Atribuir perfis de configuração de usuário e dispositivo Microsoft Intune

Você cria um perfil de configuração de dispositivo e ele inclui todas as configurações inseridas. A próxima etapa é implantar ou "atribuir" o perfil aos grupos de usuário ou de dispositivos. Quando um perfil é atribuído, os usuários e os dispositivos o recebem e as configurações inseridas são aplicadas.

Este artigo mostra como atribuir um perfil e inclui algumas informações sobre como usar marcas de escopo em seus perfis de configuração do dispositivo.

Para obter informações sobre perfis de configuração de dispositivo e o que você pode configurar, acesse Aplicar recursos e configurações em seus dispositivos usando perfis de dispositivo no Microsoft Intune.

Observação

Quando um perfil é removido ou não está mais atribuído a um dispositivo, podem ocorrer coisas diferentes, dependendo das configurações no perfil. As configurações são baseadas em CSPs, e cada CSP pode lidar com a remoção de perfil de forma diferente. Por exemplo, uma configuração pode manter o valor existente e não ser revertida para o valor padrão. O comportamento é controlado por cada CSP no sistema operacional. Para obter uma lista de CSPs do Windows, confira referência do CSP (provedor de serviços de configuração).

Para alterar uma configuração para um valor diferente, crie um novo perfil, defina a configuração para Não configurado e atribua o perfil. Depois de aplicado ao dispositivo, os usuários devem ter controle para alterar as configurações para seus valores preferidos.

Ao definir essas configurações, sugerimos a implantação em um grupo piloto. Para obter mais conselhos de distribuição do Intune, confira Criar um plano de distribuição.

Antes de começar

Verifique se você tem a função correta para atribuir perfis. Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Atribuir um perfil de dispositivo

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos>Perfis de configuração. Todos os perfis são listados.

  3. Selecione o perfil que você deseja atribuir >Atribuições> de Propriedades>Editar:

    Captura de tela que mostra como selecionar atribuições para implantar o perfil em usuários e grupos em Microsoft Intune.

  4. Selecione Grupos incluídos ou Grupos excluídos e escolha Selecionar grupos para incluir. Ao selecionar os grupos, você está escolhendo um grupo do Azure AD. Para escolher vários grupos, mantenha a tecla Ctrl pressionada e escolha seus grupos.

    Captura de tela que mostra como incluir ou excluir usuários e grupos ao atribuir ou implantar um perfil em Microsoft Intune.

  5. Clique em Examinar + Salvar. Essa etapa não atribui o seu perfil.

  6. Selecione Salvar. O perfil é atribuído quando você salva. Os grupos receberão as configurações de perfil quando os dispositivos fizerem check-in no serviço do Intune.

Usar marcas de escopo ou regras de aplicabilidade

Ao criar ou atualizar um perfil, também é possível adicionar marcas de escopo e regras de aplicabilidade a ele.

As marcas de escopo são uma ótima maneira de filtrar perfis para grupos específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Saiba mais em Usar o RBAC e marcas de escopo na TI distribuída.

Em Windows 10/11, você pode adicionar regras de aplicabilidade para que o perfil se aplique apenas a uma versão específica do sistema operacional ou a uma edição específica do Windows. Saiba mais nas regras de aplicabilidade.

Grupos de usuários X grupos de dispositivos

Muitos usuários perguntam quando devem usar grupos de usuários e quando devem usar grupos de dispositivos. A resposta depende da sua meta. Confira algumas diretrizes para começar.

Grupos de dispositivos

Se você quiser aplicar as configurações em um dispositivo, independentemente de quem está conectado, atribua seus perfis a um grupo de dispositivos. As configurações aplicadas aos grupos de dispositivos sempre acompanham o dispositivo, não o usuário.

Por exemplo:

  • Os grupos de dispositivos são úteis para gerenciar dispositivos sem um usuário dedicado. Por exemplo, você tem dispositivos que imprimem tíquetes, verificam inventários, são compartilhados por operadores de turno, são atribuídos a um depósito específico e assim por diante. Coloque esses dispositivos em um grupo de dispositivos e atribua seus perfis a esse grupo de dispositivos.

  • Crie um perfil do Intune para a DFCI (Interface de Configuração de Firmware do Dispositivo) que atualiza as configurações no BIOS. Por exemplo, você configura esse perfil para desabilitar a câmera do dispositivo ou bloquear as opções de inicialização para impedir que os usuários inicializem outro sistema operacional. Esse perfil é um bom cenário para atribuir a um grupo de dispositivos.

  • Em alguns dispositivos Windows específicos, você sempre deseja controlar algumas configurações do Microsoft Edge, independentemente de quem usa o dispositivo. Por exemplo, você deseja bloquear todos os downloads, limitar todos os cookies para a sessão de navegação atual e excluir o histórico de navegação. Nesse cenário, coloque esses dispositivos Windows específicos em um grupo de dispositivos. Em seguida, crie um Modelo administrativo no Intune, adicione essas configurações de dispositivo e atribua esse perfil ao grupo de dispositivos.

Para resumir, use grupos de dispositivos quando você não se importa com quem está conectado ao dispositivo ou se alguém está conectado. Você quer que essas configurações sempre estejam no dispositivo.

Grupos de usuários

As configurações de perfis aplicadas a grupos de usuários sempre acompanham o usuário quando ele entra em seus vários dispositivos. É normal que os usuários tenham muitos dispositivos, como um Surface Pro para trabalhar e um dispositivo iOS/iPadOS pessoal. E é normal que a pessoa acesse email e outros recursos da organização nesses dispositivos.

Se um usuário tiver vários dispositivos na mesma plataforma, você poderá usar filtros na atribuição de grupo. Por exemplo, um usuário tem um dispositivo pessoal iOS/iPadOS e um iOS/iPadOS de propriedade da organização. Ao atribuir uma política para esse usuário, você pode usar filtros para direcionar somente o dispositivo de propriedade da organização.

Siga esta regra geral: se um recurso pertencer a um usuário, como email ou certificados de usuário, atribua-o a grupos de usuários.

Por exemplo:

  • Você deseja colocar um ícone de Suporte técnico para todos os usuários em todos os dispositivos deles. Nesse cenário, coloque esses usuários em um grupo de usuários e atribua o perfil do ícone de Suporte técnico a esse grupo de usuários.

  • Um usuário recebe um novo dispositivo de propriedade da organização. O usuário entra no dispositivo com a conta de domínio dele. O dispositivo é registrado automaticamente no Azure AD e é gerenciado automaticamente pelo Intune. Esse perfil é um bom cenário para atribuir a um grupo de usuários.

  • Sempre que um usuário entra em um dispositivo, você deseja controlar recursos em aplicativos, como OneDrive ou Office. Nesse cenário, atribua as configurações de perfil do OneDrive ou do Office a um grupo de usuários.

    Por exemplo, você deseja bloquear controles ActiveX não confiáveis em aplicativos do Office. Você pode criar um Modelo administrativo no Intune, definir essas configurações e atribuir esse perfil ao grupo de dispositivos.

Para resumir, use grupos de usuários quando desejar que suas configurações e regras sempre acompanhem o usuário em qualquer dispositivo que ele usar.

CSPs do Windows

As configurações de política para dispositivos Windows são baseadas nos provedores de serviços de configuração (CSPs). Essas configurações são mapeadas para arquivos ou chaves do registro nos dispositivos.

Intune expõe esses CSPs para que você possa configurar essas configurações e atribuí-las aos dispositivos Windows. Essas configurações são configuráveis usando os modelos internos e usando o catálogo de configurações. No catálogo de configurações, você verá que algumas configurações se aplicam ao escopo do usuário e algumas configurações se aplicam ao escopo do dispositivo.

Para obter informações sobre como as configurações no escopo do usuário e no escopo do dispositivo são aplicadas a dispositivos Windows, vá para Catálogo de configurações: configurações do escopo do dispositivo versus do escopo do usuário.

Excluir grupos de uma atribuição de perfil

Os perfis de configuração de dispositivo do Intune permitem que você inclua e exclua grupos da atribuição de perfis.

Práticas recomendadas:

  • Crie e atribua perfis especificamente para os seus grupos de usuários. Use filtros para incluir ou excluir dispositivos desses usuários.
  • Crie e atribua perfis diferentes especificamente para os seus grupos de dispositivos.

Para obter mais informações sobre grupos, confira Adicionar grupos para organizar usuários e dispositivos.

Fundamentos

Ao atribuir suas políticas e perfis, aplique os seguintes princípios gerais:

  • Considere os Grupos incluídos ou Grupos excluídos como um ponto de partida para os usuários e os dispositivos que receberão suas políticas. O grupo do Azure AD é o grupo de limitação; portanto, use o menor escopo de grupo possível. Use filtros para limitar ou refinar sua atribuição de política.

  • Os grupos do Azure AD atribuídos, também conhecidos como grupos estáticos, podem ser adicionados a grupos incluídos ou excluídos.

    Normalmente, você atribui estaticamente os dispositivos em um grupo do Azure AD se eles estiverem previamente registrados no Azure AD, como com Windows Autopilot. Ou se você quiser combinar dispositivos para uma implantação única, ad hoc. Caso contrário, talvez não seja prático atribuir dispositivos estaticamente a um grupo do Azure AD.

  • Podem ser adicionados grupos de usuários dinâmicos do Azure AD a grupos incluídos ou excluídos.

  • Grupos de dispositivos dinâmicos do Azure AD podem ser adicionados a grupos incluídos. No entanto, pode haver latência ao preencher a associação de grupo dinâmica. Em cenários sensíveis à latência, use filtros para direcionar dispositivos específicos e atribua suas políticas a grupos de usuários.

    Por exemplo, você deseja que as políticas sejam atribuídas aos dispositivos assim que eles se registrarem. Nessa situação sensível à latência, crie um filtro para direcionar os dispositivos que você deseja e atribua a política com esse filtro a grupos de usuários. Não atribua a grupos de dispositivos.

    Em um cenário sem usuário, crie um filtro para direcionar os dispositivos que você deseja e atribua a política com o filtro ao grupo "Todos os dispositivos".

  • Evite adicionar grupos de dispositivos dinâmicos do Azure AD a grupos excluídos. A latência no cálculo de grupos de dispositivos dinâmicos no registro pode causar resultados indesejáveis. Por exemplo, aplicativos indesejados e políticas podem ser implantados antes que a associação de grupo excluída seja populada.

Matriz de suporte

Use a matriz a seguir para entender o suporte para excluir grupos:

  • ✔️: com suporte
  • ❌: sem suporte
  • ❕: com suporte parcial

Captura de tela que mostra as opções com suporte para incluir ou excluir grupos de uma atribuição de perfil.

Cenário Suporte
1 ❕ Há suporte

parcial para atribuir políticas a um grupo de dispositivos dinâmicos, excluindo outro grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos.

Por exemplo, você tem uma política de dispositivo atribuída a Todos os dispositivos. Mais tarde, você tem um requisito de que novos dispositivos de marketing não recebem essa política. Portanto, você cria um grupo de dispositivos dinâmicos chamado Dispositivos de marketing com base na propriedade enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Na política, você adiciona o grupo dinâmico Dispositivos de marketing como um grupo excluído.

Um novo dispositivo de marketing se registra no Intune pela primeira vez e um novo objeto Azure AD dispositivo é criado. O processo de agrupamento dinâmico coloca o dispositivo no grupo Dispositivos de marketing com um possível cálculo atrasado. Ao mesmo tempo, o dispositivo é registrado no Intune e começa a receber todas as políticas aplicáveis. A política do Intune pode ser implantada antes que o dispositivo seja colocado no grupo de exclusão. Esse comportamento resulta em uma política (ou aplicativo) indesejada implantada no grupo Dispositivos de marketing.

Como resultado, não é recomendável usar grupos de dispositivos dinâmicos para exclusões em cenários sensíveis à latência. Em vez disso, use filtros.
2 ✔️

Há suporte para atribuir uma política a um grupo de dispositivos dinâmicos, excluindo um grupo de dispositivos estático.
3 ❌ Não há

suporte para atribuir uma política a um grupo de dispositivos dinâmicos, excluindo grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
4 ❌ Não há

suporte para atribuir uma política a um grupo de dispositivos dinâmico e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
5 ❕ Há suporte

parcial para atribuir uma política a um grupo de dispositivos estático, excluindo um grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos.
6 ✔️

Há suporte para atribuir uma política a um grupo de dispositivos estático e a exclusão de um grupo de dispositivos estático diferente.
7 ❌ Não há

suporte para atribuir uma política a um grupo de dispositivos estático e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
8 ❌ Não há

suporte para atribuir uma política a um grupo de dispositivos estático e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
9 ❌ Não há

suporte para atribuir uma política a um grupo de usuários dinâmico e não há suporte para a exclusão de grupos de dispositivos (dinâmicos e estáticos).
10 ❌ Não há

suporte para atribuir uma política a um grupo de usuários dinâmico e não há suporte para a exclusão de grupos de dispositivos (dinâmicos e estáticos).
11 ✔️

Há suporte para atribuir uma política a um grupo de usuários dinâmico, excluindo outros grupos de usuários (dinâmicos e estáticos).
12 ✔️

Há suporte para atribuir uma política a um grupo de usuários dinâmico, excluindo outros grupos de usuários (dinâmicos e estáticos).
13 ❌ Não há

suporte para atribuir uma política a um grupo de usuários estático, excluindo grupos de dispositivos (dinâmicos e estáticos).
14 ❌ Não há

suporte para atribuir uma política a um grupo de usuários estático, excluindo grupos de dispositivos (dinâmicos e estáticos).
15 ✔️

Há suporte para atribuir uma política a um grupo de usuários estático, excluindo outros grupos de usuários (dinâmicos e estáticos).
16 ✔️

Há suporte para atribuir uma política a um grupo de usuários estático, excluindo outros grupos de usuários (dinâmicos e estáticos).

Próximas etapas

Confira Monitorar perfis de dispositivo para conhecer as diretrizes sobre o monitoramento de perfis e os dispositivos que executam seus perfis.