Partilhar via


Microsoft Entra implantação direcionada de união híbrida

Você pode validar o seu planeamento para e os pré-requisitos para dispositivos a aderir de forma híbrida ao Microsoft Entra, utilizando uma implantação direcionada, antes de ativá-la em toda a organização. Este artigo explica como realizar uma implantação direcionada da associação híbrida do Microsoft Entra.

Atenção

Tenha cuidado ao modificar valores no Ative Directory. Fazer alterações em um ambiente estabelecido pode ter consequências indesejadas.

Implantação direcionada da associação híbrida do Microsoft Entra em dispositivos Windows

Para dispositivos que executam o Windows 10, a versão mínima suportada é o Windows 10 (versão 1607) para fazer a associação híbrida. Como prática recomendada, atualize para a versão mais recente do Windows 10 ou 11.

Para fazer uma implantação direcionada da associação híbrida do Microsoft Entra em dispositivos Windows, você precisa:

  1. Limpe a entrada SCP (Ponto de Conexão de Serviço) do Ative Directory do Windows Server se ela existir.
  2. Configure o registo do cliente para SCP nos computadores ligados ao domínio usando um Objeto de Diretiva de Grupo (GPO).
  3. Se estiver a usar os Serviços de Federação do Active Directory (AD FS), também deverá configurar a definição do registo do lado do cliente para SCP no servidor AD FS usando um GPO.
  4. Talvez seja necessário personalizar as opções de sincronização no Microsoft Entra Connect para habilitar a sincronização de dispositivos.

Dica

O SCP pode ser configurado localmente no registro do dispositivo em determinadas situações. Se o dispositivo encontrar um valor no registro, ele usará essa configuração, caso contrário, ele consultará o diretório para o SCP e tentará associação híbrida.

Limpar o SCP do Ative Directory do Microsoft Windows Server

Use o Editor de Interfaces de Serviços do Ative Directory (ADSI Edit) para modificar os objetos SCP no Ative Directory do Microsoft Windows Server.

  1. Inicie a aplicação de ambiente de trabalho ADSI Edit a partir de um posto de trabalho administrativo ou de um controlador de domínio como Administrador Empresarial.
  2. Conecte-se ao contexto de nomenclatura de configuração do do seu domínio.
  3. Navegue até CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Clique com o botão direito do rato no objeto folha CN=62a0ff2e-97b9-4513-943f-0d221bd30080 e selecione Propriedades.
    1. Selecione palavras-chave na janela Editor de Atributos e selecione Editar.
    2. Selecione os valores de azureADId e azureADName (um de cada vez) e selecione Remover.
  5. Feche ADSI Edit.

Configurar definições de registro do lado cliente para SCP

Use o exemplo a seguir para criar um GPO (Objeto de Diretiva de Grupo) para implantar uma configuração do Registro configurando uma entrada SCP no registro de seus dispositivos.

  1. Abra um console de Gerenciamento de Diretiva de Grupo e crie um novo Objeto de Diretiva de Grupo em seu domínio.
    1. Forneça um nome ao GPO recém-criado (por exemplo, ClientSideSCP).
  2. Edite o GPO e localize o seguinte caminho: Configuração do Computador>Preferências>Configurações do Windows>Registro.
  3. Clique com o botão direito do rato no Registo e selecione Novo Item de Registo>.
    1. Na guia Geral, configure o seguinte.
      1. Ação: Update.
      2. Hive: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: O identificador global exclusivo (GUID) ou ID do Locatário do seu locatário do Microsoft Entra, que pode ser encontrado em Identidade>Visão Geral>Propriedades>ID do Locatário.
    2. Selecione OK.
  4. Clique com o botão direito do rato no Registo e selecione Novo Item de Registo>.
    1. Na aba Geral, configure o seguinte.
      1. Ação: Update.
      2. Subsistema: HKEY_LOCAL_MACHINE.
      3. Caminho da chave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nome do valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Dados de valor: o seu nome de domínio verificado se estiver a usar um ambiente federado, como o ADFS. Seu nome de domínio verificado ou seu nome de domínio onmicrosoft.com, por exemplo, contoso.onmicrosoft.com se você estiver usando um ambiente gerenciado.
    2. Selecione OK.
  5. Feche o editor do GPO recém-criado.
  6. Vincule o GPO recém-criado à unidade organizacional (UO) correta que contém computadores associados ao domínio que pertencem à sua população de implementação controlada.

Definir definições do AD FS

Se sua ID do Microsoft Entra estiver federada com o AD FS, primeiro você precisará configurar o SCP do lado do cliente usando as instruções mencionadas anteriormente, vinculando o GPO aos servidores AD FS. O objeto SCP define a fonte de autoridade para objetos de dispositivo. Pode ser local ou Microsoft Entra ID. Quando o SCP do lado do cliente é configurado para AD FS, a origem dos objetos de dispositivo é estabelecida como Microsoft Entra ID.

Observação

Se você não conseguiu configurar o SCP do lado do cliente em seus servidores AD FS, a origem das identidades de dispositivo será considerada como local. O AD FS começará a excluir objetos de dispositivo do diretório local após o período estipulado definido no atributo "MaximumInactiveDays" do Registro de Dispositivo do AD FS. Os objetos de Registro de Dispositivo do AD FS podem ser encontrados usando o cmdlet Get-AdfsDeviceRegistration.

Por que um dispositivo pode estar em um estado pendente

Quando você configura uma tarefa de ingresso híbrido do Microsoft Entra no Microsoft Entra Connect Sync para seus dispositivos locais, a tarefa sincroniza objetos de dispositivo com a ID do Microsoft Entra e define temporariamente o estado registrado dos dispositivos como "pendente" antes que o dispositivo conclua o registro do dispositivo. Esse estado pendente ocorre porque o dispositivo deve ser adicionado ao diretório do Microsoft Entra antes de poder ser registrado. Para obter mais informações sobre o processo de registo de dispositivos, consulte Como funciona: registo de dispositivos.

Pós-validação

Depois de verificar se tudo funciona conforme o esperado, você pode registrar automaticamente o restante dos seus dispositivos Windows com o Microsoft Entra ID. Automatize a associação híbrida do Microsoft Entra configurando o SCP usando o Microsoft Entra Connect.