Ambiente de TI distribuído com muitos administradores no mesmo inquilino do Microsoft Intune

Muitas organizações utilizam um ambiente de TI distribuído onde têm um único inquilino do Microsoft Intune com vários administradores locais. Este artigo descreve uma forma de dimensionar o Microsoft Intune para suportar vários administradores locais que gerem os seus próprios utilizadores, dispositivos e criam as suas próprias políticas num único inquilino do Microsoft Intune. Não existe uma resposta certa ou errada sobre quantos administradores pode ter no seu inquilino. O artigo centra-se nos inquilinos que têm muitos administradores locais.

As TI distribuídas são necessárias em sistemas em que um grande número de administradores locais se ligam a um único inquilino do Intune. Por exemplo, alguns sistemas escolares estão organizados para que tenha um administrador local para todas as escolas do sistema ou região. Por vezes, este ambiente distribuído pode ser 15 ou mais administradores locais diferentes que são agregados ao mesmo sistema central ou inquilino do Microsoft Intune.

Cada administrador local pode configurar grupos de acordo com as suas necessidades organizacionais. Normalmente, o administrador local cria grupos e organiza vários utilizadores ou dispositivos por localização geográfica, departamento ou características de hardware. Os administradores locais também utilizam estes grupos para gerir tarefas em escala. Por exemplo, os administradores locais podem definir políticas para muitos utilizadores ou implementar aplicações num conjunto de dispositivos.

Funções que precisa de saber

• Equipa central: a equipa central ou o grupo inclui os administradores globais ou os administradores principais no seu inquilino. Estes administradores podem supervisionar todos os administradores locais e fornecer orientações aos administradores locais.

• Administradores locais: os administradores locais são locais e concentram-se em políticas e perfis para as respetivas localizações específicas; escolas, hospitais e assim por diante.

Controlo de acesso baseado em funções

Esta secção descreve resumidamente os diferentes modelos e propõe diretrizes ao abrigo de cada modelo para gerir políticas, perfis e aplicações entre a equipa Central e os administradores locais. Os modelos são:

• Modelo de delegação parcial
• Modelo de delegação completa
• Modelo central
• Modelo descentralizado
• Modelo híbrido

Modelo de delegação parcial

O modelo de delegação parcial propõe as seguintes diretrizes para a gestão de políticas entre a equipa Central e os administradores locais.

✔️ Permissões

• As permissões de criação, atualização e eliminação de políticas, perfis de inscrição e aplicações devem ser mantidas pela equipa central.
• Conceda apenas permissões de leitura e atribuição aos administradores locais.

✔️ Reutilizar

• As políticas, perfis de inscrição e aplicações normalmente configuradas devem ser disponibilizadas aos administradores locais para reutilização, tanto quanto possível.
• O Microsoft Intune utiliza muitas configurações comuns que se enquadram em algumas categorias. Reveja as recomendações listadas para Políticas de Proteção de Aplicações.
• Enquanto administradores locais, devem rever as políticas existentes e reutilizá-las conforme necessário.

✔️ Exceções

• A equipa central pode criar determinadas novas políticas, perfis de inscrição e aplicações como exceções, quando necessário, em nome dos administradores locais. Normalmente, estas exceções incluem qualquer tipo de perfil que necessite de parâmetros exclusivos.

É proposto um modelo de delegação parcial nestas duas áreas:

Diretrizes de grupo e atribuição para administradores locais: Quais são algumas das melhores práticas para os administradores locais adotarem durante a organização de grupos para a gestão de dispositivos através do Microsoft Intune? Para saber, leia o artigo Agrupamento, filtragem e agrupamento do Intune: Recomendações para um melhor desempenho – Microsoft Tech Community

Diretrizes específicas da funcionalidade: como são geridas as políticas/perfis/aplicações entre uma autoridade central e os administradores locais com permissões específicas para as diferentes funcionalidades. Para obter mais informações, aceda à secção Diretrizes específicas da funcionalidade.

Modelo de delegação completa

O modelo de delegação completa propõe as seguintes diretrizes para a gestão de políticas entre a equipa Central e os administradores locais.

• Cada administrador local deve ter a sua própria etiqueta de âmbito para separar cada objeto que gere na totalidade.
• Quando o administrador local não precisar de criar, atualizar ou eliminar, conceda ao administrador local uma função com permissões de leitura e atribuição e evite atribuir qualquer outra função com permissão total. Com esta abordagem, pode evitar combinar permissões entre etiquetas de âmbito.
• Por vezes, os administradores locais podem precisar de criar as suas próprias políticas, perfis e aplicações enquanto partilham algumas políticas, perfis e aplicações comuns. Nestes casos, crie um grupo especial e atribua as políticas, perfis e aplicações comuns a este grupo. Este grupo não deve ser incluído no Grupo de Âmbito para qualquer administrador local. Grupo de Âmbito. Esta abordagem impede que as permissões de criação, atualização e eliminação atribuídas aos administradores locais se apliquem a estas políticas, perfis e aplicações comuns.

Modelo central

No modelo central, uma única equipa de administração local (principal) gere várias organizações subordinadas. Fatores como geografia, unidade de negócio ou tamanho podem relacionar Organizações subordinadas.

• Só é utilizada uma etiqueta de âmbito para abranger todos os administradores locais geridos.

• Se possível, a equipa de administração local deve uniformizar as atribuições entre administradores locais e colocar todos os respetivos dispositivos num único grupo do Microsoft Entra para atribuição. Quando não é possível criar um único grupo do Microsoft Entra, a equipa de administração local pode criar diferentes grupos do Microsoft Entra para fazer tarefas diferentes.

• Se uma equipa de administração local diferente gerir ou mover uma organização, têm de ser seguidos os seguintes passos:

  • Todos os dispositivos e utilizadores da organização têm de ser extraídos de grupos comuns do Microsoft Entra no âmbito da equipa de administração local original.

  • Todas as políticas/aplicações/perfis atribuídos exclusivamente a essa organização têm de ter a respetiva etiqueta de âmbito atualizada para a nova equipa de administração local.

Modelo descentralizado

No modelo descentralizado, vários administradores locais (subordinados) são geridos pelo seu administrador local dedicado e também supervisionados por uma equipa de administração local intermediária. Os administradores principais e subordinados têm as suas próprias etiquetas de âmbito para representar limites de gestão.

• Se existirem menos de 50 administradores subordinados, a equipa de administração local intermédia poderá ter acesso ao atribuir todas as etiquetas de âmbito das crianças à atribuição de funções RBAC de equipas de administração locais intermédias.
• Se existirem mais de 50 administradores subordinados, deve ser concedida à equipa de administração local intermédia a sua própria etiqueta de âmbito para representar toda a coleção de administradores subordinados que supervisionam.
• As políticas recentemente criadas nas etiquetas de âmbito do administrador subordinado têm de ter a etiqueta intermédia adicionada por uma função de administrador global para impedir que a equipa de administração local intermédia perca visibilidade.

Modelo híbrido

No modelo híbrido, o mesmo administrador principal é utilizado no modelo Central e Descentralizado ao mesmo tempo. Não existem recomendações especiais para este modelo.

Diretrizes específicas de funcionalidades

Consoante os requisitos empresariais para cada funcionalidade, as diretrizes fornecidas nesta secção podem recomendar que crie políticas por administrador local e/ou delegue as permissões necessárias para criar objetos para os administradores locais.

Observação

As orientações fornecidas nesta secção não abordam todas as funcionalidades, mas abrangem apenas as áreas para as quais temos instruções especiais.

Política de proteção de aplicações

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Para obter mais informações, aceda a Políticas de proteção de aplicações.

As diretrizes para as políticas de proteção de aplicações são divididas entre a equipa Central e os administradores locais da seguinte forma:

Equipa central - Tarefas

• Reveja as necessidades de segurança e negócios em toda a organização e gere um conjunto de políticas comuns de proteção de aplicações para administradores locais.
• Reveja as recomendações listadas para identificar que controlos de segurança são adequados antes de criar políticas de proteção de aplicações.
• Tenha um método estabelecido para os administradores locais solicitarem políticas personalizadas de proteção de aplicações, se necessário, para necessidades empresariais específicas em que os requisitos empresariais não possam ser alcançados com as políticas comuns existentes.
• Para obter recomendações específicas sobre cada nível de configuração e as aplicações mínimas que têm de ser protegidas, veja Estrutura de proteção de dados com políticas de proteção de aplicações, aceda a Políticas de proteção de aplicações

Administradores locais – Permissões e Tarefas

• Forneça permissões de leitura e atribuição, mas não crie, atualize e elimine permissões nas Aplicações Geridas, para que não possam criar as suas próprias políticas de proteção de aplicações.
• Forneça permissões de leitura e atribuição para atribuição de políticas de configuração de aplicações às respetivas aplicações.
• Forneça permissões de leitura e atribuição apenas quando existem diferentes políticas de proteção para dispositivos geridos e dispositivos não geridos. Se a equipa Central optar por oferecer apenas uma política para ambos, a política de configuração da aplicação não é necessária.
• Se a política de configuração da aplicação for utilizada, recomenda-se que atribua a política de configuração da aplicação a todas as Instâncias de aplicações sem exceção.
• Escolha a partir de políticas comuns de proteção de aplicações. Os administradores locais podem pedir à equipa central para criar políticas de proteção de aplicações personalizadas como uma exceção e apenas se necessário.
• Para obter mais informações, aceda a Políticas de proteção de aplicações

Política de conformidade

As políticas de conformidade no Intune definem as regras e definições que os utilizadores e os dispositivos têm de cumprir para estarem em conformidade. Para obter mais informações sobre políticas de conformidade, aceda a Políticas de conformidade.

Equipa central

A equipa Central deve criar políticas de conformidade comuns para os administradores locais escolherem e apenas, se necessário, criar políticas de exceção. Para obter mais informações, aceda a Políticas de conformidade. A criação de políticas inclui a criação de scripts de políticas de conformidade personalizados porque estão sujeitos à mesma escala que a política de conformidade normal.

Para obter mais informações sobre como criar uma política de conformidade, aceda a Políticas de conformidade.

Administradores locais

Forneça aos administradores locais permissões de leitura e atribuição, mas não crie, atualize ou elimine permissões na Política de conformidade. As permissões de leitura e atribuição permitem-lhes escolher entre as políticas de conformidade comuns criadas pela equipa central e atribuí-las aos respetivos utilizadores e dispositivos.

Configuração do dispositivo

Nesta seção:

• Restrições de dispositivos e configuração geral
• Acesso a recursos
• Anéis de atualização do Windows
• Atualizações de recursos
• Atualizações de qualidade

Restrições de dispositivos e configuração geral

• Conceda permissão aos administradores locais para criar, atualizar e eliminar dentro do seu próprio âmbito.

• Utilize o Catálogo de Definições e as linhas de base de segurança na extensão máxima possível, em vez de perfis criados na lista Perfis de configuração, para mitigar o dimensionamento no centro de administração do Microsoft Intune.

• Em geral, a equipa central deve tentar monitorizar centralmente o conteúdo das configurações e substituir muitos perfis duplicados sempre que possível por um perfil partilhado.

Acesso a recursos

Recomenda-se o modelo de delegação Completa .

Anéis de atualização do Windows

• Recomendamos que os anéis de atualização do Windows sejam geridos centralmente. A equipa central deve criar tantas políticas comuns de cadência de atualização do Windows quanto precisarem para suportar a variância dos administradores locais.
• Os administradores locais não devem criar os seus próprios anéis de atualização do Windows. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. As melhores práticas variam para cada funcionalidade. Para obter mais informações, aceda a Anéis de atualização do Windows.

Atualizações de recursos

Recomenda-se o modelo de delegação Completa .

Atualizações de qualidade

Recomenda-se o modelo de delegação Completa .

Certificados

• Recomendamos que utilize as permissões através da equipa Central para integrar/desligar os conectores, conforme necessário. Integração de conectores para cada administrador local para suportar a emissão de certificados.

• Não conceda permissão aos administradores locais para atualizar ou ELIMINAR conectores.

Aplicativos

Conceda aos administradores locais permissões completas para gerir aplicações na extensão do respetivo âmbito.

Nesta seção:

• Apple Volume Purchase Program

• Windows

• Android

Para obter mais informações, aceda a Gerir aplicações.

Apple Volume Purchase Program

Atualmente, não existem preocupações de dimensionamento para o número suportado de tokens do Volume Purchase Program. Para obter mais informações, aceda a Quantos tokens posso carregar..

Windows

• Os administradores locais podem criar aplicações Win32, conforme necessário, dentro do limite de aplicações de linha de negócio e aplicações para várias plataformas e ligações Web. Para obter mais informações, aceda a Gestão de aplicações Win32.

  Observação

  A Microsoft Store para Empresas está a ser descontinuada. A partir do Windows 11, tem uma nova opção para as suas aplicações privadas licenciadas em volume. Para obter mais informações, aceda a Repositório de aplicações privadas no Windows 11 e Atualizar para a integração do Microsoft Intune com a Microsoft Store no Windows.

Android

• Os administradores locais devem escolher entre as aplicações da loja existentes ou pedir à equipa central para adicionar novas aplicações da loja Android. Os administradores locais não devem criar novas aplicações da loja Android. O número total de objetos pode tornar-se grande e difícil de gerir.

• Os administradores locais podem criar aplicações de linha de negócio Android, conforme necessário, dentro do limite de aplicações de linha de negócio e de linha de negócio para várias plataformas.

• A equipa central tem de adicionar aplicações do Managed Google Play.

  • A equipa central só pode ver as aplicações do Managed Google Play disponíveis no país/região do respetivo inquilino. Se a equipa central precisar de uma aplicação do Managed Google Play apenas disponível em alguns países/regiões, poderá ter de trabalhar com o programador da aplicação para a apresentar corretamente.
  • A equipa central deve gerir todos os conteúdos relacionados com aplicações geridas do Google Play, incluindo aplicações privadas, aplicações Web e coleções. Por exemplo, se um cliente planeia utilizar o iframe do Managed Google Play para publicar aplicações privadas, tem de o fazer com uma única conta de programador pertencente à equipa central.
  • A equipa central pode selecionar uma única etiqueta de âmbito como a etiqueta de âmbito do Managed Google Play. Tem uma lista pendente especial na página do conector do Managed Google Play. A etiqueta de âmbito será aplicada a todas as aplicações do Managed Google Play depois de a equipa central as adicionar à consola, mas não será aplicada retroativamente a aplicações que já tenham sido adicionadas. Recomenda-se vivamente que a equipa central defina a etiqueta de âmbito antes de adicionar aplicações e, em seguida, atribua a cada equipa regional essa etiqueta de âmbito. Caso contrário, os administradores regionais poderão não conseguir ver as respetivas aplicações do Managed Google Play.

• Apenas uma política OEMConfig é suportada por dispositivo, exceto para dispositivos Zebra. Com os dispositivos Zebra, é altamente recomendado que tenha o menor número de políticas possível porque o tempo para impor a política é aditivo. Por exemplo, se atribuir seis políticas com o pressuposto de que serão colocadas em camadas umas sobre as outras, demora cerca de 6X mais tempo a começar a trabalhar no dispositivo do que uma única política.

Observação

Exerça extrema consideração e cuidado ao definir o modo de atualização de alta prioridade em muitas aplicações e grupos diferentes. Isto deve-se a vários motivos:

• Embora muitas aplicações possam ser definidas para o modo de alta prioridade, apenas uma atualização de aplicação pode ser instalada de cada vez. Uma grande atualização de aplicações pode potencialmente bloquear muitas atualizações mais pequenas até que a aplicação grande termine a instalação.
• Dependendo de quando as aplicações lançam novas atualizações, poderá haver um pico repentino na utilização da rede se as versões da aplicação coincidirem. Se Wi-Fi não estiver disponível em alguns dispositivos, também poderá existir um pico na utilização de rede móvel.
• Embora já tenham sido mencionadas experiências de utilizador disruptivas, o problema aumenta à medida que mais aplicações estão definidas para o modo de atualização de alta prioridade.

Para obter mais informações sobre as preocupações de dimensionamento relativas às atualizações de aplicações do Managed Google Play com o modo de atualização de alta prioridade, consulte este artigo da Techcommunity.

Perfis de inscrição

Nesta seção:

• Autopilot
• Página de estado da inscrição (ESP)
• Gestor de negócios da Apple (ABM)
• Perfis do Android Enterprise
• Restrições de registro
• Categorias de dispositivos

Autopilot

• Conceda aos administradores locais as permissões para lerem os dispositivos autopilot e carregarem novos dispositivos do Autopilot.
• Os administradores locais não devem criar perfis do Autopilot. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter mais informações sobre o Autopilot, aceda a Utilizar o Autopilot para inscrever dispositivos Windows no Intune.

Página de status da inscrição

• Os administradores locais devem selecionar a partir dos perfis de página de Estado de inscrição existentes a atribuir ou devem pedir à equipa central para criar um perfil de exceção, apenas se necessário.
• Os administradores locais não devem criar perfis de página de Estado de inscrição. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter informações sobre a página Estado da inscrição, aceda a Configurar a Página de Estado da Inscrição.

Apple Business Manager

Se possível, os administradores locais não devem receber permissões de criação, atualização ou eliminação nos perfis de inscrição. Se forem concedidas permissões aos administradores locais para criar perfis do Apple Business Manager, também lhes dá permissões de criação, atualização e eliminação no Autopilot. No entanto, os administradores locais não devem criar perfis do Autopilot.

Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter mais informações, aceda a Utilizar o Apple Business Manager para inscrever dispositivos Apple no Intune.

Perfis do Android Enterprise

• A equipa Central deve criar perfis de inscrição de dispositivos dedicados pertencentes à empresa do Android Enterprise para cada administrador local para o agrupamento de dispositivos.
• Se possível, os administradores locais não devem receber permissões de criação, atualização ou eliminação em dispositivos Android Enterprise. Estas restrições impedem que os administradores locais modifiquem as definições do Android Enterprise ao nível do inquilino e o perfil de inscrição totalmente gerido global.

Restrições de registro

• O mesmo conjunto de permissões rege as restrições de Configuração do dispositivo e inscrição. Quando concede permissões para criar para a configuração do dispositivo, também está a conceder permissões para criar para restrições de inscrição. No entanto, os administradores locais não devem ter permissão para criar perfis de restrição de inscrição. Por isso, devem ser instruídos a não criar novos perfis de Restrições de inscrição.

• As restrições de limite de dispositivos de inscrição definem quantos dispositivos cada utilizador pode inscrever. As restrições de limite de dispositivos de inscrição devem abranger todos os limites de dispositivos possíveis para os administradores locais partilharem. Para obter mais informações, aceda a O que são restrições de inscrição.

• A equipa Central deve uniformizar as restrições de Tipo de Dispositivo tanto quanto possível e adicionar novas restrições, mas apenas como exceções especiais depois de um administrador local ter revisto as restrições existentes.

Categorias de dispositivos

A funcionalidade Categorias de dispositivos (categorias de Dispositivos>) não tem a sua própria família de permissões. Em vez disso, as respetivas permissões são regidas pelas permissões definidas em Organização. Aceda a Funções de administração > de inquilinos. Selecione uma função personalizada ou incorporada e selecione Propriedades. Aqui, pode atribuir permissões, sendo uma delas Organização. Por isso, se precisar de permissões de leitura para categorias de Dispositivos, defina as permissões de leitura na Organização.

As equipas centrais podem criar Categorias de Dispositivos. No entanto, os administradores locais não devem ter permissão para criar, atualizar ou eliminar categorias de dispositivos, uma vez que seria necessário conceder-lhes permissões na Organização, dando-lhes acesso a outras funcionalidades ao nível do inquilino regidas pelas permissões da Organização.

Para obter mais informações, aceda a Categorias de dispositivos.

Análise do ponto de extremidade

• A equipa Central deve criar o número de linhas de base comuns do Endpoint Analytics que precisar para suportar a variância dos administradores locais.
• Se possível, os administradores locais não devem criar as suas próprias linhas de base do Endpoint Analytics. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades.
• Para obter mais informações, aceda a Configurar definições na Análise de pontos finais.