Se você usa recursos de Active Directory (AD) local e também gostaria de usar recursos do Azure AD, como acesso condicional, logon único (SSO) e outros, este artigo é para você. Neste artigo, você aprenderá como configurar um modo que a Microsoft chama de Hybrid Azure AD Join.
O que é Hybrid Azure AD Joined?
Em poucas palavras, o Hybrid Azure AD Join é um modo que permite gerenciar dispositivos tanto por meio de ferramentas tradicionais do AD local quanto registrá-los no Azure AD. Para obter mais informações, consulte a documentação da Microsoft sobre dispositivos Hybrid Azure AD Joined.
Pré-requisitos
Há muitos requisitos e pré-requisitos que você deve atender antes de começar a configurar dispositivos Hybrid Azure AD Joined. Antes de iniciar as etapas descritas neste artigo, verifique se você atende ou possui os seguintes:
- Os dispositivos devem ser um dispositivo Windows atual suportado (Windows 10 1809 ou superior ou Windows Server 2016 ou superior)
- Um dispositivo Windows 10 associado ao AD local
- Conectividade com a Internet no dispositivo Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 e device.login.microsoftonline.com:443)
- O AD local deve estar sincronizado com o Azure AD em apenas um locatário do Azure AD. Ambos os domínios para todos os exemplos neste artigo são chamados de adamtheautomator.com. Se você deseja sincronizar vários locatários do Azure AD, desde que use GPO em vez de SCP.
- Você deve conhecer sua conta de administrador global do Azure AD. O exemplo neste artigo usará o nome da conta de adam.
- Você deve conhecer uma conta de administrador empresarial para o AD local. O exemplo neste artigo usará o nome da conta de [email protected].
- Você tem o Azure AD Connect 1.1.819.0 instalado em um servidor membro e sincronizado com o Azure AD
Todos os exemplos neste artigo usarão um domínio do AD local chamado adamtheautomator.com com um Azure AD sincronizado com o mesmo nome.
Para uma lista completa de pré-requisitos, consulte a documentação da Microsoft Plan hybrid Azure Active Directory join implementation.
Configurando o Azure AD Connect.
O primeiro passo para configurar dispositivos híbridos juntados ao Azure AD é configurar o Azure AD Connect. Aqui você irá configurar o processo de sincronização do Azure AD para estar ciente do modo híbrido que você pretende.
Para configurar as coisas, primeiro abra o Azure AD Connect e clique em Configurar.
Na próxima tela, clique em Configurar opções de dispositivo e clique em Avançar.
Fornecer as credenciais do administrador global do locatário do Azure AD e clicar em Avançar.
Clique em Configurar associação híbrida do Azure AD e Avançar.
Na página Sistemas operacionais do dispositivo é onde você irá selecionar os tipos de dispositivos que pretende incluir. Para este artigo, vamos incluir apenas dispositivos atuais (Windows 10). Escolha Dispositivos associados ao domínio com Windows 10 ou posterior e clique em Avançar.
Para informações sobre como configurar dispositivos mais antigos do Windows (Windows 8.1+ e Windows Server 2008 R2+), consulte a Documentação da Microsoft “Configurar associação híbrida do Azure Active Directory para domínios gerenciados”.
Agora você criará o ponto de conexão de serviço (SCP) no Azure para permitir que seus dispositivos leiam as informações do locatário do Azure AD. Verifique o nome do seu domínio em Floresta, escolha Azure Active Directory como o Serviço de Autenticação e clique em Adicionar para fornecer as credenciais da sua conta de administrador local. Quando concluído, clique em Avançar.
Na próxima tela, clique em Configurar para iniciar o processo. Tudo deve levar apenas alguns segundos.
Quando concluído, você receberá instruções para configurar algumas etapas adicionais. Clique em Sair quando terminar.
Confirmando o status de adesão ao Azure AD
Após configurar o Azure AD Connect, você deve verificar se o resultado do seu trabalho realmente deu certo! Felizmente, todos os dispositivos Windows 10 devem ser híbridos AD-associados automaticamente eventualmente, mas para o primeiro dispositivo, você deve confirmar isso.
Verificando no lado do cliente
Para confirmar o registro do dispositivo Windows 10, reinicie um deles. Após reiniciar, conecte-se remotamente ou no console e vá para um prompt de comando. No prompt de comando, digite dsregcmd /status. Se você vir AzureADJoined: YES em Estado do Dispositivo, está tudo certo.
Se o dispositivo ainda não estiver associado ao Azure AD, pode ser porque o objeto do computador ainda não foi sincronizado com o Azure AD. Você pode tentar forçar um registro executando dsregcmd /join e verificando o status novamente.
Se você ainda não vê o dispositivo como integrado ao Azure AD, talvez queira consultar este guia de solução de problemas. Você também pode baixar este script PowerShell para executar no dispositivo e realizar vários testes comuns.
Verificando no Azure
Depois de confirmar que o cliente Windows 10 está integrado, verifique também no Azure. Para fazer isso, acesse a seção Dispositivos em seu locatário do Azure AD. Aqui você deve ver que o TIPO DE INTEGRAÇÃO é Híbrido Azure AD integrado e que REGISTRADO possui um carimbo de data e hora recente para o dispositivo Windows 10.
Se você vir dispositivos aparecendo como ‘Registrado’ e ‘Híbrido Azure AD integrado’, pode ser que as regras de Acesso Condicional (CA) do AAD não funcionem corretamente com as entradas ‘Registrado’. Para corrigir isso, atualize todos os dispositivos para o Windows 10 1903. Talvez também seja necessário remover todas as entradas ‘Registrado’ com um script.
Depois de confirmar que sua máquina Windows 10 de teste foi registrada e integrada ao Azure AD híbrido, todos os outros dispositivos atuais no AD começarão a se registrar automaticamente.
Se um usuário estiver logado no cliente integrado, ele precisará fazer logoff e login novamente para obter um token de atualização primário.
Resumo
Depois de configurados, os dispositivos que aderirem ao modelo de associação híbrida do Azure AD se registrarão automaticamente. Depois de concluir todas as etapas necessárias neste artigo, a maior parte do trabalho difícil é feita por você. Neste ponto, você pode começar a usar os vários serviços que o Azure AD oferece para gerenciar todos os seus dispositivos associados ao domínio.