Configure ações para dispositivos não compatíveis no Intune

Como parte de uma política de conformidade que protege os recursos da sua organização contra dispositivos que não atendem aos seus requisitos de segurança, as políticas de conformidade também incluem Ações de não conformidade. Ações por não conformidade são uma ou mais ações ordenadas por tempo que são tomadas por uma política para ajudar a proteger os dispositivos e sua organização. Por exemplo, uma ação de não conformidade pode bloquear remotamente um dispositivo para garantir que ele esteja protegido ou enviar uma notificação para dispositivos ou usuários para ajudá-los a entender e resolver o status de sem conformidade.

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento do Android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Visão Geral

Por padrão, cada política de conformidade inclui a ação de não conformidade de Marcar dispositivo como sem conformidade com um agendamento de zero dias (0). O resultado desse padrão é quando o Intune detecta um dispositivo incompatível; ele marca imediatamente o dispositivo como não compatível. Depois que um dispositivo é marcado como não compatível, Microsoft Entra Acesso Condicional pode bloquear o dispositivo.

Ao configurar Ações por descumprimento , você ganha flexibilidade para decidir o que fazer com dispositivos não compatíveis e quando fazê-lo. Por exemplo, você pode optar por não bloquear o dispositivo imediatamente e fornecer ao usuário um período de carência para entrar em conformidade.

Para cada ação definida, você pode configurar uma agenda que determina quando essa ação entra em vigor. A agenda é um número de dias depois de o dispositivo ser marcado como sem conformidade. Você também pode configurar várias instâncias de uma ação. Quando você define várias instâncias de uma ação em uma política, a ação será executada novamente nesse momento agendado posterior se o dispositivo permanecer sem conformidade.

Nem todas as ações estão disponíveis para todas as plataformas.

Observação

O Microsoft Intune centro de administração exibe a agenda (dias após o descumprimento) em dias. No entanto, é possível especificar um intervalo mais detalhado (horas), usando frações decimais como 0,25 (6 horas), 0,5 (12 horas), 1,5 (36 horas) e assim por diante. Embora outros valores sejam possíveis, eles só podem ser configurados usando o Microsoft Graph e não através do centro de administração. Tentar usar outros valores no centro de administração como 0,33 (8 horas) resultará em um erro ao tentar salvar a política.

Ações disponíveis de não conformidade

As seguintes ações de não conformidade estão disponíveis:

• Marcar o dispositivo não compatível: por padrão, essa ação é definida para cada política de conformidade e tem um agendamento de 0 (zero) dias, marcando os dispositivos como não compatíveis imediatamente.

  Ao alterar o agendamento padrão, você fornece um período de carência no qual um usuário pode corrigir problemas ou entrar em conformidade sem ser marcado como não compatível.

  Essa ação tem suporte em todas as plataformas compatíveis com o Intune.

• Enviar email para o usuário final: essa ação envia uma notificação por email para o usuário. Quando você habilitar essa ação:

  • Selecione um Modelo de mensagem de notificação que essa ação envia. Crie um modelo de mensagem de notificação antes de atribuir um a essa ação. Ao criar a notificação personalizada, você personaliza o local, o assunto, o corpo da mensagem e pode incluir o logotipo da empresa, o nome da empresa e outras informações de contato.
  • Escolha enviar a mensagem para mais destinatários selecionando um ou mais grupos de Microsoft Entra.

  O Intune usa o endereço de email definido no perfil do usuário final e não seu UPN (nome UPN). Se não houver um endereço de email definido no perfil do usuário, o Intune não enviará um email de notificação. Quando o email for enviado, o Intune incluirá detalhes sobre o dispositivo não compatível na notificação por email.

  Essa ação tem suporte em todas as plataformas compatíveis com o Intune.

  Observação

  Os emails de notificação são enviados de: microsoft-noreply@microsoft.com

  Certifique-se de não ter políticas de caixa de correio que impeçam a entrega de emails desses endereços, caso contrário, os usuários finais podem não receber a notificação por email.

  Antes de dezembro de 2022, emails de notificação na nuvem comercial foram enviados de: IntuneNotificationService@microsoft.com

• Bloquear remotamente o dispositivo não compatível: use essa ação para emitir um bloqueio remoto de um dispositivo. O usuário deve inserir um PIN ou uma senha desbloquear o dispositivo. Saiba mais sobre o recurso Bloqueio remoto.

  As seguintes plataformas dão suporte a essa ação:

  • Administrador de dispositivo Android
  • Android (AOSP)
  • Android Enterprise:
    • Totalmente gerenciado
    • Dedicado
    • Perfil de Trabalho de Propriedade Corporativa
    • Perfil de trabalho de propriedade pessoal
    • Dispositivos de quiosque Android Enterprise
  • iOS/iPadOS
  • macOS

• Adicionar dispositivo à lista de retirada: quando essa ação é executada em um dispositivo, o dispositivo é adicionado a uma lista de dispositivos desativados e não compatíveis no centro de administração Intune. Você pode acessara Conformidade de Dispositivos> e selecionar a guia Retirar dispositivos não compatíveis para exibir a lista. No entanto, o dispositivo não será desativado até que um administrador inicie explicitamente o processo de aposentadoria. Quando um administrador retira o dispositivo dessa lista, a aposentadoria remove todos os dados da empresa do dispositivo e remove esse dispositivo do gerenciamento de Intune.

  As seguintes plataformas dão suporte a essa ação:

  • Administrador de dispositivo Android
  • Android (AOSP)
  • Android Enterprise:
    • Totalmente gerenciado
    • Dedicado
    • Perfil de Trabalho de Propriedade Corporativa
    • Perfil de trabalho de propriedade pessoal
  • iOS/iPadOS
  • macOS
  • Windows 10/11

  Observação

  Somente os dispositivos aos quais a ação Adicionar dispositivo para retirar lista foi disparada aparecem na guia Retirar dispositivos selecionados . Para ver uma lista de todos os dispositivos que não estão em conformidade, consulte o relatório de dispositivos não compatíveis mencionado na política de conformidade do dispositivo Monitor.

  Para retirar um ou mais dispositivos da lista, selecione dispositivos para se aposentar e selecione Retirar dispositivos selecionados. Quando você escolhe uma ação que desativa dispositivos, uma caixa de diálogo surgirá para você confirmar a ação. Só depois de confirmar a intenção de desativar os dispositivos é que eles são limpos dos dados da empresa e removidos do gerenciamento do Intune.

  Outras opções incluem Retirar todos os dispositivos, Limpar todos os dispositivos eLimpar o estado de retirada de dispositivos selecionados. Limpar o estado de retirada de um dispositivo remove o dispositivo da lista de dispositivos que podem ser retirados até que a ação para Adicionar dispositivo para retirar lista seja aplicada a esse dispositivo novamente.

  Saiba mais sobre como desativar dispositivos.

• Enviar notificação por push para o usuário final: configure essa ação para enviar uma notificação por push sobre a falta de conformidade para um dispositivo por meio do aplicativo do Portal da Empresa ou do aplicativo do Intune no dispositivo.

  As seguintes plataformas dão suporte a essa ação:

  • Administrador de dispositivo Android
  • Android Enterprise:
    • Totalmente gerenciado
    • Dedicado
    • Perfil de Trabalho de Propriedade Corporativa
    • Perfil de trabalho de propriedade pessoal
  • iOS/iPadOS

  A notificação por push é enviada na primeira vez que um dispositivo faz check-in no Intune e é considerado sem conformidade com a política de conformidade. Quando um usuário seleciona a notificação, o aplicativo do Portal da Empresa ou o aplicativo do Intune é aberto e exibe informações sobre por que eles estão sem conformidade. Em seguida, o usuário pode executar uma ação para resolver o problema. Os detalhes da mensagem sobre a falta de conformidade são gerados pelo Intune e não podem ser personalizados.

  Importante

  O Intune e os aplicativos do Portal da Empresa e do Microsoft Intune não podem garantir a entrega de uma notificação por push. As notificações poderão ser exibidas após várias horas de atraso, se houver. Isso inclui quando os usuários desativaram as notificações por push.

  Não confie nesse método de notificação para mensagens urgentes.

  Cada instância da ação envia uma notificação uma única vez. Para enviar a mesma notificação novamente de uma política, configure mais instâncias da ação nessa política, cada uma com um cronograma diferente.

  Por exemplo, você pode agendar a primeira ação por zero dias e, em seguida, adicionar uma segunda instância da ação definida como três dias. Esse atraso antes da segunda notificação dá ao usuário alguns dias para resolver o problema e evitar a segunda notificação.

  Para evitar o envio de spam aos usuários com muitas mensagens duplicadas, examine e simplifique quais políticas de conformidade incluem uma notificação por push de não conformidade e examine os agendamentos para evitar o envio muito frequente de notificações repetidas para o mesmo problema.

  Considere:

  • Para uma única política que inclui várias instâncias de um conjunto de notificações por push para o mesmo dia, apenas uma única notificação é enviada nesse dia.

  • Quando várias políticas de conformidade incluem as mesmas condições de conformidade e incluem a ação de notificação por push com a mesma agenda, o Intune envia várias notificações são enviadas para o mesmo dispositivo no mesmo dia.

Observação

As seguintes ações para não conformidade não são suportadas para dispositivos gerenciados por um parceiro de gerenciamento de conformidade do dispositivo:

• Enviar email para o usuário final
• Bloquear remotamente o dispositivo não compatível
• Adicionar dispositivo para retirar lista
• Enviar notificação por push para o usuário final

Antes de começar

Você pode adicionar ações de não conformidade ao configurar a política de conformidade do dispositivo ou posteriormente editando a política. Você pode adicionar ações extras a cada política para atender às suas necessidades. Tenha em mente que cada política de conformidade inclui automaticamente a ação padrão de não conformidade que marca dispositivos como não compatíveis, com uma agenda definida como zero dias.

Para usar políticas de conformidade do dispositivo para bloquear dispositivos de recursos corporativos, Microsoft Entra o Acesso Condicional deve ser configurado. Consulte Acesso Condicional em Microsoft Entra ID ou maneiras comuns de usar o Acesso Condicional com Intune para obter diretrizes.

Para criar uma política de conformidade do dispositivo, confira as seguintes diretrizes específicas da plataforma:

• Android
• Android (AOSP)
• Perfis de trabalho Android
• iOS
• macOS
• Windows

Criar um modelo da mensagem de notificação

Para enviar um email aos seus usuários, crie um modelo de mensagem de notificação e associe-o à sua política de conformidade como uma ação para casos de não conformidade. Assim, quando um dispositivo estiver fora de conformidade, os detalhes inseridos no modelo serão mostrados no email enviado aos seus usuários.

Um modelo de mensagem de notificação pode incluir várias mensagens que são cada uma para uma localidade diferente. Quando você especifica várias mensagens e localidades, os usuários finais fora de conformidade recebem a mensagem localizada apropriada com base em seu idioma preferencial no O365.

Adicione variáveis à mensagem para criar um email personalizado com conteúdo dinâmico. A tabela a seguir descreve as variáveis que você pode usar na linha de assunto e no corpo da mensagem.

Nome da variável	Token a ser usado	Descrição
Nome de usuário	{{UserName}}	Adicione o nome do usuário primário para o dispositivo não compatível. Exemplo: John Doe
Nome do dispositivo	{{DeviceName}}	Adicione o nome do dispositivo não compatível à medida que ele é gravado em Microsoft Intune. Exemplo: John's iPad
ID do Dispositivo	{{DeviceId}}	Adicione a ID do dispositivo Intune que pertence ao dispositivo não compatível. Exemplo: 12ab345c-6789-def0-1234-000000000000
Versão do sistema operacional do dispositivo	{{OSAndVersion}}	Adicione o sistema operacional e a versão do dispositivo não compatível. Exemplo: Android 12

Para criar o modelo

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança do ponto de extremidade>Conformidade do dispositivo>Notificações>Criar notificação.

3. Na página Noções básicas , dê ao modelo um nome amigável para ajudá-lo a identificá-lo. Em seguida, selecione Avançar.

4. Na página Configurações de cabeçalho e rodapé , adicione os detalhes e o logotipo da sua empresa.

   

   Suas opções:

   • Email cabeçalho – Mostrar o logotipo da empresa (padrão = Habilitar) – Carregar um logotipo para adicionar a identidade visual da sua organização aos modelos de email. Para obter mais informações sobre identidade visual do Portal da Empresa, confira Personalização de identidade visual da empresa.
   • Email rodapé – Mostrar o nome da empresa (padrão = Habilitar) – Habilite essa configuração para mostrar o nome da sua empresa no email. Consulte Valor do Locatário para examinar o nome da empresa no registro.
   • Email rodapé – Mostrar informações de contato (padrão = Habilitar) – Habilite essa configuração para mostrar as informações de contato da sua organização, como nome, número de telefone e endereço de email, no email. Consulte Valor do Locatário para examinar as informações de contato registradas.
   • Email rodapé – Mostrar o link do site do portal da empresa (padrão = Desabilitar) – Habilite essa configuração para incluir um link para o site Portal da Empresa no email. Consulte Valor do Locatário para examinar o link do site mostrado aos usuários.

   Selecione Avançar para continuar.

5. Na página Modelos de mensagem de notificação, configure uma ou mais mensagens. Para cada mensagem, especifique os seguintes detalhes:

   • Localidade: selecione o idioma que se correlaciona com a localidade do usuário do dispositivo.
   • Assunto: adicione a linha de assunto para o email. Você pode inserir até 78 caracteres.
   • Editor HTML bruto: ative o editor HTML para obter sugestões ao adicionar formatação HTML e links à sua mensagem. Você pode usar o href atributo para adicionar um link (deve ser uma URL HTTPS). As marcas HTML com suporte incluem: <a>, , <strong>, <b>, <u>, <ol>, <ul>, <li>, <p>, <br>, <code><table>, , <tbody>, <tr>, , <td>, <thead>, , <th>. Você não é obrigado a usar o editor HTML e pode adicionar HTML com suporte sem ativar o editor.
   • Mensagem: crie uma mensagem explicando o motivo do descumprimento. Você pode inserir até 2.000 caracteres.

   Para criar um modelo com conteúdo dinâmico, insira o token de uma variável com suporte na linha de assunto ou mensagem. Para obter uma lista de variáveis com suporte, consulte a tabela em Criar um modelo de mensagem de notificação neste artigo.

   Importante

   Use apenas marcas e atributos HTML com suporte Intune no corpo da mensagem. Intune enviará mensagens que contêm outros tipos de marcas, elementos ou estilo como texto sem formatação em vez de formato HTML. Isso inclui mensagens que contêm:

   • CSS
   • Marcas e atributos não listados neste artigo

   Observação

   Intune converte caracteres de nova linha no estilo Windows em <br> Marcas HTML, mas ignora todos os outros tipos de caracteres de nova linha, incluindo aqueles para macOS e Linux. Para garantir que as quebras de linha sejam renderizadas corretamente em modelos, recomendamos usar a <br> marca para indicar o fim de uma linha.

6. Selecione a caixa de seleção de Is Default para uma das mensagens. Intune envia sua mensagem padrão para usuários que não definiram um idioma preferencial ou quando o modelo não inclui uma mensagem específica para sua localidade. Somente uma mensagem pode ser definida como padrão. Para excluir uma mensagem, selecione as reticências (...) e Excluir.

   Selecione Avançar para continuar.

7. Na página Marcas de escopo, selecione marcas para limitar a visibilidade e o gerenciamento dessa mensagem a grupos de administradores Intune específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

   Selecione Avançar para continuar.

8. Na página Revisar + criar , examine suas configurações para garantir que o modelo de mensagem de notificação esteja pronto para uso. Selecione Criar para concluir a criação da notificação.

Exibir e editar notificações

As notificações criadas estão disponíveis na página Políticas de conformidade>Notificações. Nessa página, você pode selecionar uma notificação para exibir sua configuração e:

• Selecionar Enviar email de visualização para enviar uma visualização do email de notificação à conta que você usou para entrar no Intune.

  Para enviar o email de visualização com êxito, sua conta deve ter permissões iguais às dos seguintes grupos de Microsoft Entra ou funções de Intune: Microsoft Entra Administrador Global, Administrador Intune (Intune Microsoft Entra Intune Administrador de Serviços) ou Intune Policy and Profile Manager.

• Selecionar Editar em Noções básicas ou Marcas de escopo para fazer uma alteração.

Observação

O email de visualização não contém as variáveis de dispositivo especificadas no modelo de mensagem de notificação.

Adicionar ações de não conformidade

Quando você cria uma política de conformidade de dispositivo, o Intune cria automaticamente uma ação de não conformidade. Se um dispositivo não atender à sua política de conformidade, essa ação marcará o dispositivo como incompatível. É possível personalizar por quanto tempo o dispositivo fica marcado como não compatível. Esta ação não pode ser removida.

Você também pode adicionar ação opcionais ao criar uma política de conformidade ou atualizar uma política existente.

1. Entre no Centro de administração do Microsoft Intune.

2. AcesseConformidadede dispositivos>.

3. Selecione uma política e selecione Propriedades.

   Você ainda não tem uma política? Crie uma política para Android, iOS, Windows ou outra plataforma.

   Observação

   Dispositivos gerenciados por parceiros de conformidade de dispositivos de terceiros que são direcionados a grupos de dispositivos não podem receber ações de conformidade no momento.

4. Selecione Ações paraediçãode não conformidade>.

5. Selecione sua Ação:

   • Enviar email aos usuários finais: quando o dispositivo não estiver em conformidade, opte por enviar email ao usuário. Também:

     • Escolha o Modelo de mensagem criado anteriormente
     • Insira quaisquer Destinatários adicionais selecionando grupos

   • Bloquear remotamente o dispositivo não compatível: quando o dispositivo não for compatível, bloqueie o dispositivo. Essa ação força o usuário a inserir um PIN ou uma senha para desbloquear o dispositivo.

   • Adicionar dispositivo para retirar lista: quando o dispositivo não for compatível, remova todos os dados da empresa do dispositivo e remova o dispositivo do gerenciamento de Intune.

   • Enviar notificação por push para o usuário final: configure essa ação para enviar uma notificação por push sobre a falta de conformidade para um dispositivo por meio do aplicativo do Portal da Empresa ou do aplicativo do Intune no dispositivo.

6. Configurar um Agendamento: insira o número de dias (0 a 365) após a não conformidade para disparar a ação nos dispositivos dos usuários. Após esse período de carência, será possível impor uma política de acesso condicional. Se você inserir 0 (zero) número de dias, o acesso condicional entrará em vigor imediatamente. Por exemplo, se um dispositivo não for compatível, use o acesso condicional para bloquear imediatamente o acesso ao email, ao SharePoint e a outros recursos da organização.

   Ao criar uma política de conformidade, a ação Marcar o dispositivo como não compatível é automaticamente criada e definida como 0 dia (imediatamente). Com esta ação, quando o dispositivo faz check-in com o Intune e avalia a política, se não estiver em conformidade com essa política, o Intune marcará imediatamente esse dispositivo como sem conformidade. Se o cliente fizer check-in após corrigir os problemas que o levam à não conformidade, o status será atualizado para seu novo status de conformidade. Se você usar o Acesso Condicional, essas políticas também serão aplicadas assim que um dispositivo for marcado como não compatível. Para definir um período de carência para permitir que uma condição de não conformidade seja corrigida antes que o dispositivo seja marcado como não compatível, altere o Agendamento na ação Marcar não conformidade do dispositivo.

   Em sua política de conformidade, por exemplo, você também quer notificar o usuário. Você pode adicionar a ação Enviar email para o usuário final. Nessa ação de Enviar email, defina o Agendamento como dois dias. Se o dispositivo ou usuário final ainda for avaliado como não compatível no dia dois, seu email será enviado no dia dois. Se você quiser enviar novamente um email de não conformidade ao usuário no dia cinco, adicione outra ação e defina o Agendamento como cinco dias.

   Para obter mais informações sobre conformidade e as ações internas, confira a visão geral de conformidade.

7. Após terminar, selecione Adicionar>OK para salvar as alterações.

Próximas etapas

Monitorar suas políticas.