Compartilhar via

Atribuir políticas no Microsoft Intune

  • Artigo

Quando cria uma política do Intune, isso inclui todas as definições que você adicionou e configurou na política. Quando a política estiver pronta para ser implementada, o próximo passo é "atribuir" a política aos grupos de usuários ou de dispositivos. Quando você atribui a política, os usuários e dispositivos recebem sua política e as configurações inseridas são aplicadas.

No Intune, você pode criar e atribuir as seguintes políticas:

  • Políticas de proteção de aplicativos
  • Políticas de configuração do usuário
  • Políticas de conformidade
  • Políticas de acesso condicional
  • Perfis de configuração do dispositivo
  • Políticas de registro

Esse artigo mostra como você deve atribuir uma política, inclui algumas informações sobre como usar marcas de escopo, descreve quando atribuir políticas a grupos de usuários ou grupos de dispositivos, e muito mais.

Antes de começar

  • Certifique-se de que você tem a função correta que pode atribuir políticas e perfis. Para obter mais informações, acesse Controle de acesso baseado em função (RBAC) com o Microsoft Intune.

  • Considere usar o Microsoft Copilot no Intune. Alguns do benefícios incluem:

    • Quando você cria uma política e define as configurações, o Copilot fornece mais informações sobre cada configuração, pode recomendar um valor e encontrar possíveis conflitos.
    • Quando você atribui uma política, o Copilot pode informá-lo dos grupos aos quais a política é atribuída e ajudá-lo a entender o efeito da política.

    Para obter mais informações, acesse Microsoft Copilot no Intune.

Atribuir uma política a usuários ou grupos

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Gerenciar dispositivos>Configuração. Todos os perfis são listados.

  3. Selecione o perfil que você quer atribuir >Propriedades>Atribuições>Editar:

    Por exemplo, para atribuir um perfil de configuração de dispositivo:

    1. Acesse Dispositivos>Gerenciar dispositivos>Configuração. Todos os perfis são listados.

    2. Selecione a política que você quer atribuir >Propriedades>Atribuições>Editar:

      Captura de tela mostrando como selecionar atribuições para implementar o perfil nos usuários e grupos no Microsoft Intune.

  4. Em Grupos incluídos ou Grupos excluídos, selecione Adicionar grupos para selecionar um ou mais grupos do Microsoft Entra. Se você pretende implantar a política amplamente em todos os dispositivos aplicáveis, selecione Adicionar todos os usuários ou Adicionar todos os dispositivos.

    Observação

    Se você selecionar "Todos os Dispositivos" e "Todos os Usuários", a opção de adicionar grupos adicionais do Microsoft Entra será desabilitado.

  5. Clique em Examinar + Salvar. Essa etapa não atribui sua política.

  6. Selecione Salvar. Quando você salva, sua política é atribuída. Seus grupos receberão suas configurações de política quando os dispositivos fazerem check-in com o serviço do Intune.

Recursos de atribuição que você deve conhecer e usar

Grupos de usuários X grupos de dispositivos

Muitos usuários perguntam quando devem usar grupos de usuários e quando devem usar grupos de dispositivos. A resposta depende da sua meta. Confira algumas diretrizes para começar.

Grupos de dispositivos

Se você quiser aplicar as configurações em um dispositivo, independentemente de quem estiver conectado, atribua suas políticas a um grupo de dispositivos. As configurações aplicadas aos grupos de dispositivos sempre acompanham o dispositivo, não o usuário.

Por exemplo:

  • Os grupos de dispositivos são úteis para gerenciar dispositivos sem um usuário dedicado. Por exemplo, você tem dispositivos que imprimem tíquetes, verificam inventários, são compartilhados por operadores de turno, são atribuídos a um depósito específico e assim por diante. Coloque esses dispositivos em um grupo de dispositivos e atribua suas políticas a esse grupo de dispositivos.

  • Crie um perfil do Intune para a DFCI (Interface de Configuração de Firmware do Dispositivo) que atualiza as configurações no BIOS. Por exemplo, você deve configurar essa política para desabilitar a câmera do dispositivo ou bloquear as opções de inicialização para impedir que os usuários inicializem outro sistema operacional. Essa política é um bom cenário para atribuir a um grupo de dispositivos.

  • Em alguns dispositivos Windows específicos, você sempre deseja controlar algumas configurações do Microsoft Edge, independentemente de quem usa o dispositivo. Por exemplo, você deseja bloquear todos os downloads, limitar todos os cookies para a sessão de navegação atual e excluir o histórico de navegação. Nesse cenário, coloque esses dispositivos Windows específicos em um grupo de dispositivos. Em seguida, crie um Modelo administrativo no Intune, adicione essas configurações de dispositivo e atribua essa política ao grupo de dispositivos.

Para resumir, use grupos de dispositivos quando você não se importa com quem está conectado ao dispositivo ou se alguém está conectado. Você quer que essas configurações sempre estejam no dispositivo.

Grupos de usuários

As configurações de política aplicadas aos grupos de usuários sempre acompanham o usuário e o acompanharão quando ele fizer login nos seus vários dispositivos. É normal que os usuários tenham muitos dispositivos, como um Surface Pro para trabalhar e um dispositivo iOS/iPadOS pessoal. E é normal que a pessoa acesse email e outros recursos da organização nesses dispositivos.

Se um usuário tiver vários dispositivos na mesma plataforma, você poderá usar filtros na atribuição de grupo. Por exemplo, um usuário tem um dispositivo pessoal iOS/iPadOS e um iOS/iPadOS de propriedade da organização. Ao atribuir uma política para esse usuário, você pode usar filtros para direcionar somente o dispositivo de propriedade da organização.

Siga esta regra geral: se um recurso pertencer a um usuário, como email ou certificados de usuário, atribua-o a grupos de usuários.

Por exemplo:

  • Você deseja colocar um ícone de Suporte técnico para todos os usuários em todos os dispositivos deles. Nesse cenário, coloque esses usuários em um grupo de usuários e atribua a política de ícones do Suporte Técnico a esse grupo de usuários.

  • Um usuário recebe um novo dispositivo de propriedade da organização. O usuário entra no dispositivo com a conta de domínio dele. O dispositivo é registrado automaticamente no Microsoft Entra ID e gerenciado automaticamente pelo Intune. Essa política é um bom cenário para atribuir a um grupo de usuários.

  • Sempre que um usuário entra em um dispositivo, você deseja controlar recursos em aplicativos, como OneDrive ou Office. Nesse cenário, atribua as configurações de política do OneDrive ou do Office a um grupo de usuários.

    Por exemplo, você deseja bloquear controles ActiveX não confiáveis em aplicativos do Office. Você pode criar um Modelo Administrativo no Intune, definir essa configuração e atribuir essa política a um grupo de usuários.

Para resumir, use grupos de usuários quando desejar que suas configurações e regras sempre acompanhem o usuário em qualquer dispositivo que ele usar.

Várias sessões da Área de Trabalho Virtual do Azure

Você pode usar o Intune para gerenciar áreas de trabalho remotas com várias sessões do Windows criadas com a Área de Trabalho Virtual do Azure, da mesma forma que você gerencia qualquer outro dispositivo cliente Windows compartilhado. Quando você atribui políticas a grupos de usuários ou dispositivos, a Multissessão da Área de Trabalho Virtual do Azure é um cenário especial. Quanto às máquinas virtuais, os CSPs do dispositivo devem ter como destino grupos de dispositivos. Os CSPs de usuário devem ter como destino os grupos de usuários.

Para obter mais informações, acesse Usar várias sessões da Área de Trabalho Virtual do Azure com o Microsoft Intune.

CSPs do Windows e seu comportamento

As configurações de política para dispositivos Windows são baseadas nos provedores de serviços de configuração (CSPs). Essas configurações são mapeadas para arquivos ou chaves do registro nos dispositivos.

Veja o que você precisa saber sobre os CSPs do Windows:

  • O Intune expõe esses CSPs para que você possa definir essas configurações e atribuí-las aos seus dispositivos do Windows. Essas configurações são configuráveis usando os modelos internos e usando o catálogo de configurações. No catálogo de configurações, você verá que algumas configurações se aplicam ao escopo do usuário e algumas configurações se aplicam ao escopo do dispositivo.

    Para obter informações sobre como as configurações no escopo do usuário e no escopo do dispositivo são aplicadas a dispositivos Windows, vá para Catálogo de configurações: configurações do escopo do dispositivo versus do escopo do usuário.

  • Quando uma política é removida ou não é mais atribuída a um dispositivo, coisas diferentes podem acontecer, dependendo das configurações na política. Todos os CSPs podem lidar com a remoção de política de maneira diferente.

    Por exemplo, uma configuração pode manter o valor existente e não ser revertida para o valor padrão. Todos os CSPs controlam o comportamento. Para obter uma lista de CSPs do Windows, confira referência do CSP (provedor de serviços de configuração).

    Para alterar uma configuração para um valor diferente, crie uma nova política, defina a configuração como Não configurado, e atribua a política. Quando a política se aplica ao dispositivo, os usuários devem ter controle para alterar a configuração para seu valor preferencial.

  • Ao definir essas configurações, sugerimos a implantação em um grupo piloto. Para obter mais conselhos de distribuição do Intune, confira Criar um plano de distribuição.

Excluir grupos de uma atribuição de política

As políticas de configuração de dispositivos do Intune permitem que você inclua e exclua grupos da atribuição de políticas.

Práticas recomendadas:

  • Crie e atribua políticas especificamente para seus grupos de usuários. Use filtros para incluir ou excluir dispositivos desses usuários.
  • Crie e atribua políticas diferentes especificamente para seus grupos de dispositivos.

Para obter mais informações sobre grupos, confira Adicionar grupos para organizar usuários e dispositivos.

Princípios de inclusão e exclusão de grupos

Ao atribuir suas políticas e perfis, aplique os seguintes princípios gerais:

  • Considere os Grupos incluídos ou Grupos excluídos como um ponto de partida para os usuários e os dispositivos que receberão suas políticas. O grupo do Microsoft Entra é o grupo limitador, portanto, use o menor escopo de grupo possível. Use filtros para limitar ou refinar sua atribuição de política.

  • Os grupos do Microsoft Entra atribuídos, também conhecidos como grupos estáticos, podem ser adicionados a grupos incluídos ou grupos excluídos.

    Normalmente, você atribui dispositivos de forma estática a um grupo do Microsoft Entra se eles estiverem pré-registrados no Microsoft Entra ID, como no Windows Autopilot. Ou se você quiser combinar dispositivos para uma implantação única, ad hoc. Caso contrário, talvez não seja prático atribuir estaticamente dispositivos a um grupo do Microsoft Entra.

  • Os grupos de usuários dinâmicos do Microsoft Entra podem ser adicionados a grupos incluídos ou grupos excluídos.

  • Os grupos excluídos podem ser grupos com usuários ou grupos com dispositivos.

  • Os grupos de dispositivos dinâmicos do Microsoft Entra podem ser adicionados aos grupos incluídos. No entanto, pode haver latência ao preencher a associação de grupo dinâmica. Em cenários sensíveis à latência, use filtros para direcionar dispositivos específicos e atribua suas políticas a grupos de usuários.

    Por exemplo, você deseja que as políticas sejam atribuídas aos dispositivos assim que eles se registrarem. Nessa situação sensível à latência, crie um filtro para direcionar os dispositivos que você deseja e atribua a política com esse filtro a grupos de usuários. Não atribua a grupos de dispositivos.

    Em um cenário sem usuário, crie um filtro para direcionar os dispositivos que você quer e atribua a política com o filtro ao grupo "Todos os dispositivos".

  • Evite adicionar grupos dinâmicos dos dispositivos Microsoft Entra aos grupos excluídos. A latência no cálculo de grupos de dispositivos dinâmicos no registro pode causar resultados indesejáveis. Por exemplo, aplicativos indesejados e políticas podem ser implantados antes que a associação de grupo excluída seja populada.

Matriz de suporte

Use a matriz a seguir para entender o suporte para excluir grupos:

  • ✔️: com suporte
  • ❌: sem suporte
  • ❕: com suporte parcial

Captura de tela mostrando as opções suportadas para incluir ou excluir grupos de uma atribuição de política.

Cenário Suporte
1 ❕ Suporte parcial

Há suporte para atribuir políticas a um grupo de dispositivos dinâmicos e a exclusão de outro grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos.

Por exemplo, você tem uma política de dispositivo atribuída a Todos os dispositivos. Mais tarde, você tem um requisito de que novos dispositivos de marketing não recebem essa política. Portanto, você cria um grupo de dispositivos dinâmicos chamado Dispositivos de marketing com base na propriedade enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Na política, você adiciona o grupo dinâmico Dispositivos de marketing como um grupo excluído.

Um novo dispositivo de marketing é registrado no Intune pela primeira vez e um novo objeto de dispositivo do Microsoft Entra é criado. O processo de agrupamento dinâmico coloca o dispositivo no grupo Dispositivos de marketing com um possível cálculo atrasado. Ao mesmo tempo, o dispositivo é registrado no Intune e começa a receber todas as políticas aplicáveis. A política do Intune pode ser implantada antes que o dispositivo seja colocado no grupo de exclusão. Esse comportamento resulta em uma política (ou aplicativo) indesejada implantada no grupo Dispositivos de marketing.

Como resultado, não recomendamos usar grupos de dispositivos dinâmicos para exclusões nos cenários sensíveis à latência. Em vez disso, use filtros.
2 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de dispositivos dinâmicos e excluir um grupo de dispositivos estáticos.
3 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de dispositivos dinâmicos e, ao mesmo tempo, excluir grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo entre usuários e dispositivos, e os dispositivos dos usuários incluídos não são excluídos.
4 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de dispositivos dinâmicos e excluir grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo entre usuários e dispositivos, e os dispositivos dos usuários incluídos não são excluídos.
5 ❕ Suporte parcial

Há suporte para atribuir uma política a um grupo de dispositivos estáticos e excluir um grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos.
6 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de dispositivos estáticos e excluir um grupo de dispositivos estáticos diferente.
7 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de dispositivos estáticos e excluir grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo entre usuários e dispositivos, e os dispositivos dos usuários incluídos não são excluídos.
8 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de dispositivos estáticos e excluir grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo entre usuários e dispositivos, e os dispositivos dos usuários incluídos não são excluídos.
9 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de usuários dinâmico e excluir grupos de dispositivos (dinâmicos e estáticos).
10 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de usuários dinâmico e excluir grupos de dispositivos (dinâmicos e estáticos).
11 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de usuários dinâmicos ao excluir outros grupos de usuários (dinâmicos e estáticos).
12 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de usuários dinâmicos ao excluir outros grupos de usuários (dinâmicos e estáticos).
13 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de usuários estático e, ao mesmo tempo, excluir grupos de dispositivos (dinâmicos e estáticos).
14 ❌ Não há suporte

Não há suporte para atribuir uma política a um grupo de usuários estático e, ao mesmo tempo, excluir grupos de dispositivos (dinâmicos e estáticos).
15 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de usuários estático e excluir outros grupos de usuários (dinâmicos e estáticos).
16 ✔️ Há suporte

Há suporte para atribuir uma política a um grupo de usuários estático e excluir outros grupos de usuários (dinâmicos e estáticos).

Próximas etapas

Consulte monitorar os perfis de dispositivo para obter orientação sobre como monitorar suas políticas e os dispositivos que executam suas políticas.