Home Intune Intune – Registrando Dispositivos ingressados no Domínio

Intune – Registrando Dispositivos ingressados no Domínio

por Avatar photoSérgio Sant'Ana Júnior
por Avatar photoSérgio Sant'Ana Júnior 1,5K visualizações 12 minutos leitura

Muitas empresas estão migrando para a nuvem, mas nem todas estão prontas para deixar o ambiente On-Premises. Com a crescente necessidade de conectar ambientes locais à nuvem, o Microsoft Entra Connect se tornou uma ferramenta essencial para empresas que buscam uma gestão híbrida. Ele permite que o Active Directory local e o Microsoft Entra ID (antigo Azure AD) trabalhem em conjunto, proporcionando um ambiente mais integrado e seguro. Neste guia, você aprenderá a configurar essa integração e habilitar a gestão de dispositivos Windows ingressados no domínio através do Microsoft Intune. Me acompanhe nesse nova jornada.

Pré-requisitos

Antes de começar, certifique-se de que você tem todos os pré-requisitos:

  • Conta de Administrador Global importante e essencial para configurar Microsoft Entra Connect.
  • Credenciais de Enterprise Admin no Active Directory local. Essas credenciais são essenciais para configurar o SCP (Service Connection Point) e permitir que os dispositivos detectem automaticamente o ambiente híbrido.
  • Acesso ao Active Directory Domain Services (AD DS) no servidor local onde será feita a instalação do Entra Connect.
  • Microsoft Entra Connect instalado no servidor.

Adicionando um Sufixo UPN Alternativo no Active Directory

Para garantir que os usuários e dispositivos possam se autenticar corretamente no domínio híbrido, é importante adicionar um sufixo UPN que corresponda ao domínio usado no Microsoft Entra ID:

  • Abra o Server Manager no servidor local e vá até Tools > Active Directory Domains and Trusts.
  • Clique com o botão direito no domínio e selecione Properties.
  • Na aba UPN Suffixes, adicione o sufixo desejado, ou seja, o seu dominio e clique em Add. No meu exemplo adicionei o meu domínio jornada365.cloud.
  • Clique em OK para salvar.

Dica: Esse sufixo UPN permite que os usuários façam login com um endereço de e-mail que corresponde ao domínio da nuvem, melhorando a experiência do usuário e simplificando o gerenciamento.

Habilitando o TLS 1.2 (se necessário)

Antes de instalar o Entra Connect é crucial habilitar o TLS 1.2 (Apenas pule essa etapa se já tiver habilitar a versão recomendada). Para ativar o TLS 1.2, execute o script (como mostrado abaixo). Esse procedimento é necessário para garantir que o servidor possa estabelecer conexões seguras com o Microsoft Entra ID.

Para habilitar o TLS 1.2 copie e cole no bloco de notas e salve. Neste cenário, como exemplo, salvei o arquivo com o nome enabletls1.2.ps1 e executei.

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Dica: Reinicie o servidor após a habilitação do TLS para que as configurações tenham efeito.

Iniciando a Instalação do Entra Connect

Primeiramente faça o download do Microsoft Entra Connect no site oficial da Microsoft. Execute o Microsoft Entra Connect e aceite os termos de licença e avance. Na tela seguinte, escolha Customize, não selecione nenhuma opção e clique em Install para continuar com a instalação dos componentes necessários (como o SQL Server Express).

Concluindo a instalação, execute o Entra Connect exibido na área de trabalho do servidor.

Configurando o Microsoft Entra Connect

Ao iniciar o assistente de configuração, escolha a opção de Configuração Personalizada. Isso te permitirá personalizar cada detalhe, em vez de seguir uma configuração padrão que pode não atender totalmente às necessidades da sua organização.

A escolha do método de autenticação impacta diretamente na experiência de login dos usuários:

  • Password Hash Synchronization (PHS): Sincroniza um hash seguro da senha para o Microsoft Entra ID. É o método mais simples e funciona offline, mesmo quando o AD local está indisponível.
  • Pass-through Authentication (PTA): Permite que o Microsoft Entra ID valide as senhas diretamente no AD local, ideal para cenários onde a organização prefere não armazenar hashes na nuvem.
  • Enable Single sign-on: Com o SSO habilitado, os usuários podem se autenticar automaticamente no Microsoft Entra ID (Azure AD) usando suas credenciais de rede sem a necessidade de inserir o login repetidamente, desde que estejam conectados à rede interna.

Insira as credenciais de um administrador global para autorizar a conexão.Essa conexão permite que o servidor sincronize informações com a nuvem, autenticando e replicando as alterações feitas no Active Directory local.

Antes de começar, certifique-se de ter uma conta com permissões Enterprise Admin no Active Directory. Para criar essa conta:

  • Em seguida, promova este usuário para Enterprise Admin nas propriedades da conta, na aba Member Of.
  • Abra o Active Directory Users and Computers.
  • Navegue até a OU (Organizational Unit) onde você deseja criar a conta. Essa conta será usada para a configuração e sincronização entre o AD local e o Microsoft Entra.
  • Crie um novo usuário com um nome descritivo, como por exemplo: ADSync.
  • Em seguida, promova este usuário para Enterprise Admin nas propriedades da conta, na aba Member Of.

Continuando a configuração, em “Connect your Directories“, clique em Add Directory e insira as credenciais do Enterprise Admin para permitir que o Entra Connect configure a sincronização com o AD local.

Após inserir as credenciais e confirmar o dominio, avance para a próxima etapa.

Verifique o domínio e selecione o atributo UPN adequado, geralmente userPrincipalName. Confirme que o domínio do UPN está verificado no Microsoft Entra (veja o domínio “jornada365.cloud” marcado como “Verified” na imagem abaixo).

Escolha sincronizar apenas as OUs (Unidades Organizacionais) relevantes. No exemplo abaixo, várias OUs estão selecionadas, como “Administrativo”, “Comercial”, e “Juridico”. Selecione apenas as OUs onde estão os usuários e dispositivos que precisam da sincronização e avance.

Nesta etapa não precisa fazer qualquer alteração, apenas avance para a próxima tela.

Marque Password Hash Synchronization para sincronizar os hashes das senhas e permitir que os usuários utilizem a mesma senha no Microsoft Entra ID e avance.

Revise as configurações que o assistente listou antes de iniciar o processo de instalação. Certifique-se de que a opção Start the synchronization process when configuration completes está marcada e clique em Install para iniciar o processo. O Microsoft Entra Connect criará as configurações de sincronização no seu ambiente local e na nuvem. Assim que o processo terminar, a sincronização será iniciada automaticamente.

Após a conclusão, você verá uma mensagem de sucesso. O assistente mostrará também que o Active Directory Recycle Bin não está habilitado (essa é uma recomendação, pois permite recuperação de objetos excluídos).

Após concluir é necessário agora configurar a sincronização de dispositivos. Execute novamente o Microsoft Entra Connect e selecione Configure device options para configurar as opções de dispositivos e avance.

O Hybrid Join permite que dispositivos registrados no AD local sejam registrados automaticamente no Entra ID, facilitando a administração e a aplicação de políticas de segurança. Clique em Next para continuar.

Insira as credenciais do Administrador Global e autentique-se.

Escolha a opção Configure Hybrid Microsoft Entra ID Join. Isso permitirá que dispositivos do AD local sejam sincronizados e registrados no Entra ID.

Selecione o tipo de sistema operacional dos dispositivos que estão no AD local. Marque Windows 10 or later domain-joined devices para incluir os dispositivos com Windows 10 ou superior.

O SCP é o ponto de conexão que permite que dispositivos do domínio local descubram automaticamente o Entra ID para registro. Selecione o domínio (exemplo: jornada365.local) e a conta de Enterprise Admin que foi configurada anteriormente, como JORNADA365\adsync.

Insira as credenciais quando solicitado e não se esqueça que a conta deve ser Enterprise Admin.

Clique em Next após configurar o SCP.

A tela final, Ready to configure, confirma que todas as configurações foram revisadas e estão prontas para serem aplicadas. Clique em Configure para iniciar a aplicação das configurações.

Configure a GPO de Inscrição Automática no Intune

Para começar, você deve abrir o Console de Gerenciamento de Política de Grupo (Group Policy Management Console – GPMC). Siga os passos abaixo:

  1. Clique no menu Iniciar e digite gpmc.msc. Pressione Enter para abrir o GPMC.
  2. Alternativamente, você pode acessar o GPMC pelo Server Manager. No Server Manager, vá para Tools (Ferramentas) no canto superior direito e selecione Group Policy Management.

Após abrir o GPM, precisamos criar uma nova GPO que será responsável por configurar a inscrição automática de dispositivos no MDM do Intune.

  1. Navegue até a OU onde você quer aplicar essa GPO, neste cenário será a OU de Computadores.
  2. Clique com o botão direito na OU desejada e selecione Create a GPO in this domain, and Link it here.
  3. Nomeie a GPO, por exemplo, como MDM, e clique em OK.

Agora, vamos configurar a política para habilitar a inscrição automática no MDM. Clique com o botão direito na GPO recém-criada e selecione Edit.

No Editor de Gerenciamento de Política de Grupo, navegue até Computer Configuration >> Administrative Templates >> Windows Components >> MDM.

Clique duas vezes em Enable automatic MDM enrollment using default Azure AD credentials.

Na tela de configuração da política, marque Enabled para ativar a inscrição automática. Em Select Credential Type to Use, escolha User Credential e para finalizar clique em OK para salvar as configurações.

Quando você ativa essa GPO, ela instrui os dispositivos do Active Directory a se inscreverem automaticamente no Intune, utilizando o serviço de gerenciamento de dispositivos móveis (MDM) que o Intune oferece. A configuração faz com que o dispositivo seja registrado no Intune, e o Intune, por sua vez, faz a ponte com o Microsoft Entra ID para validar e gerenciar o dispositivo de forma centralizada.

Caso deseje garantir que essa política tenha prioridade sobre outras configurações herdadas, você pode forçar sua aplicação:

  1. No GPMC, clique com o botão direito na GPO MDM Enrollment Policy e selecione Enforced.
  2. Confirme clicando em OK. Isso fará com que a política seja aplicada mesmo que outras configurações tentem sobrescrevê-la.

Movendo Dispositivos entre Unidades Organizacionais (OU)

Esta é uma etapa essencial: mover os dispositivos para a OU dedicada, onde será aplicada a GPO específica. Esse processo facilita a aplicação de políticas direcionadas e permite um gerenciamento segmentado e mais eficiente dos recursos, garantindo que a OU de dispositivos receba as configurações apropriadas conforme o propósito definido.

No Active Directory Users and Computers, navegue até a OU onde estão os dispositivos atualmente, por exemplo, Computers.Localize o dispositivo que você quer mover, como VM1 ou VM2.Clique com o botão direito no dispositivo e selecione Move. Escolha a nova OU para onde você quer mover o dispositivo, por exemplo, Comercial ou RH, e clique em OK.

Agora, esses dispositivos estarão na nova OU e seguirão as políticas atribuídas especificamente para essa unidade organizacional.

É importante sincronizar o Microsoft Entra Connect para que os dispositivos que estão na OU configurada no Active Directory sejam sincronizados com o Microsoft Entra ID. Essa sincronização permite que os dispositivos apareçam como Hybrid Azure AD Joined e sejam autenticados e gerenciados no Intune.

Para forçar uma sincronização imediata, você pode rodar o comando abaixo no servidor onde o Entra Connect está configurado. Abra o Powershell no server onde está o instalado o Entra Connect e execute o comando abaixo:

Start-ADSyncSyncCycle -PolicyType Delta

Esse comando faz uma sincronização incremental para transferir as mudanças mais recentes do AD local para o Entra ID.

Verificar se o Dispositivo Pegou a Política de Intune

Após configurar a GPO para Enable automatic MDM enrollment, o dispositivo se inscrever no Intune, porém pode demorar uns minutos para propagar, porém é possivel forçar o dispositivo para aplicar a essa gpo e agilizar o processo.

Abra o Prompt de Comando no dispositivo e execute o comando:

gpupdate /force

Para verificar se o dispositivo pegou a política do Intune, você pode usar os seguintes métodos:

Esse comando mostra todas as GPOs que foram aplicadas no escopo do computador. Isso é útil para confirmar se a política de MDM Auto-Enrollment está ativa.

gpresult /r /scope:computer

E não podemos esquecer do comando dsregcmd. Execute o comando dsregcmd /status e verifique as seguintes informações na saída:

  • MDM URLs: Se os URLs de MDM estiverem preenchidos, o dispositivo está configurado para sincronizar com o Intune.
  • AzureAdJoined: Deve estar como YES. Esse campo indica se o dispositivo está registrado no Microsoft Entra ID.
  • DomainJoined: Deve estar como YES para dispositivos ingressados no domínio local.

Agora acompanhe no portal do Intune e Microsoft Entra ID e valide os dispositivo sincronizados e registrados.

Finalizamos mais uma etapa da nossa jornada!

Agora, quero saber de você: como foi implementar o Intune em um ambiente híbrido na sua empresa? Quais desafios você encontrou no caminho? Compartilhe a sua experiência nos comentários e junte-se a nós nessa jornada de transformação e gestão de dispositivos!

Avatar photo

Profissional com quase 20 anos de experiência em Tecnologia, e especializado em soluções Microsoft 365, atuando como Analista Cloud na Mundo 365. Sou fundador e redator do Jornada 365, onde compartilho insights valiosos e dicas práticas sobre o ecossistema Microsoft 365 e Intune. Estou constantemente em busca de aprimoramento pessoal e profissional e convido você a acompanhar e fazer parte desta jornada de conhecimento e aperfeiçoamento contínuo.

Você também pode gostar

Dispositivos Obsoletos – Gerenciando os ciclos de vida...

Microsoft Intune – Simplicando o gerenciamento de dispositivos...

Intune – Potencialize e Transforme o Microsoft Edge...

Intune – Agende atualizações automáticas dos pacotes com...

Microsoft Intune – Wallpaper e Lockscreen Windows Pro

Intune – Habilitando o Web sign-in for Windows...

Microsoft Intune – Como Integrar o Compliance (Data...

Intune – Fixando atalhos na Barra de Tarefas...

Intune – Bloqueando usuários de adicionarem contas pessoais...

Microsoft Intune – Como Restringir o Acesso ao...

1 comentário

Valério Santos
Valério Santos 20/12/2024 - 18:54

Olá, excelente tópico poderia me tirar uma dúvida?
Eu consigo realizar um teste com apenas alguns computadores em uma OU separada para não comprometer todo o ambiente?
Hoje para mim aparece AzureAdJoined : NO, e não temos licença do Intune. Porém lá aparece todos os computadores do ambiente.

Responder

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar