Depois de chegar ao final do fluxo, seu dispositivo deve estar conectado ao domínio Microsoft Entra da sua organização. Agora você pode sair da sua conta atual e entrar usando seu nome de usuário Microsoft Entra.

    tela de entrada corporativa

Ajuda para se conectar a um domínio Microsoft Entra

Há algumas instâncias em que seu dispositivo não pode ser conectado a um domínio Microsoft Entra.

Problema de conexão Descrição
Seu dispositivo está conectado a um domínio Microsoft Entra. Seu dispositivo só pode ser conectado a um único domínio Microsoft Entra por vez.
Seu dispositivo já está conectado a um domínio do Active Directory. Seu dispositivo pode ser conectado a um domínio Microsoft Entra ou a um domínio do Active Directory. Você não pode se conectar a ambos simultaneamente.
Seu dispositivo já tem um usuário conectado a uma conta de trabalho. Você pode se conectar a um domínio Microsoft Entra ou conectar-se a uma conta corporativa ou escolar. Você não pode se conectar a ambos simultaneamente.
Você está conectado como um usuário padrão. Seu dispositivo só pode ser conectado a um domínio Microsoft Entra se você estiver conectado como um usuário administrativo. Você deve alternar para uma conta de administrador para continuar.
Seu dispositivo já é gerenciado pelo MDM. A conexão com Microsoft Entra ID fluxo tentará registrar seu dispositivo no MDM se o locatário Microsoft Entra tiver um ponto de extremidade MDM pré-configurado. Seu dispositivo deve ser desenrollado do MDM para poder se conectar a Microsoft Entra ID nesse caso.
Seu dispositivo está executando a edição Home. Esse recurso não está disponível na edição do Windows Home, portanto, você não pode se conectar a um domínio Microsoft Entra. Você deve atualizar para a edição Pro, Enterprise ou Education para continuar.

Conectar dispositivos de propriedade pessoal

Dispositivos de propriedade pessoal, também conhecidos como bring your own device (BYOD), podem ser conectados a uma conta corporativa ou escolar ou ao MDM. Dispositivos Windows não exigem uma conta microsoft pessoal em dispositivos para se conectar ao trabalho ou à escola.

Todos os dispositivos Windows podem ser conectados a uma conta corporativa ou escolar. Você pode se conectar a uma conta corporativa ou escolar por meio do aplicativo Configurações ou por meio de qualquer um dos vários aplicativos de Plataforma Universal do Windows (UWP), como os aplicativos universais do Office.

Registrar dispositivo no Microsoft Entra ID e registrar-se no MDM

Para criar uma conta local e conectar o dispositivo:

  1. Inicie o aplicativo Configurações e selecione Contas>Iniciar>Contas de Configurações>.

    tela de configurações do Windows

  2. Navegue até Acessar trabalho ou escola.

    opção do usuário de acessar o trabalho ou a escola

  3. Selecione Conectar.

    botão conectar para acessar a opção de trabalho ou escola.

  4. Digite seu nome de usuário Microsoft Entra. Esse nome de usuário é o endereço de email que você usa para fazer logon em Office 365 e serviços semelhantes.

    sincronizar o trabalho ou a conta da escola para Azure AD.

  5. Se o locatário for apenas na nuvem, sincronização de hash de senha ou locatário de autenticação de passagem, essa página será alterada para mostrar a identidade visual personalizada da organização e poderá inserir sua senha diretamente na página. Se o locatário fizer parte de um domínio federado, você será redirecionado para o servidor de federação local da organização, como o AD FS, para autenticação.

    Com base na política de TI, você também pode ser solicitado a fornecer um segundo fator de autenticação neste momento.

    Se o locatário Microsoft Entra tiver o registro automático configurado, seu dispositivo também será registrado no MDM durante esse fluxo. Para obter mais informações, consulte esta postagem do blog. Se o locatário não estiver configurado para o registro automático, você deverá passar pelo fluxo de registro uma segunda vez para conectar seu dispositivo ao MDM.

    Você pode ver a página status que mostra o progresso do dispositivo que está sendo configurado.

    entrada corporativa – tela e opção

  6. Depois de concluir o fluxo, sua conta Microsoft será conectada à sua conta corporativa ou de estudante.

    conta adicionada com êxito.

Ajuda para conectar dispositivos de propriedade pessoal

Há algumas instâncias em que seu dispositivo pode não ser capaz de se conectar ao trabalho.

Mensagem de erro Descrição
Seu dispositivo já está conectado à nuvem da sua organização. Seu dispositivo já está conectado a Microsoft Entra ID, uma conta corporativa ou escolar ou um domínio do AD.
Não foi possível encontrar sua identidade na nuvem da sua organização. O nome de usuário inserido não foi encontrado em seu locatário Microsoft Entra.
Seu dispositivo já está sendo gerenciado por uma organização. Seu dispositivo já é gerenciado por MDM ou Microsoft Configuration Manager.
Você não tem os privilégios certos para executar essa operação. Fale com seu administrador. Você não pode registrar seu dispositivo no MDM como um usuário padrão. Você deve estar em uma conta de administrador.
Não foi possível autodiscover um ponto de extremidade de gerenciamento que corresponda ao nome de usuário inserido. Verifique seu nome de usuário e tente novamente. Se você conhece a URL no ponto de extremidade de gerenciamento, insira-a. Você precisa fornecer a URL do servidor para seu MDM ou marcar a ortografia do nome de usuário inserido.

Registrar-se somente no gerenciamento de dispositivos

Todos os dispositivos Windows podem ser conectados ao MDM. Você pode se conectar a um MDM por meio do aplicativo Configurações. Para criar uma conta local e conectar o dispositivo:

  1. Inicie o aplicativo Configurações.

    tela que exibe as configurações do windows

  2. Em seguida, navegue até Contas.

    página de contas de configurações do windows.

  3. Navegue até Acessar trabalho ou escola.

    acesso ao trabalho ou à escola.

  4. Selecione o link Registrar somente no gerenciamento de dispositivos .

    conectar-se à tela do trabalho ou da escola

  5. Digite seu endereço de email de trabalho.

    configurar a tela de conta de trabalho ou de estudante

  6. Se o dispositivo encontrar um ponto de extremidade que só dá suporte à autenticação local, essa página será alterada e solicitará sua senha. Se o dispositivo encontrar um ponto de extremidade MDM que dê suporte à autenticação federada, você será apresentado com uma nova janela que solicitará mais informações de autenticação.

    Com base na política de TI, você também pode ser solicitado a fornecer um segundo fator de autenticação neste momento. Você pode ver o progresso do registro na tela.

    tela para configurar seu dispositivo

    Depois de concluir o fluxo, seu dispositivo será conectado ao MDM da sua organização.

Os dispositivos Windows podem estar conectados ao trabalho usando um link profundo. Os usuários podem selecionar ou abrir um link em um formato específico de qualquer lugar no Windows e ser direcionados para a nova experiência de registro.

O link profundo usado para conectar seu dispositivo ao trabalho usa o seguinte formato.

ms-device-enrollment:?mode={mode_name}:

Parâmetro Descrição Valor com suporte para Windows
modo Descreve qual modo é executado no aplicativo de registro. MDM (mobile Gerenciamento de Dispositivos), Adding Work Account (AWA) e Microsoft Entra ingressados.
nomedousuário Especifica o endereço de email ou UPN do usuário que deve ser registrado no MDM. string
Servername Especifica a URL do servidor MDM usada para registrar o dispositivo. string
accesstoken Parâmetro personalizado para servidores MDM a serem usados conforme acharem adequado. Normalmente, o valor desse parâmetro pode ser usado como um token para validar a solicitação de registro. string
deviceidentifier Parâmetro personalizado para servidores MDM a serem usados conforme acharem adequado. Normalmente, o valor desse parâmetro pode ser usado para passar um identificador de dispositivo exclusivo. GUID
tenantidentifier Parâmetro personalizado para servidores MDM a serem usados conforme acharem adequado. Normalmente, o valor desse parâmetro pode ser usado para identificar a qual locatário o dispositivo ou o usuário pertence. GUID ou cadeia de caracteres
Propriedade Parâmetro personalizado para servidores MDM a serem usados conforme acharem adequado. Normalmente, o valor desse parâmetro pode ser usado para determinar se o dispositivo é BYOD ou Corp Owned. 1, 2 ou 3. Quando "1" significa que a propriedade é desconhecida, "2" significa que o dispositivo é propriedade pessoal e "3" significa que o dispositivo é de propriedade corporativa

Observação

Os links profundos funcionam apenas com navegadores da Internet Explorer ou Microsoft Edge. Exemplos de URI que podem ser usados para se conectar ao MDM usando um link profundo:

  • ms-device-enrollment:?mode=mdm
  • ms-device-enrollment:?mode=mdm&nome de usuário=someone@example.com&servername=https://example.server.com

Para conectar seus dispositivos ao MDM usando links profundos:

  1. Crie um link para iniciar o aplicativo de registro interno usando o URI ms-device-enrollment:?mode=mdm e o texto de exibição amigável ao usuário, como Clique aqui para conectar o Windows ao trabalho:

    Este link inicia o fluxo equivalente à opção Registrar na opção de gerenciamento de dispositivo.

    • Os administradores de TI podem adicionar esse link a um email de boas-vindas que os usuários podem selecionar para se inscrever no MDM.

      usando o deeplink de registro no email.

      Observação

      Verifique se os filtros de email não bloqueiam links profundos.

    • Os administradores de TI também podem adicionar esse link a uma página interna da Web à qual os usuários se referem às instruções de registro.

  2. Depois de selecionar o link ou executá-lo, o Windows iniciará o aplicativo de registro em um modo especial que só permite registros MDM (semelhante à opção Registrar no gerenciamento de dispositivos).

    Digite seu endereço de email de trabalho.

    configurar uma tela de conta de trabalho ou de estudante

  3. Se o dispositivo encontrar um ponto de extremidade que só dá suporte à autenticação local, essa página será alterada e solicitará sua senha. Se o dispositivo encontrar um ponto de extremidade MDM que dê suporte à autenticação federada, você será apresentado com uma nova janela que solicitará mais informações de autenticação. Com base na política de TI, você também pode ser solicitado a fornecer um segundo fator de autenticação neste momento.

    Depois de concluir o fluxo, seu dispositivo será conectado ao MDM da sua organização.

    tela de entrada corporativa

Gerenciar conexões

Para gerenciar suas conexões corporativas ou escolares, selecione Configurações>Contas>Acessar trabalho ou escola. Suas conexões são exibidas nesta página e a seleção de uma expande as opções para essa conexão.

gerenciando a conta do trabalho ou da escola.

Informações

O botão Informações pode ser encontrado em conexões de trabalho ou de escola envolvendo MDM. Este botão está incluído nos seguintes cenários:

  • Conectar seu dispositivo a um domínio Microsoft Entra que tenha o registro automático no MDM configurado.
  • Conectar seu dispositivo a uma conta corporativa ou escolar que tenha o registro automático no MDM configurado.
  • Conectando seu dispositivo ao MDM.

Selecionar o botão Informações abre uma nova página no aplicativo Configurações que fornece detalhes sobre sua conexão MDM. Você pode exibir as informações de suporte da sua organização (se configurada) nesta página. Você também pode iniciar uma sessão de sincronização que força seu dispositivo a se comunicar com o servidor MDM e buscar quaisquer atualizações para as políticas, se necessário.

A seleção do botão Informações mostra uma lista de políticas e aplicativos de linha de negócios instalados pela sua organização. Aqui está uma captura de tela de exemplo.

informações de trabalho ou de escola.

Desconectar

O botão Desconectar pode ser encontrado em todas as conexões de trabalho. Geralmente, selecionar o botão Desconectar remove a conexão do dispositivo. Há algumas exceções para essa funcionalidade:

  • Dispositivos que impõem a política AllowManualMDMUnenrollment não permitem que os usuários removam registros de MDM. Essas conexões devem ser removidas por um comando unenroll iniciado pelo servidor.
  • Em dispositivos móveis, você não pode se desconectar do Microsoft Entra ID. Essas conexões só podem ser removidas limpando o dispositivo.

Aviso

A desconexão pode resultar na perda de dados no dispositivo.

Coletando logs de diagnóstico

Você pode coletar logs de diagnóstico em torno de suas conexões de trabalho acessando otrabalho ou a escola acesso decontas> de configurações> e selecionando o link Exportar seus logs de gerenciamento em Configurações Relacionadas. Em seguida, selecione Exportar e siga o caminho exibido para recuperar seus arquivos de log de gerenciamento.

Você pode obter o relatório de diagnóstico avançado acessando otrabalho ou a escola do Acesso deContas> de Configurações> e selecionando o botão Informações. Na parte inferior da página Configurações, você verá o botão para criar um relatório.

Para obter mais informações, confira Coletar logs de MDM.