Configurando o novo conector do Microsoft Intune para Active Directory com o menor privilégio necessário

Ao integrar dispositivos Windows Autopilot híbridos ao Active Directory usando o Microsoft Intune, é essencial garantir que a conta de serviço utilizada pelo conector de AD opere com o menor nível de privilégio possível. Essa prática reduz a superfície de ataque e contribui para a postura de segurança da organização, seguindo os princípios do Zero Trust e do privilégio mínimo.

Com a nova versão do conector do Microsoft Intune para Active Directory, agora é possível configurar a conta utilizada com permissões mais restritivas, ao contrário do comportamento anterior que exigia permissões administrativas amplas. A conta de serviço agora pode ser configurada com permissões específicas para permitir a criação de contas de computador em unidades organizacionais (OUs) específicas, sem precisar de permissões de administrador de domínio ou administrativas globais.

O processo envolve atribuir direitos somente para criar objetos de computador em uma OU designada, por meio do console "Active Directory Users and Computers" ou via PowerShell com comandos como dsacls. Essa granularidade garante que a conta usada pelo conector não possa alterar configurações críticas do domínio ou acessar recursos fora de seu escopo previsto. Essa configuração também é compatível com práticas recomendadas para auditoria e conformidade, reduzindo riscos associados à movimentação lateral em cenários de comprometimento.

Além disso, o conector deve ser instalado em um servidor com acesso à internet para que ele possa se comunicar com o Microsoft Intune, e com permissão para alcançar controladores de domínio locais. A instalação em múltiplos servidores é recomendada para garantir alta disponibilidade, especialmente em ambientes corporativos com distribuição geográfica.

Outro ponto importante é a separação clara entre a função do conector e a configuração do perfil de Autopilot. No perfil de implantação híbrida, é possível especificar a OU de destino para cada dispositivo, garantindo que ele será inserido exatamente no local desejado dentro da estrutura do Active Directory.

Com essa atualização, o Microsoft Intune eleva o padrão de segurança para implementações híbridas, permitindo que as organizações adotem uma abordagem mais alinhada com os princípios modernos de segurança sem abrir mão da funcionalidade. Para profissionais de TI, isso representa uma oportunidade de revisar ambientes legados e aplicar práticas mais robustas, reduzindo riscos e facilitando a governança sobre dispositivos ingressados via Autopilot.

Configuração do Conector do Intune com AD Local (Least Privilege)

Pré-requisitos

• Conta com permissão de administrador local no servidor onde o conector será instalado.

• Acesso à internet para comunicação com o Intune.

• Permissão para criar objetos de computador em uma OU específica do Active Directory.

• Microsoft Intune configurado com perfil de implantação híbrido Autopilot.

1. Criar uma OU dedicada para os dispositivos híbridos

No Active Directory:

1. Acesse Active Directory Users and Computers (dsa.msc).

2. Crie uma nova OU, por exemplo: OU=Devices_Autopilot.

3. Delegue permissão de "Create Computer Objects" para uma conta de serviço dedicada.

2. Delegar permissões mínimas à conta de serviço

1. No console do AD, clique com o botão direito na OU criada e selecione "Delegate Control".

2. No assistente, adicione a conta de serviço que o conector usará.

3. Selecione “Create a custom task to delegate”.

4. Escolha “Only the following objects in the folder” e marque "Computer objects".

5. Marque as opções:

   • Create selected objects in this folder

   • Delete selected objects in this folder

6. Na etapa de permissões, selecione:

   • Read all properties

   • Write all properties

   • Reset password

   • Validated write to DNS host name

   • Validated write to service principal name

Dica: Também é possível aplicar via PowerShell com dsacls para automação.

3. Baixar e instalar o novo conector do Intune

1. Acesse o portal do Microsoft Intune: Intune Admin Center.

2. Vá para: Devices > Windows > Windows enrollment > Intune Connector for Active Directory.

3. Clique em Add, baixe o instalador.

4. Execute o instalador no servidor que tenha:

   • Acesso ao AD local

   • Acesso à internet (porta 443)

   • Conectividade com os controladores de domínio

5. Durante a instalação:

   • Faça login com uma conta global admin ou de Intune Administrator para autenticar o conector.

   • O conector será registrado automaticamente no portal Intune.

4. Verificar se o conector está ativo

No portal do Intune:

1. Acesse Intune Connector for Active Directory.

2. Verifique se o status do conector aparece como Ativo e sem erros.

3. Repita a instalação em mais de um servidor, se desejar redundância.

5. Configurar o perfil de implantação híbrido no Intune

1. Vá para Devices > Windows > Windows enrollment > Deployment Profiles.

2. Crie ou edite um perfil do tipo Hybrid Azure AD joined.

3. Em OU de destino, insira o caminho da OU criada no AD, ex:

   OU=Devices_Autopilot,DC=empresa,DC=local
   

4. Aplique o perfil ao grupo de dispositivos desejado.

6. Testar o fluxo com um dispositivo Autopilot

1. Certifique-se de que o dispositivo esteja registrado no Intune como Autopilot.

2. Inicie o provisionamento (com ou sem pré-provisionamento).

3. Após o processo, o dispositivo deve:

   • Ser unido ao Azure AD (modo híbrido).

   • Ser adicionado à OU correta no AD local.

   • Ter a conta criada pela conta de serviço com sucesso.

7. Monitorar e solucionar problemas

1. Use o portal Intune para verificar status de provisionamento e logs.

2. Em caso de falha, revise os logs em:

   C:\ProgramData\Microsoft\Intune\Connector\Logs
   

3. Confirme se a conta de serviço tem permissão adequada na OU.

4. Verifique firewall, proxy e conectividade com internet e domínio.