Tutorial: instalar e configurar um ponto de extremidade do Windows nativo da nuvem com o Microsoft Intune

  • Artigo

Dica

Ao ler sobre pontos de extremidade nativos de nuvem, você verá os seguintes termos:

  • Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
  • Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
  • Pontos de extremidade nativos de nuvem: pontos de extremidade que ingressaram no Azure AD. Eles não estão ingressados no AD local.
  • Carga de trabalho: qualquer programa, serviço ou processo.

Este guia orientará você pelas etapas de criação de uma configuração de pontos de extremidade nativos de nuvem do Windows para sua organização. Para obter uma visão geral dos pontos de extremidade nativos de nuvem e seus benefícios, confira O que são pontos de extremidade nativos de nuvem.

Esse recurso aplica-se a:

  • Pontos de extremidade nativos de nuvem do Windows

Dica

Se você quiser uma solução padronizada e recomendada pela Microsoft para criar em cima dela, talvez se interesse pelo Windows na configuração de nuvem. No Intune, você pode configurar o Windows na configuração de nuvem usando um Cenário Guiado.

A tabela a seguir descreve a principal diferença entre este guia e o Windows na configuração de nuvem:

Solução Objetivo
Tutorial: introdução aos pontos de extremidade nativos de nuvem do Windows (este guia) Orienta você através da criação de sua própria configuração para seu ambiente, com base nas configurações recomendadas pela Microsoft e ajuda a iniciar os testes.
Windows na configuração de nuvem Uma experiência guiada de cenário que cria e aplica uma configuração pré-criada com base nas práticas recomendadas da Microsoft para funcionários de linha de frente, remotos e outros com necessidades mais específicas.

Você pode usar este guia em conjunto com o Windows na configuração de nuvem para personalizar ainda mais a experiência pré-criada.

Como iniciar

Use as cinco fases ordenadas neste guia, que se baseiam umas nas outras, para ajudar no preparo da configuração do ponto de extremidade nativo de nuvem do Windows. Ao concluir essas fases em ordem, você verá um progresso tangível e estará pronto para provisionar novos dispositivos.

Fases:

Cinco fases para a configuração de pontos de extremidade do Windows nativos da nuvem usando o Microsoft Intune e o Windows Autopilot.

  • Fase 1 – Configurar seu ambiente
  • Fase 2 – Criar seu primeiro ponto de extremidade nativo de nuvem do Windows
  • Fase 3 – Proteger seu ponto de extremidade nativo de nuvem do Windows
  • Fase 4 – Aplicar suas configurações e aplicativos personalizados
  • Fase 5 – Implantar em escala com o Windows Autopilot

No final deste guia, você terá um ponto de extremidade do Windows nativo da nuvem pronto para iniciar os testes em seu ambiente. Antes de começar, você pode querer marcar o guia de planejamento de junção Microsoft Entra em Como planejar sua implementação de junção Microsoft Entra.

Fase 1 – Configurar seu ambiente

Fase 1.

Antes de criar seu primeiro ponto de extremidade nativo de nuvem do Windows, há alguns requisitos e configurações importantes que precisam ser verificados. Esta fase orientará você na verificação dos requisitos, na configuração do Windows Autopilot e na criação de algumas configurações e aplicativos.

Etapa 1 – Requisitos de rede

Seu ponto de extremidade do Windows nativo de nuvem precisará de acesso a vários serviços da Internet. Inicie o teste em uma rede aberta. Ou use sua rede corporativa depois de fornecer acesso a todos os pontos de extremidade listados em Requisitos de rede do Windows Autopilot.

Se sua rede sem fio exigir certificados, você poderá começar com uma conexão Ethernet durante o teste enquanto determina a melhor abordagem para conexões sem fio para provisionamento de dispositivos.

Etapa 2 – Registro e Licenciamento

Antes de ingressar Microsoft Entra e se inscrever no Intune, há algumas coisas que você precisa marcar. Você pode criar um novo grupo de Microsoft Entra, como o nome Intune Usuários de MDM. Em seguida, adicione contas de usuário de teste específicas e direcione cada uma das configurações a seguir nesse grupo para limitar quem pode registrar dispositivos enquanto você define sua configuração. Para criar um grupo Microsoft Entra, acesse Criar um grupo básico e adicionar membros.

  • Restrições de registro
    As restrições de registro permitem controlar quais tipos de dispositivos podem se registrar no gerenciamento com o Intune. Para que este guia seja bem-sucedido, verifique se o registro (MDM) do Windows está permitido; o que é a configuração padrão.

    Para obter informações sobre como configurar as Restrições de Registro, confira Definir restrições de registro no Microsoft Intune.

  • Configurações do MDM de Dispositivo do Azure AD
    Ao ingressar em um dispositivo Windows para Microsoft Entra, Microsoft Entra pode ser configurado para informar seus dispositivos para se registrarem automaticamente com um MDM. Essa configuração é necessária para que o Windows Autopilot funcione.

    Para marcar as configurações do MDM do dispositivo Microsoft Entra estiverem habilitadas corretamente, acesse Início Rápido – Configurar o registro automático no Intune.

  • Identidade visual da empresa do Azure AD
    Adicionar seu logotipo corporativo e imagens a Microsoft Entra garante que os usuários vejam uma aparência familiar e consistente quando entrarem no Microsoft 365. Essa configuração é necessária para que o Windows Autopilot funcione.

    Para obter informações sobre como configurar a identidade visual personalizada no Microsoft Entra, acesse Adicionar identidade visual à página de entrada Microsoft Entra da sua organização.

  • Licenciamento
    Os usuários que registrarem dispositivos Windows da OOBE (Experiência Pronta para Uso) no Intune necessitarão de dois recursos importantes.

    Os usuários precisarão das seguintes licenças:

    • Um licença do Microsoft Intune ou do Microsoft Intune para Educação
    • Uma licença como uma das opções a seguir que permite o registro automático do MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune para educação

    Para atribuir licenças, confira Atribuir licenças do Microsoft Intune.

    Observação

    Ambos os tipos de licenças geralmente são incluídos com pacotes de licenciamento, como o Microsoft 365 E3 (ou A3) e superior. Veja comparações de licenciamento do M365 aqui.

Etapa 3 – Importar seu dispositivo de teste

Para testar o ponto de extremidade nativo de nuvem do Windows, precisamos começar pela preparação de uma máquina virtual ou dispositivo físico para teste. As etapas a seguir coletarão os detalhes do dispositivo e os carregarão no serviço do Windows Autopilot para uso posterior neste artigo.

Observação

Embora as etapas a seguir forneçam uma maneira de importar um dispositivo para teste, os Parceiros e OEMs podem importar dispositivos para o Windows Autopilot em seu nome como parte da compra. Há mais informações sobre o Windows Autopilot na Fase 5.

  1. Instale o Windows (preferencialmente o 20H2 ou posterior) em uma máquina virtual ou reinicie o dispositivo físico para que ele aguarde a tela de configuração da OOBE. Opcionalmente, você pode criar um ponto de verificação para uma máquina virtual.

  2. Conclua as etapas necessárias para se conectar à Internet.

  3. Abra um prompt de comando usando a combinação de teclado Shift+F10.

  4. Verifique se você tem acesso à Internet executando ping de bing.com:

    • ping bing.com

  5. Alternar para o PowerShell executando o comando:

    • powershell.exe

  6. Baixe o script Get-WindowsAutopilotInfo executando os comandos a seguir:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Quando solicitado, insira Y para aceitar.

  8. Digite o seguinte comando:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Observação

    As Marcas de Grupo permitem criar grupos de Microsoft Entra dinâmicos com base em um subconjunto de dispositivos. As Categorias de Grupo podem ser definidas durante a importação de dispositivos ou alteradas posteriormente no centro de administração do Microsoft Intune. Usaremos a Marca de Grupo CloudNative na Etapa 4. Você pode definir o nome da marca como algo diferente para seu teste.

  9. Quando for solicitado a fornecer credenciais, entre com sua conta de Administrador do Intune.

  10. Deixe o computador em experiência inicial até a Fase 2.

Etapa 4 – Criar Microsoft Entra grupo dinâmico para o dispositivo

Para limitar as configurações deste guia aos dispositivos de teste que você importa para o Windows Autopilot, crie um grupo de Microsoft Entra dinâmico. Esse grupo deve incluir automaticamente os dispositivos que importam para o Windows Autopilot e ter a Marca de Grupo CloudNative. Em seguida, você pode direcionar todas as configurações e aplicativos neste grupo.

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione Grupos>Novo grupo. Insira os seguintes detalhes:

    • Tipo de grupo: Selecione Segurança.
    • Nome do grupo: insira Autopilot Cloud-Native pontos de extremidade do Windows.
    • Tipo de associação: selecione Dispositivo Dinâmico.

  3. Selecione Adicionar consulta dinâmica.

  4. Na seção Sintaxe de Regra, selecione Editar.

  5. Cole o seguinte texto:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Selecione OK>Salvar>Criar.

Dica

Os grupos dinâmicos levam alguns minutos para serem preenchidos após a ocorrência de alterações. Em grandes organizações, pode levar muito mais tempo. Depois de criar um novo grupo, aguarde alguns minutos antes de verificar se o dispositivo já é membro do grupo.

Para obter mais informações sobre grupos dinâmicos para dispositivos, confira Regras para dispositivos.

Etapa 5 – Configurar a Página de Status do Registro

A página de status de registro (ESP) é o mecanismo que um profissional de TI usa para controlar a experiência do usuário final durante o provisionamento do ponto de extremidade. Confira Configurar a Página de Status do Registro. Para limitar o escopo da página status de registro, você pode criar um novo perfil e direcionar o grupo Autopilot Cloud-Native Windows Endpoints criado na etapa anterior, Criar Microsoft Entra grupo dinâmico para o dispositivo.

  • Para fins de teste, recomendamos as seguintes configurações, mas sinta-se à vontade para ajustá-las conforme necessário:
    • Mostrar o progresso da configuração do aplicativo e do perfil – Sim
    • Mostrar página somente para dispositivos provisionados pela OOBE (experiência inicial) – Sim (padrão)

Etapa 6 - Criar e atribuir o perfil do Windows Autopilot

Agora podemos criar um perfil do Windows Autopilot e atribuí-lo ao nosso dispositivo de teste. Esse perfil informa ao dispositivo para ingressar Microsoft Entra e quais configurações aplicar durante o OOBE.

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione Dispositivosinscrição> de perfis >de implantação doWindows Autopilot>.

  3. Selecione Criar perfil>Computador Windows.

  4. Insira o nome Ponto de Extremidade Nativo de Nuvem do Windows Autopilot e selecione Avançar.

  5. Revise e deixe as configurações padrão; em seguida, selecione Avançar.

  6. Deixe as marcas de escopo e selecione Avançar.

  7. Atribua o perfil ao grupo Microsoft Entra que você criou chamado Autopilot Cloud-Native Ponto de Extremidade do Windows, selecione Avançar e, em seguida, selecione Criar.

Etapa 7 - Sincronizar dispositivos do Windows Autopilot

O serviço do Windows Autopilot será sincronizado várias vezes por dia. Você também pode disparar uma sincronização imediatamente para que seu dispositivo esteja pronto para teste. Para sincronizar imediatamente:

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione Dispositivosque insiram>>dispositivosWindows Autopilot>.

  3. Selecione Sincronizar.

A sincronização leva vários minutos e continuará em segundo plano. Quando a sincronização for concluída, o status do perfil do dispositivo importado exibirá Atribuído.

Etapa 8 – Definir configurações para uma experiência otimizada do Microsoft 365

Selecionamos algumas configurações a serem configuradas. Essas configurações demonstrarão uma experiência do usuário final otimizada do Microsoft 365 em seu dispositivo nativo de nuvem do Windows. Essas configurações são definidas usando um perfil de catálogo de configurações de dispositivo. Para obter mais informações, confira Criar uma política usando o catálogo de configurações no Microsoft Intune.

Depois de criar o perfil e adicionar suas configurações, atribua o perfil ao grupo Pontos de Extremidades Nativos de Nuvem do Windows Autopilot criado anteriormente.

  • Microsoft Outlook
    Para melhorar a primeira experiência de execução do Microsoft Outlook, a configuração a seguir configurará automaticamente um perfil quando o Outlook for aberto pela primeira vez.

    • Microsoft Outlook 2016\Account Settings\Exchange (Configuração do usuário)
      • Configurar automaticamente apenas o primeiro perfil com base no endereço SMTP principal do Active Directory – Habilitado

  • Microsoft Edge
    Para melhorar a experiência de primeira execução do Microsoft Edge, as seguintes configurações fazem com que o Microsoft Edge sincronize as configurações do usuário e ignore a experiência de primeira execução.

    • Microsoft Edge
      • Ocultar a experiência de primeira execução e a tela inicial – Habilitado
      • Forçar a sincronização de dados do navegador e não mostrar a solicitação de consentimento de sincronização – Habilitado

  • Microsoft OneDrive

    Para melhorar a experiência da primeira entrada, as configurações a seguir configuram o Microsoft OneDrive para entrar automaticamente e redirecionar a Área de Trabalho, as Imagens e os Documentos para o OneDrive. O FOD (Arquivos Sob Demanda) também é recomendado. Ele está habilitado por padrão e não está incluído na lista a seguir. Para obter mais informações sobre a configuração recomendada para o aplicativo de sincronização do OneDrive, confira Configuração recomendada do aplicativo de sincronização para o Microsoft OneDrive.

    • OneDrive

      • Conectar silenciosamente usuários ao aplicativo de sincronização do OneDrive com as respectivas credenciais do Windows – Habilitado
      • Mover silenciosamente pastas conhecidas do Windows para o OneDrive – Habilitado

      Observação

      Para obter mais informações, confira Redirecionar Pastas Conhecidas.

A captura de tela a seguir mostra um exemplo de um perfil de catálogo de configurações com cada uma das configurações sugeridas definidas:

A Imagem mostra um exemplo de um perfil de catálogo de configurações no Microsoft Intune.

Etapa 9 - Criar e atribuir alguns aplicativos

Seu ponto de extremidade nativo de nuvem precisará de alguns aplicativos. Para começar, recomendamos configurar os aplicativos a seguir e direcioná-los no grupo Pontos de Extremidade Nativos de Nuvem do Windows Autopilot criado anteriormente.

  • Microsoft 365 Apps (anteriormente Office 365 ProPlus)
    Os aplicativos do Microsoft 365 como Word, Excel e Outlook podem ser facilmente instalados em dispositivos usando o perfil de aplicativo integrado Aplicativos do Microsoft 365 para Windows no Intune.

    • Selecione o designer de configuração para o formato de configurações, em vez de XML.
    • Selecione Canal Atual para o canal de atualização.

    Para implantar o Microsoft 365 Apps, confira Adicionar o Microsoft 365 Apps a dispositivos do Windows usando o Microsoft Intune

  • Aplicativo do Portal da Empresa
    É recomendável implantar o aplicativo Portal da Empresa do Intune em todos os dispositivos como um aplicativo necessário. O aplicativo Portal da Empresa é o hub de autoatendimento para os usuários que eles usam para instalar aplicativos de várias fontes, como Intune, Microsoft Store e Configuration Manager. Os usuários também usam o aplicativo Portal da Empresa para sincronizar seus dispositivos com o Intune, verificar o status de conformidade e assim por diante.

    Para implantar o Portal da Empresa conforme necessário, consulte Adicionar e atribuir o aplicativo Portal da Empresa do Windows para dispositivos gerenciados pelo Intune.

  • Aplicativo Microsoft Store (Whiteboard)
    Embora o Intune possa implantar uma grande variedade de aplicativos, implantaremos um aplicativo do repositório (Microsoft Whiteboard) para ajudar a manter as coisas simples para este guia. Siga as etapas em Adicionar aplicativos da Microsoft Store ao Microsoft Intune para instalar o Microsoft Whiteboard.

Fase 2 - Criar um ponto de extremidade nativo de nuvem do Windows

Fase 2.

Para criar seu primeiro ponto de extremidade nativo de nuvem do Windows, use a mesma máquina virtual ou dispositivo físico do qual você coletou detalhes e carregou o hash de hardware para o serviço do Windows Autopilot na Fase 1 > Etapa 3. Com esse dispositivo, realize o processo do Windows Autopilot.

  1. Retome (ou redefina, se necessário) seu computador Windows para a OOBE (experiência inicial).

    Observação

    Se for solicitado que você escolha a configuração para pessoal ou para uma organização, o processo do Autopilot não foi acionado. Nessa situação, reinicie o dispositivo e verifique se ele tem acesso à Internet. Se ainda assim não funcionar, tente restaurar o computador ou reinstalar o Windows.

  2. Entre com Microsoft Entra credenciais (UPN ou AzureAD\nome de usuário).

  3. A página de status de registro mostrará o status da configuração do dispositivo.

Parabéns! Você provisionou seu primeiro ponto de extremidade nativo de nuvem do Windows!

Confira algumas coisas do seu novo ponto de extremidade nativo de nuvem do Windows:

  • As pastas do OneDrive são redirecionadas. Quando o Outlook é aberto, ele é configurado automaticamente para se conectar ao Office 365.

  • Abra o aplicativo Portal da Empresa no Menu Iniciar e observe que o Microsoft Whiteboard estará disponível para instalação.

  • Considere testar o acesso do dispositivo a recursos locais, como compartilhamentos de arquivos, impressoras e sites de intranet.

    Observação

    Se você ainda não tiver configurado o Windows Hello para Empresas híbrido, poderá ser solicitado que os logons do Windows Hello insiram senhas para acessar recursos locais. Para continuar testando o acesso de logon único, você pode configurar o Windows Hello para Empresas Híbrido ou fazer logon no dispositivo com nome de usuário e senha, em vez do Windows Hello. Para fazer isso, selecione o ícone em forma de chave na tela de logon.

Fase 3 – Proteger seu ponto de extremidade nativo de nuvem do Windows

Fase 3.

Essa fase foi projetada para ajudar na criação das configurações de segurança para sua organização. Esta seção chama sua atenção para os vários componentes da Segurança do Ponto de extremidade no Microsoft Intune, incluindo:

Microsoft Defender Antivírus (MDAV)

As configurações a seguir são recomendadas como uma configuração mínima para o Microsoft Defender Antivírus, um componente de sistema operacional integrado do Windows. Essas configurações não exigem nenhum contrato de licenciamento específico, como E3 ou E5, e podem ser habilitadas no centro de administração do Microsoft Intune. No centro de administração, acesse Segurança do Ponto de extremidade>Antivírus>Criar Política>Windows e posterior>Tipo de perfil = Microsoft Defender Antivírus.

Proteção da Nuvem:

  • Ativar a proteção entregue na nuvem: Sim
  • Nível de proteção entregue na nuvem: Não configurado
  • Tempo Limite Estendido da Nuvem do Defender em Segundos: 50

Proteção em tempo real:

  • Ativar a proteção em tempo real: Sim
  • Habilitar a proteção de acesso: Sim
  • Monitoramento de arquivos de entrada e saída: Monitorar todos os arquivos
  • Ativar o monitoramento de comportamento: Sim
  • Ativar a prevenção contra intrusões: Sim
  • Habilitar proteção de rede: Habilitar
  • Verificar todos os arquivos e anexos baixados: Sim
  • Verificar scripts usados em navegadores da Microsoft: Sim
  • Verificar arquivos de rede: Não Configurado
  • Verificar emails: Sim

Correção:

  • Número de dias (0-90) para manter o malware em quarentena: 30
  • Enviar exemplos de consentimento: Enviar exemplos seguros automaticamente
  • Ação a ser tomada em aplicativos potencialmente indesejados: Habilitar
  • Ações para ameaças detectadas: Configurar
    • Baixa ameaça: Quarentena
    • Ameaça moderada: Quarentena
    • Alta ameaça: Quarentena
    • Ameaça grave: Quarentena

Configurações definidas no perfil MDAV na Segurança do Ponto de extremidade:

Captura de tela que mostra um exemplo de um perfil do Microsoft Defender Antivírus no Microsoft Intune.

Para obter mais informações sobre a configuração do Windows Defender, incluindo o Microsoft Defender para Ponto de Extremidade para cliente licenciado para E3 e E5, confira:

Microsoft Defender Firewall

Use a Segurança do Ponto de extremidade no Microsoft Intune para configurar o firewall e suas regras. Para obter mais informações, confira a Política de firewall para segurança do ponto de extremidade no Intune.

O Microsoft Defender Firewall pode detectar uma rede confiável usando o CSP NetworkListManager. Além disso, ele pode alternar para o perfil de firewall do domínio em pontos de extremidade que executam as seguintes versões do sistema operacional:

Usar o perfil de rede do domínio permite separar regras de firewall com base em uma rede confiável, em uma rede privada e em uma rede pública. Essas configurações podem ser aplicadas usando um perfil personalizado do Windows.

Observação

Microsoft Entra pontos de extremidade ingressados não podem aproveitar o LDAP para detectar uma conexão de domínio da mesma forma que os pontos de extremidade ingressados no domínio. Em vez disso, use o CSP NetworkListManager para especificar um ponto de extremidade TLS que, quando acessível, alternará o ponto de extremidade para o perfil de firewall do domínio.

Criptografia BitLocker

Use a Segurança do Ponto de extremidade no Microsoft Intune para configurar a criptografia com o BitLocker.

Essas configurações podem ser habilitadas no centro de administração do Microsoft Intune. No centro de administração, vá para Segurança do Ponto de extremidade>Criptografia de disco>Criar Política>Windows e posterior>Perfil = BitLocker.

Quando você define as seguintes configurações do BitLocker, elas habilitam silenciosamente a criptografia de 128 bits para usuários padrão, que é um cenário comum. No entanto, sua organização pode ter requisitos de segurança diferentes, portanto, consulte a documentação do BitLocker para obter configurações adicionais.

BitLocker – Configurações Base:

  • Habilitar criptografia de disco total para sistemas operacionais e unidades de dados fixas: Sim
  • Exigir criptografia dos cartões de armazenamento (somente para dispositivos móveis): Não configurado
  • Ocultar prompt sobre criptografia de terceiros: Sim
    • Permitir que os usuários padrão habilitem a criptografia durante o Autopilot: Sim
  • Configurar rotação de senha de recuperação orientada pelo cliente: Habilitar a rotação em dispositivos ingressados no Azure AD

BitLocker – Configurações de Unidade Fixa:

  • Política de unidade fixa do BitLocker: Configurar
  • Recuperação de unidade fixa: Configurar
    • Criação de arquivo de chave de recuperação: Bloqueado
    • Configurar o pacote de recuperação do BitLocker: Senha e chave
    • Exigir que o dispositivo faça backup das informações de recuperação no Azure AD: Sim
    • Criação de senha de recuperação: Permitido
    • Ocultar opções de recuperação durante a instalação do BitLocker: Não configurado
    • Habilitar o BitLocker depois que as informações de recuperação forem armazenadas: Sim
    • Bloquear o uso do DRA (agente de recuperação de dados) com base em certificado: Não configurado
    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker: Não configurado
    • Configurar o método de criptografia para unidades de dados fixas: Não configurado

BitLocker – Configurações da Unidade do SO:

  • Política de unidade do sistema BitLocker: Configurar
    • Autenticação de inicialização necessária: Sim
    • Inicialização de TPM compatível: Obrigatório
    • PIN de inicialização do TPM compatível: Bloqueio
    • Chave de inicialização do TPM compatível: Bloqueio
    • Chave de inicialização e PIN do TPM compatíveis: Bloqueio
    • Desabilitar o BitLocker nos dispositivos com os quais o TPM é incompatível: Não configurado
    • Habilitar a mensagem e a url de recuperação de pré-reinicialização: Não configurado
  • Recuperação da unidade do sistema: Configurar
    • Criação de arquivo de chave de recuperação: Bloqueado
    • Configurar o pacote de recuperação do BitLocker: Senha e chave
    • Exigir que o dispositivo faça backup das informações de recuperação no Azure AD: Sim
    • Criação de senha de recuperação: Permitido
    • Ocultar opções de recuperação durante a instalação do BitLocker: Não configurado
    • Habilitar o BitLocker depois que as informações de recuperação forem armazenadas: Sim
    • Bloquear o uso do DRA (agente de recuperação de dados) com base em certificado: Não configurado
    • Comprimento mínimo do PIN: deixar em branco
    • Configurar o método de criptografia para unidades do Sistema Operacional: Não configurado

BitLocker – Configurações da Unidade Removível:

  • Política de unidade removível do BitLocker: Configurar
    • Configurar o método de criptografia para unidades de dados removíveis: Não configurado
    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker: Não configurado
    • Bloquear o acesso de gravação a dispositivos configurados em outra organização: Não configurado

LAPS (Solução de Senha de Administrador Local) do Windows

Por padrão, a conta de administrador local interna (SID conhecida S-1-5-500) está desabilitada. Há alguns cenários em que uma conta de administrador local poderá ser benéfica, como solução de problemas, suporte ao usuário final e recuperação de dispositivo. Se você decidir habilitar a conta de administrador interna ou criar uma nova conta de administrador local, será importante proteger a senha dessa conta.

A LAPS (Solução de Senha do Administrador Local do Windows) é um dos recursos que você pode usar para randomizar e armazenar com segurança a senha no Microsoft Entra. Se você estiver usando o Intune como seu serviço MDM, use as etapas a seguir para habilitar a LAPS do Windows.

Importante

A LAPS do Windows pressupõe que a conta de administrador local padrão esteja habilitada, mesmo que ela seja renomeada ou se você criar outra conta de administrador local. A LAPS do Windows não criará ou habilitará nenhuma conta local para você.

Você precisará criar ou habilitar contas locais separadamente da configuração da LAPS do Windows. Você poderá criar um script dessa tarefa ou usar os CSP (Provedores de Serviços de Configuração), como o CSP de Contas ou o CSP de Política.

  1. Certifique-se de seus dispositivos Windows 10 (20H2 ou posterior) ou Windows 11 tenham a atualização de segurança de abril de 2023 (ou posterior) instalada.

    Para obter mais informações, acesse Microsoft Entra atualizações do sistema operacional.

  2. Habilitar o Windows LAPS no Microsoft Entra:

    1. Entre no Microsoft Entra.
    2. Para a configuração Habilitar a Solução de Senha de Administrador Local (LAPS), selecione Sim>Salvar (topo da página).

    Para obter mais informações, acesse Habilitar o Windows LAPS com Microsoft Entra.

  3. No Intune, crie uma política de segurança de ponto de extremidade:

    1. Entre no Centro de administração do Microsoft Intune.
    2. Selecione Segurança de Ponto de extremidade>Proteção de Conta>Criar Política>Windows 10 e posterior>Solução de Senha de Administrador Local (LAPS do Windows)>Criar.

    Para obter mais informações, acesse Criar uma política de LAPS no Intune.

Linhas de base de segurança

Você pode usar linhas de base de segurança para aplicar um conjunto de configurações conhecidas para aumentar a segurança de um ponto de extremidade do Windows. Para obter mais informações sobre linhas de base de segurança, confira Configurações de linha de base de segurança do MDM do Windows para o Intune.

As linhas de base podem ser aplicadas usando as configurações sugeridas e personalizadas de acordo com seus requisitos. Algumas configurações nas linhas de base podem causar resultados inesperados ou ser incompatíveis com aplicativos e serviços em execução nos pontos de extremidade do Windows. Como resultado, as linhas de base deverão ser testadas isoladamente. Aplique a linha de base somente a um grupo seletivo de pontos de extremidade de teste sem nenhum outro perfil de configuração ou configuração.

Problemas Conhecidos das Linhas de Base de Segurança

As seguintes configurações na linha de base de segurança do Windows podem causar problemas com o Windows Autopilot ou tentar instalar aplicativos como um usuário padrão:

  • Comportamento de solicitação de elevação do Administrador/Opções de Segurança das Políticas Locais (padrão = Solicitar consentimento na área de trabalho segura)
  • Comportamento padrão de solicitação de elevação do usuário (padrão = Negar automaticamente solicitações de elevação)

Para obter mais informações, confira Conflitos de política do Windows Autopilot.

Windows Update para Empresas

Windows Update para Empresas é a tecnologia de nuvem para controlar como e quando as atualizações serão instaladas em dispositivos. No Intune, o Windows Update para Empresas pode ser configurado usando:

Para obter mais informações, confira:

Se você quiser um controle mais granular para Atualizações do Windows e usa o Configuration Manager, considere o cogerenciamento.

Fase 4 – Aplicar personalizações e revisar sua configuração local

Fase 4.

Nesta fase, você aplicará configurações específicas da organização, aplicativos e revisará sua configuração local. A fase foi projetada para ajudar você a criar personalizações específicas para sua organização. Preste atenção aos vários componentes do Windows, como você pode examinar as configurações existentes a partir de um ambiente de Política de Grupo do AD local e aplicá-las aos pontos de extremidade nativos de nuvem. Há seções para cada uma das seguintes áreas:

Microsoft Edge

Implementação do Microsoft Edge

O Microsoft Edge está incluído em dispositivos que executam:

  • Windows 11
  • Windows 10 20H2 ou posterior.
  • Windows 10 1803 ou posterior, com a atualização de segurança mensal cumulativa de maio de 2021 ou posterior.

Depois que os usuários se conectarem, o Microsoft Edge será atualizado automaticamente. Para disparar uma atualização do Microsoft Edge durante a implantação, você pode executar o seguinte comando:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Para implantar o Microsoft Edge em versões anteriores do Windows, confira Adicionar o Microsoft Edge para Windows ao Microsoft Intune.

Configuração do Microsoft Edge

Dois componentes da experiência do Microsoft Edge, que se aplicam quando os usuários se conectam com suas credenciais do Microsoft 365, podem ser configurados no Centro de administração do Microsoft 365.

  • O logotipo da página inicial do Microsoft Edge pode ser personalizado configurando a seção Sua organização no Centro de administração do Microsoft 365. Para obter mais informações, confira Personalizar o tema do Microsoft 365 para sua organização.

  • A experiência padrão da página nova guia no Microsoft Edge inclui informações e notícias personalizadas do Office 365. A maneira como essa página é exibida pode ser personalizada no centro de administração do Microsoft 365 em Configurações>Configurações da organização>Notícias>Página de nova guia do Microsoft Edge.

Também é possível definir outras configurações para o Microsoft Edge usando perfis de catálogo de configurações. Por exemplo, talvez você queira definir configurações de sincronização específicas para sua organização.

  • Microsoft Edge
    • Configurar a lista de tipos excluídos da sincronização – senhas

Layout de Iniciar e da Barra de Tarefas

Também é possível personalizar e definir um layout padrão de Iniciar e da barra de tarefas usando o Intune.

Catálogo de configurações

O catálogo de configurações é um local único onde estão listadas todas as configurações do Windows. Esse recurso simplifica a criação de uma política e como você vê todas as configurações disponíveis. Para obter mais informações, confira Criar uma política usando o catálogo de configurações no Microsoft Intune.

Observação

A seguir estão algumas configurações disponíveis no catálogo de configurações que podem ser relevantes para sua organização:

  • Domínio do locatário preferencial do Azure Active Directory
    Essa configuração define o nome de domínio de locatário preferencial a ser anexado ao nome de usuário do usuário. Um domínio de locatário preferencial permite que os usuários entrem em pontos de extremidade Microsoft Entra com apenas seu nome de usuário em vez de todo o UPN desde que o nome de domínio do usuário corresponda ao domínio de locatário preferencial. Para usuários com nomes de domínio diferentes, eles podem digitar todo o UPN.

    A configuração pode ser encontrada em:

    • Autenticação
      • Nome de Domínio do Locatário AAD Preferencial - Especifique o nome de domínio, como contoso.onmicrosoft.com.

  • Windows Spotlight
    Por padrão, vários recursos de Windows estão habilitados, o que resulta na instalação de aplicativos da Store selecionados e sugestões de terceiros na tela de bloqueio. Você pode controlar isso usando a seção Experiência do catálogo de configurações.

    • Experiência
      • Permitir Recursos do Consumidor do Windows – Bloquear
      • Permitir Sugestões de Terceiros no Windows Spotlight (usuário) – Bloquear

  • Microsoft Store
    Normalmente, as organizações querem restringir os aplicativos que podem ser instalados em pontos de extremidade. Use essa configuração se sua organização quiser controlar quais aplicativos podem ser instalados a partir da Microsoft Store. Essa configuração impedirá que os usuários instalem aplicativos, a menos que eles sejam aprovados.

  • Bloquear Jogos
    As organizações podem preferir que os pontos de extremidade corporativos não possam ser usados para jogar. A página Jogos no aplicativo Configurações pode ser ocultada inteiramente usando a configuração a seguir. Para obter informações adicionais sobre a visibilidade da página de configurações, consulte a documentação do CSP e a referência do esquema de URI de ms-settings.

    • Settings
      • Lista de Visibilidade de Página – hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame

  • Controlar a Visibilidade do Ícone de Chat na Barra de Tarefas A visibilidade do ícone de Chat na barra de tarefas do Windows 11 pode ser controlada usando o CSP de Política.

    • Experiência
      • Ícone Configurar Chat - Desabilitado

  • Controlar em quais locatários o cliente da área de trabalho do Teams pode entrar

    Quando essa política é configurada em um dispositivo, os usuários só podem entrar com contas abrigadas em um locatário Microsoft Entra que está incluído na "Lista de Permissões de Locatário" definida nesta política. A "Lista de Permissões de Locatário" é uma lista separada por vírgulas de Microsoft Entra IDs de locatário. Ao especificar essa política e definir um locatário Microsoft Entra, você também bloqueia a entrada no Teams para uso pessoal. Para obter mais informações, confira Como restringir a entrada em dispositivos de área de trabalho.

    • Modelos Administrativos\ Microsoft Teams
      • Restringir a entrada no Teams para contas em locatários específicos (Usuário) - Ativado

Restrições do Dispositivo

Os modelos de restrições de Dispositivos do Windows contêm muitas das configurações necessárias para garantir e gerenciar um ponto de extremidade do Windows usando CSPs (Provedores de Serviços de Configuração do Windows). Mais dessas configurações serão disponibilizadas no catálogo de configurações ao longo do tempo. Para obter mais informações, confira Restrições do Dispositivo.

Para criar um perfil que usa o modelo de restrições de dispositivo, no centro de administração Microsoft Intune, acesseConfiguração>de dispositivos>Criar> Selecionar Windows 10 e posterior para ou Plataforma e Modelos pararestrições de dispositivo do tipo de perfil>.

  • URL da imagem de tela de fundo da área de trabalho (Somente área de trabalho)
    Use essa configuração para definir um papel de parede em SKUs do Windows Enterprise ou do Windows Education. Você hospedará o arquivo online ou referenciará um arquivo que foi copiado localmente. Para definir essa configuração, na guia Definições de configuração no perfil Restrições do Dispositivo, expanda Personalização e configure a URL da imagem em segundo plano da área de trabalho (Somente área de trabalho).

  • Requer que os usuários se conectem à rede durante a instalação do dispositivo
    Essa configuração reduz o risco de um dispositivo ignorar o Windows Autopilot se o computador for redefinido. Essa configuração exige que os dispositivos tenham uma conexão de rede durante a fase de experiência inicial. Para definir essa configuração, na guia Definições de configuração no perfil Restrições do dispositivo, expanda Geral e configure Exigir que os usuários se conectem à rede durante a configuração do dispositivo.

    Observação

    A configuração entra em vigor na próxima vez que o dispositivo for apagado ou redefinido.

Otimização de Entrega

A Otimização de Entrega é usada para reduzir o consumo de largura de banda, compartilhando o trabalho de baixar pacotes com suporte entre vários pontos de extremidade. A Otimização de Entrega é um cache distribuído auto-organizado que permite que os clientes baixem esses pacotes de fontes alternativas, como pares na rede. Essas fontes de par complementam os servidores tradicionais baseados na Internet. Você pode descobrir todas as configurações disponíveis para Otimização de Entrega e quais tipos de downloads têm suporte na Otimização de Entrega para atualizações do Windows.

Para aplicar as configurações de Otimização de Entrega, crie um perfil de Otimização de Entrega do Intune ou um perfil de catálogo de configurações.

Algumas configurações que são comumente usadas pelas organizações são:

  • Restringir a seleção de pares – sub-rede. Essa configuração restringe o cache de pares a computadores na mesma sub-rede.
  • ID do Grupo. Os clientes de Otimização de Entrega podem ser configurados apenas para compartilhar conteúdo com dispositivos no mesmo grupo. As IDs de grupo podem ser configuradas diretamente ao enviar um GUID por meio de política ou usando opções DHCP em escopos DHCP.

Os clientes que usam o Microsoft Configuration Manager podem implantar servidores de cache conectados que podem ser usados para hospedar conteúdo da Otimização de Entrega. Para obter mais informações, confira Cache Conectado à Microsoft no Configuration Manager.

Administradores Locais

Se houver apenas um grupo de usuários que precise de acesso do administrador local a todos os Microsoft Entra dispositivos Windows ingressados, você poderá adicioná-los ao administrador local do dispositivo ingressado Microsoft Entra.

Você pode ter um requisito para que a assistência técnica de TI ou outra equipe de suporte tenha direitos de administrador local em um grupo selecionado de dispositivos. Com o Windows 2004 ou posterior, você pode atender a esse requisito usando os seguintes CSPs (Provedores de Serviços de Configuração).

  • O ideal é usar o CSP de Grupos e Usuários Locais, que requer o Windows 10 20H2 ou posterior.
  • Se você tiver o Windows 10 20H1 (2004) use o CSP de Grupos Restritos (sem ação de atualização, apenas substituição).
  • Versões anteriores do Windows ao Windows 10 20H1 (2004) não podem usar grupos, apenas contas individuais.

Para obter mais informações, acesse Como gerenciar o grupo de administradores locais em Microsoft Entra dispositivos ingressados

Política de Grupo para Migração de Configuração do MDM

Há várias opções para criar a configuração do dispositivo ao considerar uma migração da Política de Grupo para o gerenciamento de dispositivos nativos de nuvem:

  • Comece do zero e aplique as configurações personalizadas conforme necessário.
  • Revise as Políticas de Grupo existentes e aplique as configurações necessárias. Você pode usar ferramentas para ajudar, como a Análise de Política de Grupo.
  • Use a Análise de Política de Grupo para criar perfis de Configuração de Dispositivo diretamente para configurações com suporte.

A transição para um ponto de extremidade nativo de nuvem do Windows representa uma oportunidade de revisar os requisitos de computação do usuário final e estabelecer uma nova configuração para o futuro. Sempre que possível, comece com um conjunto mínimo de políticas. Tente evitar o encaminhamento de configurações desnecessárias ou herdadas de um ambiente ingressado no domínio ou de sistemas operacionais mais antigos, como Windows 7 ou Windows XP.

Para começar do zero, revise seus requisitos atuais e implemente um conjunto mínimo de configurações para atender a esses requisitos. Os requisitos podem incluir configurações de segurança obrigatórias ou regulamentares, e configurações para aprimorar a experiência do usuário final. A empresa cria uma lista de requisitos, não o TI. Todas as configurações devem ser documentadas, compreendidas e devem servir a uma finalidade.

Migrar configurações de Políticas de Grupo existentes para MDM (Microsoft Intune) não é a abordagem preferencial. Quando você faz a transição para o Windows nativo da nuvem, a intenção não deve ser a de remover e alterar as configurações de política de grupo existentes. Em vez disso, considere o público-alvo e quais configurações eles exigem. É demorado e provavelmente impraticável examinar cada configuração de política de grupo em seu ambiente para determinar sua relevância e compatibilidade com um dispositivo gerenciado moderno. Evite tentar avaliar cada política de grupo e configurações individuais. Em vez disso, concentre-se em avaliar as políticas comuns que abrangem a maioria dos dispositivos e cenários.

Em vez disso, identifique as configurações de política de grupo obrigatórias e examine essas configurações em relação às configurações de MDM disponíveis. As lacunas representariam bloqueadores que podem impedir que você avance com um dispositivo nativo de nuvem, se não forem resolvidas. Ferramentas como a Análise de Política de Grupo podem ser usadas para analisar as configurações de políticas de grupo e determinar se elas podem ser migradas para políticas de MDM ou não.

Scripts

Você pode usar scripts do PowerShell para as configurações ou personalizações que você precisa configurar fora dos perfis de configuração internas. Para obter mais informações, confira Adicionar scripts do PowerShell a dispositivos Windows no Microsoft Intune.

Mapeamento de Unidades de Rede e Impressoras

Os cenários nativos de nuvem não têm solução interna para unidades de rede mapeadas. Em vez disso, recomendamos que os usuários migrem para o Teams, o SharePoint e o OneDrive for Business. Se necessário, considere o uso de scripts se a migração não for possível.

Para armazenamento pessoal, na Etapa 8 – Definir configurações para uma experiência otimizada do Microsoft 365, configuramos a movimentação de Pasta Conhecida do OneDrive. Para obter mais informações, confira Redirecionar Pastas Conhecidas.

Para o armazenamento de documentos, os usuários também podem se beneficiar da integração do SharePoint com o Explorador de Arquivos, bem como da capacidade de sincronizar bibliotecas localmente, conforme referenciado aqui: Sincronizar arquivos do SharePoint e do Teams com seu computador.

Se você usar modelos de documentos corporativos do Office, que normalmente estão em servidores internos, considere o equivalente baseado em nuvem mais recente que permite que os usuários acessem os modelos de qualquer lugar.

Para soluções de impressão, considere a Impressão Universal. Para obter mais informações, confira:

Aplicativos

O Intune dá suporte à implantação de vários tipos de aplicativos diferentes do Windows.

Se você tiver aplicativos que usam MSI, EXE ou instaladores de scripts, você poderá implantar todas esses aplicativos usando o Gerenciamento de aplicativos Win32 no Microsoft Intune. Encapsular estes instaladores no formato Win32 oferece mais flexibilidade e benefícios que incluem notificações, otimização da entrega, dependências, regras de detecção e suporte para a Página de Status de Registro no Windows Autopilot.

Observação

Para evitar conflitos durante a instalação, recomendamos que você use exclusivamente os aplicativos de linha de negócios do Windows ou os recursos de aplicativos Win32. Se você tiver aplicativos empacotados como .msi ou .exe, eles poderão ser convertidos em aplicativos Win32 (.intunewin) usando a Ferramenta de Preparação de Conteúdo do Microsoft Win32, que está disponível no GitHub.

Fase 5 – Implantar em escala com o Windows Autopilot

Fase 5.

Agora que você configurou seu ponto de extremidade Windows nativo da nuvem e o provisionou com o Windows Autopilot, considere como importar mais dispositivos. Considere também como você pode trabalhar com seu parceiro ou fornecedor de hardware para começar a provisionar novos pontos de extremidade a partir da nuvem. Revise os recursos a seguir para determinar a melhor abordagem para sua organização.

Se, por algum motivo, o Windows Autopilot não for a opção certa para você, há outros métodos de registro para o Windows. Para obter mais informações, confira Métodos de registro do Intune para dispositivos Windows.

Siga as diretrizes de pontos de extremidade nativos de nuvem

  1. Visão geral: o que são pontos de extremidade nativos de nuvem?
  2. 🡺 Tutorial: introdução aos pontos de extremidade nativos de nuvem do Windows (Você está aqui)
  3. Conceito: ingressado Microsoft Entra vs. Hybrid Microsoft Entra ingressado
  4. Conceito: pontos de extremidade nativos de nuvem e recursos locais
  5. Guia de planejamento de alto nível
  6. Problemas conhecidos e informações importantes

Recursos online úteis