Compartilhar via

Visão geral do Gerenciar Dispositivos com o Intune

  • Artigo

Um componente principal da segurança de nível empresarial inclui o gerenciamento e a proteção de dispositivos. Se você estiver criando uma arquitetura de segurança de Confiança Zero, protegendo seu ambiente contra ransomware ou criando proteções para dar suporte a funcionários remotos, o gerenciamento de dispositivos faz parte da estratégia. Embora o Microsoft 365 inclua várias ferramentas e metodologias para gerenciar e proteger dispositivos, essas diretrizes abordam as recomendações da Microsoft usando o Microsoft Intune. Esta é a orientação certa para você se você:

  • Planeie inscrever dispositivos no Intune através da associação Microsoft Entra (incluindo Microsoft Entra associação híbrida).
  • Planejar para registrar manualmente dispositivos no Intune.
  • Permita que dispositivos BYOD com planos implementem proteção para aplicativos e dados e/ou registrem esses dispositivos no Intune.

Por outro lado, se o seu ambiente incluir planos de cogestão, incluindo Microsoft Configuration Manager, veja Documentação de cogestão para desenvolver o melhor caminho para a sua organização. Se o seu ambiente inclui planos para o PC na Nuvem do Windows 365, consulte a documentação do Windows 365 Enterprise para desenvolver o melhor caminho para sua organização.

Assista a esse vídeo para obter uma visão geral do processo de implementação.

Por que gerenciar pontos de extremidade?

A empresa moderna tem uma diversidade incrível de pontos de extremidade que acessam seus dados. Essa configuração cria uma superfície de ataque massiva e, como resultado, os pontos de extremidade podem facilmente se tornar o elo mais fraco em sua estratégia de segurança de Confiança Zero.

Principalmente direcionados pela necessidade, à medida que o mundo mudou para um modelo de trabalho remoto ou híbrido, os usuários estão trabalhando de qualquer lugar, de qualquer dispositivo, mais do que em qualquer momento na história. Os invasores estão ajustando rapidamente suas táticas para tirar proveito dessa mudança. Muitas organizações enfrentam recursos restritos à medida que navegam nesses novos desafios de negócios. Praticamente de um dia para o outro, as empresas aceleraram a transformação digital. Resumidamente, a forma como as pessoas trabalham mudou. Já não esperamos aceder à miríade de recursos empresariais apenas a partir do escritório e em dispositivos pertencentes à empresa.

Obter visibilidade dos pontos de extremidade que acessam seus recursos corporativos é a primeira etapa em sua estratégia de dispositivo de Confiança Zero. Normalmente, as empresas são proativas na proteção de computadores contra vulnerabilidades e ataques, enquanto os dispositivos móveis geralmente ficam sem monitoramento e sem proteções. Para garantir que você não esteja expondo seus dados a riscos, precisamos monitorar cada ponto de extremidade quanto a riscos e empregar controles de acesso granulares para fornecer o nível apropriado de acesso com base na política organizacional. Por exemplo, se um dispositivo pessoal for desbloqueado por jailbreak, pode bloquear o acesso para garantir que as aplicações empresariais não são expostas a vulnerabilidades conhecidas.

Esta série de artigos percorre um processo recomendado para gerenciar dispositivos que acessam seus recursos. Se você seguir as etapas recomendadas, sua organização obterá uma proteção muito sofisticada para seus dispositivos e os recursos que eles acessam.

Implementar as camadas de proteção em e para dispositivos

Proteger os dados e aplicativos em dispositivos e nos próprios dispositivos é um processo de várias camadas. Há algumas proteções que você pode obter em dispositivos não gerenciados. Depois de registrar dispositivos no gerenciamento, você pode implementar controles mais sofisticados. Quando a proteção contra ameaças é implantada em seus pontos de extremidade, você obtém ainda mais insights e a capacidade de corrigir automaticamente alguns ataques. Por fim, se a sua organização tiver colocado o trabalho na identificação de dados confidenciais, na aplicação de classificações e etiquetas e na configuração Prevenção Contra Perda de Dados do Microsoft Purview políticas, pode obter proteção ainda mais granular para dados nos seus pontos finais.

O diagrama a seguir ilustra os blocos de construção para obter uma postura de segurança de Confiança Zero para o Microsoft 365 e outros aplicativos SaaS que você insere nesse ambiente. Os elementos relacionados aos dispositivos são numerados de um a sete. Os administradores de dispositivos serão coordenados com outros administradores para realizar estas camadas de proteção.

desc.

Nesta ilustração:

  Etapa Descrição Requisitos de licenciamento
1 Configurar políticas de acesso de Confiança Zero de dispositivo e identidade inicial Trabalhe com seu administrador de identidade para proteção de dados da Política de Proteção de Aplicativo (APP) de Nível de Implementação 2. Estas políticas não requerem que faça a gestão de dispositivos. Você configura as políticas de aplicativo no Intune. O administrador de identidade configura uma política de Acesso Condicional para exigir aplicativos aprovados. E3, E5, F1, F3, F5
2 Registrar dispositivos no Intune Essa tarefa requer mais planejamento e tempo para implementar. A Microsoft recomenda usar o Intune para registrar dispositivos porque essa ferramenta oferece integração ideal. Existem várias opções para registrar dispositivos, dependendo da plataforma. Por exemplo, os dispositivos Windows podem ser inscritos através de Microsoft Entra associação ou através do Autopilot. Você precisa analisar as opções para cada plataforma e decidir qual opção de registro é a melhor para seu ambiente. Confira a Etapa 2. Registrar dispositivos no Intune para obter mais informações. E3, E5, F1, F3, F5
3 Configurar políticas de conformidade Você quer ter certeza de que os dispositivos que acessam seus aplicativos e dados atendem aos requisitos mínimos, por exemplo, os dispositivos são protegidos por senha ou pin e o sistema operacional está atualizado. As políticas de conformidade são a maneira de definir os requisitos que os dispositivos devem atender. A Etapa 3. Configurar políticas de conformidade ajuda a configurar essas políticas. E3, E5, F3, F5
4 Configurar políticas de acesso de dispositivo e identidade de Confiança Zero do Enterprise (recomendado) Agora que seus dispositivos estão registrados, é possível trabalhar com seu administrador de identidade para ajustar políticas de Acesso Condicional para exigir dispositivos íntegros e em conformidade. E3, E5, F3, F5
5 Implantar perfis de configuração Em vez de políticas de conformidade do dispositivo que simplesmente marcam um dispositivo como em conformidade ou não, com base nos critérios configurados, os perfis de configuração realmente alteram a configuração das configurações em um dispositivo. Você pode utilizar políticas de configuração para proteger os dispositivos contra ameaças cibernéticas. Confira a Etapa 5. Implantar perfis de configuração. E3, E5, F3, F5
6 Monitorar o risco do dispositivo e o cumprimento das linhas de base de segurança Nesta etapa, você conecta o Intune ao Microsoft Defender para Ponto de Extremidade. Com essa integração, você pode monitorar o risco do dispositivo como uma condição para acesso. Os dispositivos que se encontram num estado de risco estão bloqueados. Você também pode monitorar a conformidade com linhas de base de segurança. Confira a Etapa 6. Monitorar o risco do dispositivo e a conformidade com as linhas de base de segurança. E5, F5
7 Implementar DLP (prevenção contra perda de dados) com recursos de proteção de informações Se sua organização tiver se dedicado a identificar dados confidenciais e rotular documentos, você poderá trabalhar com o administrador de proteção de informações para proteger informações e documentos confidenciais em seus dispositivos. Complemento de conformidade E5, F5

Coordenando o gerenciamento de ponto de extremidade com políticas de acesso de Confiança Zero de dispositivo e identidade

Essas diretrizes são fortemente coordenadas com as Políticas de acesso de Confiança Zero de dispositivo e identidade. Irá trabalhar com a sua equipa de identidade para levar a cabo a proteção que configura com Intune em políticas de Acesso Condicional no Microsoft Entra ID.

Eis uma ilustração do conjunto de políticas recomendado com notas de aviso de passo para o trabalho que irá fazer no Intune e as políticas de Acesso Condicional relacionadas que irá ajudar a coordenar no Microsoft Entra ID.

Confiança Zero políticas de identidade e acesso de dispositivos.

Nesta ilustração:

  • Na Etapa 1, Implementar Política de Proteção de Aplicativo (APP) de Nível 2, você configura o nível recomendado de proteção de dados com políticas APP. Em seguida, trabalhe com sua equipe de identidade para configurar a regra de Acesso Condicional relacionada para exigir o uso dessa proteção.
  • Nas etapas 2, 3 e 4, você inscreve dispositivos no gerenciamento com o Intune, define as políticas de conformidade do dispositivo e, em seguida, coordena com sua equipe de identidade para configurar a regra de Acesso Condicional relacionada para permitir acesso apenas a dispositivos compatíveis.

Registrando dispositivos versus dispositivos de integração

Se seguir esta documentação de orientação, irá inscrever dispositivos para gestão através de Intune e irá integrar dispositivos para as seguintes capacidades do Microsoft 365:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Purview (para prevenção contra perda de dados do ponto de extremidade (DLP))

A ilustração a seguir detalha como isso funciona usando o Intune.

Processo de inscrição e inclusão de dispositivos.

Na ilustração:

  1. Registrar dispositivos no gerenciamento com o Intune.
  2. Usar o Intune para integrar dispositivos ao Defender para Ponto de Extremidade.
  3. Os dispositivos integrados ao Defender para Ponto de Extremidade também são integrados para recursos do Microsoft Purview, incluindo o Endpoint DLP.

Observe que apenas o Intune está gerenciando dispositivos. Onboarding refere-se à capacidade de um dispositivo compartilhar informações com um serviço específico. A tabela a seguir resume as diferenças entre a inscrição de dispositivos em dispositivos de gerenciamento e de integração para um serviço específico.

  Registrar Integração
Descrição O registro se aplica ao gerenciamento de dispositivos. Os dispositivos são registrados para gerenciamento com o Intune ou o Configuration Manager. A integração configura um dispositivo para funcionar com um conjunto específico de recursos no Microsoft 365. Atualmente, a integração se aplica aos recursos de conformidade do Microsoft Defender for Endpoint e da Microsoft.

Em dispositivos Windows, a integração envolve alternar uma configuração no Windows Defender que permite que o Defender se conecte ao serviço online e aceite políticas que se aplicam ao dispositivo.
Escopo Essas ferramentas de gerenciamento de dispositivos gerenciam todo o dispositivo, incluindo a configuração do dispositivo para atender a objetivos específicos, como segurança. A integração afeta apenas os serviços aplicáveis.
Método recomendado Microsoft Entra associação inscreve automaticamente dispositivos em Intune. O Intune é o método preferencial para integração de dispositivos Windows Defender Ponto de Extremidade e, consequentemente, recursos do Microsoft Purview.

Tenha em atenção que os dispositivos integrados nas capacidades do Microsoft Purview com outros métodos não são inscritos automaticamente no Defender para Endpoint.
Outros métodos Outros métodos de inscrição dependem da plataforma do dispositivo e quer seja BYOD ou gerido pela sua organização. Outros métodos para dispositivos de integração incluem, na ordem recomendada:
  • Configuration Manager
  • Outra ferramenta de gerenciamento de dispositivos móveis (se o dispositivo for gerenciado por um)
  • Script local
  • Pacote de configuração de VDI para integração de dispositivos de infraestrutura de área de trabalho virtual (VDI) não persistente
  • Política de Grupo
    		•

    Aprendizado para administradores

    Os seguintes recursos ajudam os administradores a aprender conceitos sobre como utilizar Intune.

    • Simplificar a gestão de dispositivos com Microsoft Intune módulo de preparação

      Saiba mais sobre como as soluções de gerenciamento de negócios por meio do Microsoft 365 fornecem às pessoas uma experiência de área de trabalho segura e personalizada e ajudam as organizações a gerenciar facilmente atualizações para todos os dispositivos com uma experiência de administrador simplificada.

    • Avaliar Microsoft Intune

      Microsoft Intune ajuda-o a proteger os dispositivos, aplicações e dados que as pessoas na sua organização utilizam para serem produtivos. Este artigo indica-lhe como configurar Microsoft Intune. A configuração inclui rever as configurações suportadas, inscrever-se no Intune, adicionar utilizadores e grupos, atribuir licenças a utilizadores, conceder permissões de administrador e definir a autoridade de Gerenciamento de Dispositivos Móvel (MDM).

    Próxima etapa

    Vá para o Passo 1. Implementar Políticas de Proteção de Aplicações.