Se você usa recursos do Active Directory (AD) local e também gostaria de usar recursos do Azure AD como acesso condicional, logon único (SSO) e mais, este artigo é para você. Neste artigo, você aprenderá como configurar o que a Microsoft chama de Junção Híbrida ao Azure AD.
O que é Junção Híbrida ao Azure AD?
Em poucas palavras, a Junção Híbrida ao Azure AD é um modo que permite gerenciar dispositivos tanto por meio de ferramentas tradicionais do AD local quanto registrá-los no Azure AD. Para mais informações, confira a documentação da Microsoft sobre Dispositivos Junção Híbrida ao Azure AD.
Pré-requisitos
Há muitos requisitos e pré-requisitos que você deve atender antes de começar a configurar dispositivos junção híbrida ao Azure AD. Antes de começar com os passos descritos neste artigo, certifique-se de atender ou ter o seguinte:
- Os dispositivos devem ser um dispositivo Windows atual suportado (Windows 10 1809 ou superior ou Windows Server 2016 e superior)
- Um dispositivo Windows 10 associado ao AD local
- Conectividade com a Internet no dispositivo Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 e device.login.microsoftonline.com:443)
- O AD local deve ser sincronizado com o Azure AD para apenas um locatário do Azure AD. Ambos os domínios para todos os exemplos neste artigo são chamados de adamtheautomator.com. Se você deseja sincronizar vários locatários do Azure AD, desde que você use GPO em vez de SCP.
- Você deve saber a conta de administrador global para o Azure AD. O exemplo neste artigo usará o nome da conta adam.
- Você deve conhecer uma conta de administrador de empresa para o AD local. O exemplo neste artigo usará o nome da conta [email protected].
- Você tem Azure AD Connect 1.1.819.0 instalado no servidor membro e sincronizado com Azure AD
Todos os exemplos neste artigo estarão usando um domínio AD local chamado adamtheautomator.com com um Azure AD sincronizado do mesmo nome.
Para uma lista completa de pré-requisitos, consulte a documentação da Microsoft sobre a implementação de junção híbrida do Active Directory do Azure.
Configurando o Azure AD Connect
O primeiro passo para configurar dispositivos híbridos associados ao Azure AD é configurar o Azure AD Connect. Aqui você irá configurar o processo de sincronização do Azure AD para estar ciente do modo híbrido pretendido.
Para configurar, primeiro abra o Azure AD Connect e clique em Configurar.
Na próxima tela, clique em Configurar opções do dispositivo e clique em Avançar.
Fornecer as credenciais do administrador global do Azure AD e clicar em Avançar.
Clique em Configurar associação híbrida ao Azure AD e em Avançar.
Na página Sistemas operacionais do dispositivo é onde você selecionará os tipos de dispositivos que pretende incorporar. Para este artigo, apenas incorporaremos dispositivos atuais (Windows 10). Escolha Dispositivos associados ao domínio Windows 10 ou posterior e clique em Avançar.
Para obter informações sobre como configurar dispositivos Windows mais antigos (Windows 8.1+ e Windows Server 2008 R2+), consulte a Documentação da Microsoft sobre como configurar a associação híbrida ao Active Directory do Azure para domínios gerenciados.
Você irá agora criar o ponto de conexão de serviço (SCP) no Azure para permitir que seus dispositivos leiam as informações do locatário do Azure AD. Verifique o nome do seu domínio sob \texttt{Forest,} escolha \texttt{Azure Active Directory} como o \texttt{Serviço de Autenticação} e então clique em \texttt{Adicionar} para fornecer credenciais para sua conta de administrador empresarial local. Quando estiver completo, clique em \texttt{Avançar}. \texttt{
} Na próxima tela, clique em \texttt{Configurar} para iniciar o processo. Tudo deve levar apenas alguns segundos. \texttt{
} Quando completo, você será instruído a configurar algumas etapas adicionais. Clique em \texttt{Sair} quando completar. \texttt{
} Confirmando o Status de Associação ao Azure AD \texttt{
} Depois de configurar o Azure AD Connect, agora você deve verificar para garantir que os frutos do seu trabalho realmente valeram a pena! Felizmente, todos os dispositivos Windows 10 devem ser associados ao AD híbrido automaticamente eventualmente, mas para o primeiro dispositivo, você deve confirmar isso. \texttt{
} Verificação no Lado do Cliente \texttt{
} Para confirmar o registro do dispositivo Windows 10, reinicie um deles. Depois que ele reiniciar, conecte-se a ele remotamente ou no console e vá para um prompt de comando. No prompt de comando, digite \texttt{dsregcmd /status}. Se você ver \texttt{AzureADJoined: YES} sob \texttt{Estado do Dispositivo}, está tudo bem. \texttt{
} Se o dispositivo ainda não estiver mostrando como associado ao Azure AD, pode ser porque o objeto do computador ainda não foi sincronizado com o Azure AD. Você pode tentar forçar um registro executando \texttt{dsregcmd /join} e verificando o status novamente.
Se você ainda não viu o dispositivo como parte do Azure AD, você pode querer conferir este guia de solução de problemas. Você também pode baixar este script PowerShell para executar no dispositivo e realizar vários testes comuns.
Verificando o Lado do Azure
Uma vez que você confirmou que o cliente Windows 10 diz que está unido, certifique-se de verificar do lado do Azure também. Para fazer isso, navegue até a lâmina Dispositivos no seu inquilino do Azure AD. Aqui você deve ver o TIPO DE UNIÃO é União Híbrida Azure AD e REGISTRADO tem um carimbo de data/hora recente para o dispositivo Windows 10.
Se você ver dispositivos aparecendo como ‘Registrado’ e ‘União Híbrida Azure AD’, você pode descobrir que as regras de Acesso Condicional do AAD (CA) não funcionarão corretamente com as entradas ‘Registradas’. Para corrigir isso, atualize todos os dispositivos para o Windows 10 1903. Você também pode ter que remover todas as entradas ‘Registradas’ com um script.
Uma vez que você confirmar que sua máquina de teste Windows 10 foi registrada e unida como híbrida Azure AD, todos os outros dispositivos atuais no AD devem começar a se registrar automaticamente também.
Se um usuário estiver logado no cliente unido, ele terá que sair e entrar novamente para obter um token de atualização primária.
Resumo
Uma vez configurados, os dispositivos ingressados em um modelo de associação híbrida ao Azure AD se registrarão automaticamente. Após realizar todas as etapas necessárias neste artigo, a maior parte do trabalho árduo é feita para você. Neste ponto, você pode começar a usar os diversos serviços que o Azure AD oferece para gerenciar todos os seus dispositivos associados ao domínio.