Gerenciar identidades de dispositivo usando o centro de administração do Microsoft Entra

O Microsoft Entra ID fornece um local central para gerenciar identidades de dispositivos e monitorar informações de eventos relacionadas.

Screenshot that shows the devices overview.

Você pode acessar a visão geral dos dispositivos concluindo estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor Global.
  2. Vá para Visão geral de dispositivos>de identidade>.

Na visão geral de dispositivos, você pode exibir o número total de dispositivos, dispositivos obsoletos, dispositivos não compatíveis e dispositivos não gerenciados. Ele fornece links para Intune, Acesso Condicional, chaves BitLocker e monitoramento básico.

As contagens de dispositivos na página de visão geral não são atualizadas em tempo real. As alterações devem ser refletidas a cada poucas horas.

A partir daí, você pode ir para Todos os dispositivos para:

  • Identificar dispositivos, incluindo:
  • Conclua tarefas de gerenciamento de identidade de dispositivo, como habilitar, desabilitar, excluir e gerenciar.
    • As opções de gerenciamento para impressoras e Windows Autopilot são limitadas no Microsoft Entra ID. Esses dispositivos devem ser gerenciados a partir de suas respetivas interfaces de administração.
  • Configure as definições de identidade do dispositivo.
  • Habilite ou desabilite o roaming de estado corporativo.
  • Analise os registos de auditoria relativos ao dispositivo.
  • Transferir dispositivos.

Screenshot that shows the All devices view.

Gorjeta

  • O Microsoft Entra híbrido ingressou no Windows 10 ou dispositivos mais recentes não têm um proprietário, a menos que o usuário principal esteja definido no Microsoft Intune. Se estiver à procura de um dispositivo por proprietário e não o encontrar, pesquise pelo ID do dispositivo.

  • Se vir um dispositivo que é Microsoft Entra híbrido associado com um estado de Pendente na coluna Registado, o dispositivo foi sincronizado a partir do Microsoft Entra Connect e está a aguardar para concluir o registo do cliente. Consulte Como planejar sua implementação de associação híbrida do Microsoft Entra. Para obter mais informações, consulte Perguntas frequentes sobre gerenciamento de dispositivos.

  • Para alguns dispositivos iOS, os nomes de dispositivos que contêm apóstrofos podem usar caracteres diferentes que se parecem com apóstrofos. Portanto, procurar por esses dispositivos é um pouco complicado. Se não vir os resultados corretos da pesquisa, certifique-se de que a cadeia de pesquisa contém o caractere apóstrofo correspondente.

Gerir um dispositivo Intune

Se tiver direitos para gerir dispositivos no Intune, pode gerir dispositivos para os quais a gestão de dispositivos móveis está listada como Microsoft Intune. Se o dispositivo não estiver inscrito no Microsoft Intune, a opção Gerir não estará disponível.

Ativar ou desativar um dispositivo Microsoft Entra

Há duas maneiras de habilitar ou desabilitar dispositivos:

  • A barra de ferramentas na página Todos os dispositivos, depois de selecionar um ou mais dispositivos .
  • A barra de ferramentas, depois de detalhar para um dispositivo específico.

Importante

  • Tem de ser um Administrador Global, Administrador do Intune ou Administrador de Dispositivos na Nuvem no Microsoft Entra ID para ativar ou desativar um dispositivo.
  • A desativação de um dispositivo impede que ele se autentique por meio do Microsoft Entra ID. Isso impede que ele acesse seus recursos do Microsoft Entra protegidos pelo Acesso Condicional baseado em dispositivo e use as credenciais do Windows Hello for Business.
  • A desativação de um dispositivo revoga o PRT (Primary Refresh Token) e quaisquer tokens de atualização no dispositivo.
  • As impressoras não podem ser ativadas ou desativadas no Microsoft Entra ID.

Excluir um dispositivo Microsoft Entra

Há duas maneiras de excluir um dispositivo:

  • A barra de ferramentas na página Todos os dispositivos, depois de selecionar um ou mais dispositivos .
  • A barra de ferramentas, depois de detalhar para um dispositivo específico.

Importante

  • Tem de ser um Administrador de Dispositivos na Nuvem, Administrador do Intune, Administrador do Windows 365 ou Administrador Global no Microsoft Entra ID para eliminar um dispositivo.
  • Impressoras e dispositivos Windows Autopilot não podem ser excluídos no Microsoft Entra ID.
  • Eliminar um dispositivo:
    • Impede que ele acesse seus recursos do Microsoft Entra.
    • Remove todos os detalhes anexados ao dispositivo. Por exemplo, chaves BitLocker para dispositivos Windows.
    • É uma atividade irrecuperável. Não o recomendamos, a menos que seja necessário.

Se um dispositivo for gerido noutra autoridade de gestão, como o Microsoft Intune, certifique-se de que foi apagado ou retirado antes de o eliminar. Consulte Como gerenciar dispositivos obsoletos antes de excluir um dispositivo.

Ver ou copiar um ID de dispositivo

Você pode usar uma ID de dispositivo para verificar os detalhes da ID do dispositivo no dispositivo ou para solucionar problemas por meio do PowerShell. Para acessar a opção de cópia, selecione o dispositivo.

Screenshot that shows a device ID and the copy button.

Ver ou copiar chaves BitLocker

Você pode exibir e copiar chaves do BitLocker para permitir que os usuários recuperem unidades criptografadas. Essas chaves estão disponíveis apenas para dispositivos Windows criptografados e armazenam suas chaves no Microsoft Entra ID. Pode encontrar estas chaves quando visualiza os detalhes de um dispositivo selecionando Mostrar Chave de Recuperação. Selecionar Mostrar chave de recuperação gera uma entrada de log de auditoria, que você pode encontrar na KeyManagement categoria.

Screenshot that shows how to view BitLocker keys.

Para exibir ou copiar chaves do BitLocker, você precisa ser o proprietário do dispositivo ou ter uma destas funções:

  • Administrador de dispositivos na nuvem
  • Administrador Global do
  • Administrador do Helpdesk
  • Administrador de Serviços do Intune
  • Administrador de Segurança
  • Leitor de Segurança

Ver e filtrar os seus dispositivos

Você pode filtrar a lista de dispositivos por estes atributos:

  • Estado ativado
  • Estado compatível
  • Tipo de ingresso (Microsoft Entra ingressado, Microsoft Entra híbrido ingressado, Microsoft Entra registrado)
  • Carimbo de data/hora da atividade
  • Tipo de SO e versão do SO
  • Tipo de dispositivo (impressora, VM segura, dispositivo compartilhado, dispositivo registrado)
  • MDM
  • Autopilot
  • Atributos da extensão
  • Unidade administrativa
  • Proprietário

Baixar dispositivos

Leitores globais, administradores de dispositivos na nuvem, administradores do Intune e administradores globais podem usar a opção Baixar dispositivos para exportar um arquivo CSV que lista dispositivos . Você pode aplicar filtros para determinar quais dispositivos listar. Se você não aplicar nenhum filtro, todos os dispositivos serão listados. Uma tarefa de exportação pode ser executada por até uma hora, dependendo das suas seleções. Se a tarefa de exportação exceder 1 hora, ela falhará e nenhum arquivo será gerado.

A lista exportada inclui estes atributos de identidade de dispositivo:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Os seguintes filtros podem ser aplicados para a tarefa de exportação:

  • Estado ativado
  • Estado compatível
  • Tipo de associação
  • Carimbo de data/hora da atividade
  • Tipo de SO
  • Tipo de dispositivo

Definir configurações do dispositivo

Se você quiser gerenciar identidades de dispositivo usando o centro de administração do Microsoft Entra, os dispositivos precisam ser registrados ou ingressados na ID do Microsoft Entra. Como administrador, você pode controlar o processo de registro e ingresso de dispositivos definindo as seguintes configurações de dispositivo.

Você deve receber uma das seguintes funções para exibir as configurações do dispositivo:

  • Administrador Global do
  • Leitor Global
  • Administrador de dispositivos na nuvem
  • Administrador do Intune
  • Administrador do Windows 365
  • Revisor de Diretórios

Você deve receber uma das seguintes funções para gerenciar as configurações do dispositivo:

  • Administrador Global do
  • Administrador de dispositivos na nuvem

Screenshot that shows device settings related to Microsoft Entra ID.

  • Os usuários podem ingressar dispositivos na ID do Microsoft Entra: essa configuração permite que você selecione os usuários que podem registrar seus dispositivos como dispositivos associados ao Microsoft Entra. O padrão é Todos.

    Nota

    Os Usuários podem ingressar dispositivos no Microsoft Entra ID configuração é aplicável somente ao Microsoft Entra ingressar no Windows 10 ou mais recente. Essa configuração não se aplica a dispositivos associados híbridos do Microsoft Entra, VMs ingressadas do Microsoft Entra no Azure ou dispositivos ingressados do Microsoft Entra que usam o modo de autoimplantação do Windows Autopilot porque esses métodos funcionam em um contexto sem usuário.

  • Os usuários podem registrar seus dispositivos com o Microsoft Entra ID: você precisa definir essa configuração para permitir que os usuários registrem dispositivos Windows 10 ou mais recentes pessoais, iOS, Android e macOS com o Microsoft Entra ID. Se você selecionar Nenhum, os dispositivos não terão permissão para se registrar com o Microsoft Entra ID. A inscrição no Microsoft Intune ou no gerenciamento de dispositivos móveis para o Microsoft 365 requer registro. Se você configurou qualquer um desses serviços, ALL será selecionado e NONE não estará disponível.

  • Exigir autenticação multifator para registrar ou ingressar dispositivos com o Microsoft Entra ID:

    • Recomendamos que as organizações usem a ação de usuário Registrar ou ingressar em dispositivos no Acesso Condicional para impor a autenticação multifator. Você deve configurar essa alternância para Não se usar uma política de Acesso Condicional para exigir autenticação multifator.
    • Essa configuração permite especificar se os usuários precisam fornecer outro fator de autenticação para ingressar ou registrar seus dispositivos no Microsoft Entra ID. O padrão é Não. Recomendamos que você exija autenticação multifator quando um dispositivo for registrado ou ingressado. Antes de habilitar a autenticação multifator para este serviço, você deve garantir que a autenticação multifator esteja configurada para usuários que registram seus dispositivos. Para obter mais informações sobre os serviços de autenticação multifator do Microsoft Entra, consulte Introdução à autenticação multifator do Microsoft Entra. Essa configuração pode não funcionar com provedores de identidade de terceiros.

    Nota

    A configuração Exigir autenticação multifator para registrar ou ingressar dispositivos com ID do Microsoft Entra aplica-se a dispositivos que são registrados no Microsoft Entra (com algumas exceções) ou no Microsoft Entra . Essa configuração não se aplica a dispositivos associados híbridos do Microsoft Entra, VMs ingressadas do Microsoft Entra no Azure ou dispositivos ingressados do Microsoft Entra que usam o modo de autoimplantação do Windows Autopilot.

  • Número máximo de dispositivos: esta definição permite-lhe selecionar o número máximo de dispositivos registados no Microsoft Entra ou no Microsoft Entra que um utilizador pode ter no Microsoft Entra ID. Se os usuários atingirem esse limite, eles não poderão adicionar mais dispositivos até que um ou mais dos dispositivos existentes sejam removidos. O valor padrão é 50. Você pode aumentar o valor até 100. Se introduzir um valor acima de 100, o ID do Microsoft Entra define-o como 100. Você também pode usar Ilimitado para impor nenhum limite além dos limites de cota existentes.

    Nota

    A configuração Número máximo de dispositivos aplica-se a dispositivos que são associados ao Microsoft Entra ou registrados no Microsoft Entra. Essa configuração não se aplica aos dispositivos associados híbridos do Microsoft Entra.

  • Administradores locais adicionais em dispositivos associados ao Microsoft Entra: esta definição permite-lhe selecionar os utilizadores aos quais são concedidos direitos de administrador local num dispositivo. Esses usuários são adicionados à função Administradores de Dispositivo na ID do Microsoft Entra. Os administradores globais no Microsoft Entra ID e os proprietários de dispositivos recebem direitos de administrador local por padrão. Esta opção é uma funcionalidade de edição premium disponível através de produtos como o Microsoft Entra ID P1 ou P2 e o Enterprise Mobility + Security.

  • Habilite o Microsoft Entra Local Administrator Password Solution (LAPS) (visualização): LAPS é o gerenciamento de senhas de contas locais em dispositivos Windows. O LAPS fornece uma solução para gerenciar e recuperar com segurança a senha de administrador local integrada. Com a versão em nuvem do LAPS, os clientes podem habilitar o armazenamento e a rotação de senhas de administrador local para dispositivos de ingresso híbrido Microsoft Entra ID e Microsoft Entra. Para saber como gerenciar o LAPS no Microsoft Entra ID, consulte o artigo de visão geral.

  • Impedir que usuários não administradores recuperem a(s) chave(s) do BitLocker para seus dispositivos próprios: os administradores podem bloquear o acesso à chave BitLocker de autoatendimento ao proprietário registrado do dispositivo. Os usuários padrão sem a permissão de leitura do BitLocker não conseguem exibir ou copiar sua(s) chave(s) BitLocker para seus dispositivos próprios. Você deve ser um Administrador Global ou um Administrador de Função Privilegiada para atualizar essa configuração.

  • Enterprise State Roaming: Para obter informações sobre essa configuração, consulte o artigo de visão geral.

Registos de auditoria

As atividades do dispositivo são visíveis nos registros de atividades. Esses logs incluem atividades acionadas pelo serviço de registro de dispositivo e pelos usuários:

  • Criação de dispositivos e adição de proprietários/utilizadores no dispositivo
  • Alterações nas configurações do dispositivo
  • Operações do dispositivo, como excluir ou atualizar um dispositivo

O ponto de entrada para os dados de auditoria é Logs de auditoria na seção Atividade da página Dispositivos .

O log de auditoria tem uma exibição de lista padrão que mostra:

  • A data e hora da ocorrência.
  • Os alvos.
  • O iniciador/ator de uma atividade.
  • A atividade.

Screenshot that shows a table in the Activity section of the Devices page. The table shows the date, target, actor, and activity for four audit logs.

Você pode personalizar o modo de exibição de lista selecionando Colunas na barra de ferramentas:

Screenshot that shows the toolbar of the Devices page.

Para reduzir os dados relatados a um nível que funcione para você, você pode filtrá-los usando estes campos:

  • Categoria
  • Tipo de recurso de atividade
  • Atividade
  • Intervalo de Datas
  • Destino
  • Iniciado por (Ator)

Você também pode pesquisar entradas específicas.

Screenshot that shows audit data filtering controls.

Próximos passos