Ingresso híbrido do Azure AD

Last Updated: 27/05/2021By

Até hoje, um ambiente híbrido (conectando seu AD local ao Azure AD) é considerado o padrão ouro por muitos e é amplamente usado por muitas empresas e organizações.

Existe uma razão para isso. Você está obtendo o melhor dos dois mundos: alta escalabilidade e flexibilidade sem prejudicar sua segurança, excelente gerenciamento de dispositivos no local e na nuvem, suporte a aplicativos de linha de negócios e muito mais …

Se você é uma das pessoas que escolheu sabiamente usar esse modelo de infraestrutura, com certeza vai se beneficiar de algo chamado Hybrid Azure AD Join.

Agora … eu sei, a palavra é um pouco complicada, mas quando você conhecer essa ferramenta útil, verá o quanto ela pode ajudar no gerenciamento de dispositivos em um ambiente híbrido.

O que é a junção Hybrid Azure AD

Quando você ‘ingressar híbrido’ em um dispositivo, significa que ele está visível no AD local e no Azure AD. Agora você também pode

 

gerenciá-los em ambos. Dessa forma, você pode usar ferramentas como logon único e acesso condicional e, ao mesmo tempo, aplicar GPOs e outros utilitários locais.

Além disso, inscrevendo-os no Intune , você poderá gerenciar os dispositivos ainda mais e fornecer a eles alguns recursos extras de nuvem.

Configurando a junção Hybrid Azure AD

Vamos começar a ver como configuraremos a junção Hybrid Azure AD. Primeiro, veremos os requisitos para esta demonstração específica e, em seguida, veremos como fazê-la funcionar.

Requisitos

Nosso ambiente de teste consistirá em:

  • Um Windows Server 2016
    • Configurar como controlador de domínio
    • Sincronizado com um Azure AD (com AD Connect)
    • Ter o sufixo UPN adequado definido com um domínio personalizado correspondente no Azure
  • Um dispositivo Windows 10
    • Ingressou no domínio (NÃO no Azure AD, apenas no local)

Você também deseja garantir que tenha acesso a um Administrador local e a um Administrador Global do Azure AD.

Se você quiser testar ainda mais seus recursos do dispositivo híbrido do Azure AD após a configuração, uma licença do Intune é necessária.

Configurar o Azure AD Connect

A primeira etapa é abrir seu Azure AD Connect:


Depois disso, você verá uma lista completa de opções que você pode configurar, a que estamos procurando é: Configurar opções do dispositivo .

Depois disso, clique em Avançar na página Visão geral.

Agora você será solicitado a inserir suas credenciais de Administrador Global do Azure AD , preencha-as.

Agora, você adivinhou, selecione Configurar associação híbrida do Azure AD .


Depois disso, selecione as florestas que você deseja configurar na tela de configuração do SCP:
Escolha Azure Active Directory como Serviço de Autenticação. Clique em Adicionar para adicionar seu administrador local (você será solicitado a fazer login como um administrador corporativo).

01

Depois disso, você poderá escolher quais versões do Windows deseja configurar. Você pode escolher um deles, ou ambos (neste caso, examinaremos apenas dispositivos W10, acesse este link para ver como lidar com dispositivos de nível inferior).

Por fim, clique em Configurar e, depois de um pouco de espera, você será saudado com esta bela vista:


Verificando nossa configuração

Agora temos que nos certificar de que nossa configuração de junção Hybrid Azure AD foi bem-sucedida. Uma vez que os dispositivos Windows 10 são unidos híbridos automaticamente, a ferramenta mais valiosa que temos é nossa paciência. Falando por experiência própria, isso pode levar algum tempo (pelo menos 5 minutos ou mais). Reinicie o seu dispositivo e vá em frente e pegue uma boa xícara de café, você merece!

Sério, existem várias maneiras de verificar se nosso dispositivo é híbrido.
Primeiro: cmd.

Abra o prompt de comando e digite: dsregcmd / status


Se disser AzureAdJoined: YES , você está no meio do caminho! Se ainda disser NÃO após reiniciar e aguardar mais 10 minutos, tente seguir este guia de solução de problemas .

A chave aqui é verificar se há erros nos logs do Visualizador de eventos e descobrir o que deu errado (os logs de junção híbrida estão localizados em  Log de aplicativos e serviços  >  Microsoft  >  Windows  >  Registro de dispositivo do usuário ).
Por exemplo, o erro 0x801c03f2 significa que os dispositivos que você está tentando fazer o Hybrid Join não estão no escopo do seu AD Sync. Portanto, vá em frente e altere a filtragem de Domínio / UO no Azure AD Connect e inclua-os.

Agora, para verificar a lista de dispositivos do Azure AD.
Vá para o seu Azure AD Sincronizado e clique em Dispositivos . Lá, você poderá ver seu dispositivo como Hybrid Azure AD, MAS ele também deve ser registrado! Se eles não estiverem registrados, você ainda terá que esperar mais alguns minutos.

Tente reiniciar e fazer login / logout algumas vezes para dar um empurrãozinho neste processo.

02

Assim que o dispositivo for registrado, pronto! Agora você pode gerenciar seu dispositivo no AD local e no Azure AD.

Ingresso híbrido do Azure AD, inscrição automática no Intune

Bem-vindo à  nosso guia de associação do Hybrid Azure AD.

Antes de começarmos, certifique-se de configurar o ambiente Intune para aceitar o registro automático  (licenciamento e escopo do MDM).

Vamos direto ao assunto. Agora que nosso dispositivo W10 está registrado como um dispositivo híbrido associado ao Azure AD, podemos começar a fazer coisas com ele. Para começar a gerenciar este dispositivo por meio do Intune, ele deve ser registrado primeiro. Isso pode ser feito manualmente, mas como somos geeks profissionais de computador (e um pouco preguiçosos), queremos que isso seja feito automaticamente. Vamos começar testando isso em um único dispositivo.

Testando para um único dispositivo

Para dar ao nosso dispositivo híbrido do Azure AD um teste de fogo, editaremos suas políticas de grupo locais para se inscrever automaticamente no Intune.

Em primeiro lugar, comece pressionando Windows + R (abrindo a janela Executar ) e digite gpedit.msc .
Para executar este comando, você precisa estar logado como administrador.


Agora estamos no Editor de Diretiva de Grupo Local.
Vá para Configuração do computador> Modelos administrativos> Componentes do Windows> MDM.
Aqui você encontrará duas configurações, das quais selecionamos a primeira.
Defina Habilitar inscrição automática de MDM usando credenciais padrão do Azure AD como Habilitada .



Como resultado, habilitar isso criará uma tarefa agendada que será executada a cada 5 minutos após a criação.

Nota importante ! Para que esta tarefa criada seja bem-sucedida, você precisará fazer login com um usuário licenciado. Mais especificamente, um usuário licenciado EMS (o registro automático requer uma licença AzureAD + Intune).

Para ver esta tarefa (e solucioná-la, se necessário), abriremos o aplicativo Agendador de Tarefas .
Neste aplicativo, vá para Microsoft> Windows> EnterpriseMgmt. Lá você pode encontrar a tarefa que criou.



No ‘Resultado da última execução’ da tarefa, você pode encontrar códigos de erro que podem aparecer quando ela tenta ser executada.
Se receber o erro 0x80180018 , você tem um problema de licenciamento . Ou você não fez login para o usuário correto ou não atribuiu a licença corretamente.

03

Para verificar agora se a tarefa foi concluída e funcionou, iremos para o portal do Intune .

Em Dispositivos, podemos ver nosso W10 registrado (isso pode levar alguns minutos, então seja paciente).


Você também pode ver isso acessando as configurações de conta do Windows. Lá, em Acesso ao trabalho ou escola , você pode ver a sincronização com o Active Directory e o Intune. Se você não consegue ver o botão ‘ Informações ‘, significa que o dispositivo ainda não foi totalmente registrado.

Testando para vários dispositivos

Embora nosso primeiro teste tenha sido um sucesso, ainda temos muito trabalho a fazer. O método que empregamos anteriormente não é muito útil na maioria dos cenários. Você ainda precisa habilitar manualmente a política local em cada dispositivo, o que é uma tarefa tediosa.

É por isso que agora faremos exatamente a mesma coisa, mas para um grupo de dispositivos. Se adicionarmos mais tarde novos dispositivos a esse grupo, ele será registrado automaticamente (que é o objetivo principal deste guia). Não estamos usando políticas locais para isso, portanto, precisamos acessar nosso controlador de domínio e criar um GPO .

04

Edite o novo GPO que você criou e vá para Configuração do Computador> Políticas> Modelos Administrativos> Componentes do Windows> MDM . Isso é semelhante à política local que editamos anteriormente.

Se, como eu, você não vir a configuração ‘ Habilitar inscrição de MDM automática usando credenciais padrão do Azure AD ‘ (apenas ‘Desabilitar inscrição de MDM’), faça o seguinte:

  • Pesquise por ‘ Modelos administrativos (.admx) para Windows 10’ em seu mecanismo de pesquisa preferido.
  • Clique no resultado que leva ao site oficial da Microsoft (por exemplo, www.microsoft.com/en-us/download/…).
  • Baixe o arquivo .msi do site deles e execute-o (o que instalará os arquivos .admx).
  • Vá para o local onde você acabou de instalar os Modelos Administrativos (padrão: C: \ Arquivos de Programas (x86) \ Microsoft Group Policy \… \ PolicyDefinitions)
  • Copie os arquivos .admx + pelo menos uma ou mais pastas de idioma (com base no idioma do seu controlador de domínio)
  • Cole-os em \\ domain.com \ sysvol \ domain.com \ Policies \ PolicyDefinitions (altere ‘domínio.com’ para o seu próprio nome de domínio)

Pode ser necessário criar a pasta PolicyDefinitions se ela ainda não existir. Se você já tiver uma pasta com arquivos .admx, basta copiar o MDM.admx e o MDM.adml da pasta do idioma e substituí-los pelos existentes.

Agora você deve ser capaz de ver a configuração que mencionamos antes, Habilite -a.


***
ATUALIZAÇÃO
Na versão mais recente, você pode ver algumas configurações extras neste GPO (credenciais do usuário e credenciais do dispositivo). Pelo que li, a configuração de credenciais do usuário é a mais semelhante à que é usada aqui, portanto, recomendo usá-la. Mas se você tiver problemas ao ingressar, mudar para as credenciais do dispositivo pode ser uma solução.
***

Certifique-se de vincular esta política à unidade organizacional correta na qual seus dispositivos estão localizados. Você pode filtrar o GPO para aplicá-lo apenas ao grupo Computadores.

05

Abra o prompt de comando e digite gpudate / force para que suas políticas sejam aplicadas mais rapidamente.

Depois disso, você pode voltar aos nossos testes anteriores para verificar se um dispositivo foi registrado corretamente (portal do Intune ou acesso ao trabalho ou escola).

Agora você pode usar o Intune em seus dispositivos híbridos associados ao Azure AD!
Espero ter ajudado.

Novidades via inbox

Fique por dentro no meu Boletim digital toda semana um conteúdo novo

Leave A Comment