Atribuir políticas no Microsoft Intune

Quando você cria uma política de Intune, ela inclui todas as configurações que você adicionou e configurou dentro da política. Quando a política estiver pronta para ser implantada, a próxima etapa é "atribuir" a política aos grupos de usuários ou dispositivos. Quando ele é atribuído, os usuários e dispositivos recebem sua política e as configurações inseridas são aplicadas.

Em Intune, você pode criar e atribuir as seguintes políticas:

• Políticas de proteção de aplicativos
• Políticas de configuração do usuário
• Políticas de conformidade
• Políticas de acesso condicional
• Perfis de configuração do dispositivo
• Políticas de registro

Este artigo mostra como atribuir uma política, inclui algumas informações sobre como usar marcas de escopo, descreve quando atribuir políticas a grupos de usuários ou grupos de dispositivos e muito mais.

Antes de começar

Certifique-se de ter a função correta para atribuir políticas e perfis. Para obter mais informações, acesse RBAC (controle de acesso baseado em função) com Microsoft Intune.

Atribuir uma política a usuários ou grupos

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Configuração de Dispositivos>. Todos os perfis são listados.

3. Selecione o perfil que você deseja atribuir >Atribuições> de Propriedades>Editar:

   Por exemplo, para atribuir um perfil de configuração de dispositivo:

   1. Acesse Configuração de Dispositivos>. Todos os perfis são listados.

   2. Selecione a política que você deseja atribuir >Atribuições> de Propriedades>Editar:

      

4. Em Grupos incluídos ou grupos excluídos, escolha Adicionar grupos para selecionar um ou mais grupos de Microsoft Entra. Se você pretende implantar a política amplamente em todos os dispositivos aplicáveis, selecione Adicionar todos os usuários ou Adicionar todos os dispositivos.

   Observação

   Se você selecionar "Todos os Dispositivos" e "Todos os Usuários", a opção de adicionar grupos de Microsoft Entra adicionais desabilita.

5. Clique em Examinar + Salvar. Esta etapa não atribui sua política.

6. Selecione Salvar. Quando você salva, sua política é atribuída. Seus grupos receberão suas configurações de política quando os dispositivos marcar com o serviço Intune.

Recursos de atribuição que você deve saber e usar

• Use Filtros para atribuir uma política com base nas regras que você cria. Você pode criar filtros para:

  • Políticas de configuração do aplicativo
  • Políticas de proteção de aplicativos
  • Atribuições de aplicativo
  • Políticas de conformidade
  • Perfis de configuração do dispositivo

  Para obter mais informações, confira:

  • Use filtros ao atribuir seus aplicativos, políticas e perfis em Microsoft Intune
  • Plataformas, políticas e tipos de aplicativo compatíveis com filtros no Microsoft Intune

• Os conjuntos de políticas criam um grupo ou uma coleção de aplicativos e políticas existentes. Quando o conjunto de políticas é criado, você pode atribuir o conjunto de políticas de um único lugar no centro de administração Microsoft Intune.

  Para obter mais informações, acesse Usar conjuntos de políticas para agrupar coleções de objetos de gerenciamento em Microsoft Intune.

• Marcas de escopo são uma ótima maneira de filtrar políticas para grupos específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações, acesse Usar RBAC e marcas de escopo para TI distribuída.

• Em dispositivos Windows 10/11, você pode adicionar regras de aplicabilidade para que a política se aplique apenas a uma versão específica do sistema operacional ou a uma edição específica do Windows. Para obter mais informações, acesse Regras de aplicabilidade.

Grupos de usuários X grupos de dispositivos

Muitos usuários perguntam quando devem usar grupos de usuários e quando devem usar grupos de dispositivos. A resposta depende da sua meta. Confira algumas diretrizes para começar.

Grupos de dispositivos

Se você quiser aplicar configurações em um dispositivo, independentemente de quem está conectado, atribua suas políticas a um grupo de dispositivos. As configurações aplicadas aos grupos de dispositivos sempre acompanham o dispositivo, não o usuário.

Por exemplo:

• Os grupos de dispositivos são úteis para gerenciar dispositivos sem um usuário dedicado. Por exemplo, você tem dispositivos que imprimem tíquetes, verificam inventários, são compartilhados por operadores de turno, são atribuídos a um depósito específico e assim por diante. Coloque esses dispositivos em um grupo de dispositivos e atribua suas políticas a esse grupo de dispositivos.

• Crie um perfil do Intune para a DFCI (Interface de Configuração de Firmware do Dispositivo) que atualiza as configurações no BIOS. Por exemplo, você configura essa política para desabilitar a câmera do dispositivo ou bloquear as opções de inicialização para impedir que os usuários inicializem outro sistema operacional. Essa política é um bom cenário para atribuir a um grupo de dispositivos.

• Em alguns dispositivos Windows específicos, você sempre deseja controlar algumas configurações do Microsoft Edge, independentemente de quem usa o dispositivo. Por exemplo, você deseja bloquear todos os downloads, limitar todos os cookies para a sessão de navegação atual e excluir o histórico de navegação. Nesse cenário, coloque esses dispositivos Windows específicos em um grupo de dispositivos. Em seguida, crie um Modelo Administrativo no Intune, adicione essas configurações de dispositivo e atribua essa política ao grupo de dispositivos.

Para resumir, use grupos de dispositivos quando você não se importa com quem está conectado ao dispositivo ou se alguém está conectado. Você quer que essas configurações sempre estejam no dispositivo.

Grupos de usuários

As configurações de política aplicadas a grupos de usuários sempre acompanham o usuário e acompanham o usuário quando conectado aos seus muitos dispositivos. É normal que os usuários tenham muitos dispositivos, como um Surface Pro para trabalhar e um dispositivo iOS/iPadOS pessoal. E é normal que a pessoa acesse email e outros recursos da organização nesses dispositivos.

Se um usuário tiver vários dispositivos na mesma plataforma, você poderá usar filtros na atribuição de grupo. Por exemplo, um usuário tem um dispositivo pessoal iOS/iPadOS e um iOS/iPadOS de propriedade da organização. Ao atribuir uma política para esse usuário, você pode usar filtros para direcionar somente o dispositivo de propriedade da organização.

Siga esta regra geral: se um recurso pertencer a um usuário, como email ou certificados de usuário, atribua-o a grupos de usuários.

Por exemplo:

• Você deseja colocar um ícone de Suporte técnico para todos os usuários em todos os dispositivos deles. Nesse cenário, coloque esses usuários em um grupo de usuários e atribua sua política de ícone do Help Desk a esse grupo de usuários.

• Um usuário recebe um novo dispositivo de propriedade da organização. O usuário entra no dispositivo com a conta de domínio dele. O dispositivo é registrado automaticamente em Microsoft Entra ID e gerenciado automaticamente por Intune. Essa política é um bom cenário para atribuir a um grupo de usuários.

• Sempre que um usuário entra em um dispositivo, você deseja controlar recursos em aplicativos, como OneDrive ou Office. Nesse cenário, atribua suas configurações de política do OneDrive ou do Office a um grupo de usuários.

  Por exemplo, você deseja bloquear controles ActiveX não confiáveis em aplicativos do Office. Você pode criar um Modelo Administrativo em Intune, configurar essa configuração e atribuir essa política a um grupo de usuários.

Para resumir, use grupos de usuários quando desejar que suas configurações e regras sempre acompanhem o usuário em qualquer dispositivo que ele usar.

Várias sessões da Área de Trabalho Virtual do Azure

Você pode usar Intune para gerenciar áreas de trabalho remotas de várias sessões do Windows criadas com a Área de Trabalho Virtual do Azure, assim como gerencia qualquer outro dispositivo cliente Windows compartilhado. Quando você atribui políticas a grupos de usuários ou dispositivos, a sessão múltipla da Área de Trabalho Virtual do Azure é um cenário especial. Ao usar essas máquinas virtuais, os CSPs do dispositivo devem direcionar grupos de dispositivos. Os CSPs de usuário devem ter como destino grupos de usuários.

Para obter mais informações, acesse Usar várias sessões da Área de Trabalho Virtual do Azure com Microsoft Intune.

CSPs do Windows e seu comportamento

As configurações de política para dispositivos Windows são baseadas nos provedores de serviços de configuração (CSPs). Essas configurações são mapeadas para arquivos ou chaves do registro nos dispositivos.

Veja o que você precisa saber sobre os CSPs do Windows:

• Intune expõe esses CSPs para que você possa configurar essas configurações e atribuí-las aos dispositivos Windows. Essas configurações são configuráveis usando os modelos internos e usando o catálogo de configurações. No catálogo de configurações, você verá que algumas configurações se aplicam ao escopo do usuário e algumas configurações se aplicam ao escopo do dispositivo.

  Para obter informações sobre como as configurações no escopo do usuário e no escopo do dispositivo são aplicadas a dispositivos Windows, vá para Catálogo de configurações: configurações do escopo do dispositivo versus do escopo do usuário.

• Quando uma política é removida ou não é mais atribuída a um dispositivo, coisas diferentes podem acontecer, dependendo das configurações da política. Cada CSP pode lidar com a remoção da política de forma diferente.

  Por exemplo, uma configuração pode manter o valor existente e não ser revertida para o valor padrão. O comportamento é controlado por cada CSP no sistema operacional. Para obter uma lista de CSPs do Windows, confira referência do CSP (provedor de serviços de configuração).

  Para alterar uma configuração para um valor diferente, crie uma nova política, configure a configuração como Não configurada e atribua a política. Quando a política se aplica ao dispositivo, os usuários devem ter controle para alterar a configuração para seu valor preferencial.

• Ao definir essas configurações, sugerimos a implantação em um grupo piloto. Para obter mais conselhos de distribuição do Intune, confira Criar um plano de distribuição.

Excluir grupos de uma atribuição de política

Intune políticas de configuração do dispositivo permitem incluir e excluir grupos da atribuição de política.

Práticas recomendadas:

• Crie e atribua políticas especificamente para seus grupos de usuários. Use filtros para incluir ou excluir dispositivos desses usuários.
• Crie e atribua políticas diferentes especificamente para seus grupos de dispositivos.

Para obter mais informações sobre grupos, confira Adicionar grupos para organizar usuários e dispositivos.

Princípios de inclusão e exclusão de grupos

Ao atribuir suas políticas e políticas, aplique os seguintes princípios gerais:

• Considere os Grupos incluídos ou Grupos excluídos como um ponto de partida para os usuários e os dispositivos que receberão suas políticas. O grupo Microsoft Entra é o grupo limitador, portanto, use o menor escopo de grupo possível. Use filtros para limitar ou refinar sua atribuição de política.

• Grupos Microsoft Entra atribuídos, também conhecidos como grupos estáticos, podem ser adicionados a grupos incluídos ou grupos excluídos.

  Normalmente, você atribuirá dispositivos de forma estatica em um grupo Microsoft Entra se eles estiverem pré-registrados em Microsoft Entra ID, como no Windows Autopilot. Ou se você quiser combinar dispositivos para uma implantação única, ad hoc. Caso contrário, talvez não seja prático atribuir dispositivos estaticamente a um grupo de Microsoft Entra.

• Grupos de usuários de Microsoft Entra dinâmicos podem ser adicionados a grupos incluídos ou grupos excluídos.

• Grupos excluídos podem ser grupos com usuários ou grupos com dispositivos.

• Grupos de dispositivos de Microsoft Entra dinâmicos podem ser adicionados a grupos incluídos. No entanto, pode haver latência ao preencher a associação de grupo dinâmica. Em cenários sensíveis à latência, use filtros para direcionar dispositivos específicos e atribua suas políticas a grupos de usuários.

  Por exemplo, você deseja que as políticas sejam atribuídas aos dispositivos assim que eles se registrarem. Nessa situação sensível à latência, crie um filtro para direcionar os dispositivos que você deseja e atribua a política com esse filtro a grupos de usuários. Não atribua a grupos de dispositivos.

  Em um cenário sem usuário, crie um filtro para direcionar os dispositivos desejados e atribua a política com o filtro ao grupo "Todos os dispositivos".

• Evite adicionar grupos de dispositivos de Microsoft Entra dinâmicos a grupos excluídos. A latência no cálculo de grupos de dispositivos dinâmicos no registro pode causar resultados indesejáveis. Por exemplo, aplicativos indesejados e políticas podem ser implantados antes que a associação de grupo excluída seja populada.

Matriz de suporte

Use a matriz a seguir para entender o suporte para excluir grupos:

• ✔️: com suporte
• ❌: sem suporte
• ❕: com suporte parcial

Cenário	Suporte
1	❕ Há suporte parcial para atribuir políticas a um grupo de dispositivos dinâmicos, excluindo outro grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos. Por exemplo, você tem uma política de dispositivo atribuída a Todos os dispositivos. Mais tarde, você tem um requisito de que novos dispositivos de marketing não recebem essa política. Portanto, você cria um grupo de dispositivos dinâmicos chamado Dispositivos de marketing com base na propriedade enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Na política, você adiciona o grupo dinâmico Dispositivos de marketing como um grupo excluído. Um novo dispositivo de marketing se registra no Intune pela primeira vez e um novo objeto de dispositivo Microsoft Entra é criado. O processo de agrupamento dinâmico coloca o dispositivo no grupo Dispositivos de marketing com um possível cálculo atrasado. Ao mesmo tempo, o dispositivo é registrado no Intune e começa a receber todas as políticas aplicáveis. A política do Intune pode ser implantada antes que o dispositivo seja colocado no grupo de exclusão. Esse comportamento resulta em uma política (ou aplicativo) indesejada implantada no grupo Dispositivos de marketing. Como resultado, não é recomendável usar grupos de dispositivos dinâmicos para exclusões em cenários sensíveis à latência. Em vez disso, use filtros.
2	✔️ Há suporte para atribuir uma política a um grupo de dispositivos dinâmicos, excluindo um grupo de dispositivos estático.
3	❌ Não há suporte para atribuir uma política a um grupo de dispositivos dinâmicos, excluindo grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
4	❌ Não há suporte para atribuir uma política a um grupo de dispositivos dinâmico e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
5	❕ Há suporte parcial para atribuir uma política a um grupo de dispositivos estático, excluindo um grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo de associação de grupos excluídos pode fazer as políticas serem oferecidas aos dispositivos. Nesse cenário, é recomendável usar filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos.
6	✔️ Há suporte para atribuir uma política a um grupo de dispositivos estático e excluir um grupo de dispositivos estático diferente.
7	❌ Não há suporte para atribuir uma política a um grupo de dispositivos estático e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
8	❌ Não há suporte para atribuir uma política a um grupo de dispositivos estático e não há suporte para a exclusão de grupos de usuários (dinâmicos e estáticos). O Intune não avalia as relações de grupo de usuário para dispositivo, e os dispositivos dos usuários incluídos não serão excluídos.
9	❌ Não há suporte para atribuir uma política a um grupo de usuários dinâmico e não há suporte para a exclusão de grupos de dispositivos (dinâmicos e estáticos).
10	❌ Não há suporte para atribuir uma política a um grupo de usuários dinâmico e não há suporte para a exclusão de grupos de dispositivos (dinâmicos e estáticos).
11	✔️ Há suporte para atribuir uma política a um grupo de usuários dinâmico, excluindo outros grupos de usuários (dinâmicos e estáticos).
12	✔️ Há suporte para atribuir uma política a um grupo de usuários dinâmico, excluindo outros grupos de usuários (dinâmicos e estáticos).
13	❌ Não há suporte para atribuir uma política a um grupo de usuários estático, excluindo grupos de dispositivos (dinâmicos e estáticos).
14	❌ Não há suporte para atribuir uma política a um grupo de usuários estático, excluindo grupos de dispositivos (dinâmicos e estáticos).
15	✔️ Há suporte para atribuir uma política a um grupo de usuários estático, excluindo outros grupos de usuários (dinâmicos e estáticos).
16	✔️ Há suporte para atribuir uma política a um grupo de usuários estático, excluindo outros grupos de usuários (dinâmicos e estáticos).

Próximas etapas

Consulte monitorar perfis de dispositivo para obter diretrizes sobre como monitorar suas políticas e os dispositivos que executam suas políticas.