Criar um perfil de dispositivo no Microsoft Intune

Os perfis de dispositivo permitem adicionar e definir configurações e, em seguida, enviar essas configurações por push para dispositivos de sua organização. Você tem algumas opções ao criar as políticas:

• Modelos administrativos: em dispositivos Windows 10/11, esses modelos são configurações ADMX que você define. Se você estiver familiarizado com políticas do ADMX ou objetos de política de grupo (GPO), usar modelos administrativos é uma etapa natural para Microsoft Intune.

  Para obter mais informações, consulte Modelos administrativos

• Baselines: em dispositivos Windows 10/11, essas linhas de base incluem configurações de segurança pré-configuradas. Caso você queira criar uma política de segurança usando as recomendações das equipes de segurança da Microsoft, as linhas de base de segurança são ideais para você.

  Para obter mais informações, consulte Linhas de base de segurança.

• Conjunto de configurações: em dispositivos Windows 10/11, use o catálogo de configurações para ver todas as configurações disponíveis e em um único local. Por exemplo, você pode ver todas as configurações que se aplicam ao BitLocker e criar uma política que se concentra apenas nele. Em dispositivos macOS, use o catálogo de configurações para definir o Microsoft Edge versão 77 e as configurações.

  Para obter mais informações, consulte Catálogo de configurações.

  No macOS, continue usando o arquivo de preferências para:

  • Configurar versões anteriores do Microsoft Edge
  • Definir as configurações do navegador Microsoft Edge que não estão no catálogo

• Modelos: nos dispositivos Android, iOS/iPadOS, macOS e Windows, os modelos incluem um agrupamento lógico das configurações que definem um recurso ou conceito, como VPN, e-mail, dispositivos de quiosque e muito mais. Caso você esteja familiarizado com a criação de políticas de configuração de dispositivos no Microsoft Intune, você já está usando esses modelos.

  Confira mais informações, incluindo os modelos disponíveis, em Aplicar recursos e configurações aos seus dispositivos usando perfis de dispositivo.

Este artigo:

• Lista as etapas para criar um perfil.
• Mostra como adicionar uma marca de escopo para "filtrar" suas políticas.
• Descreve as regras de aplicabilidade em dispositivos cliente Windows e mostra como criar uma regra.
• Tem mais informações sobre os tempos de ciclo de atualização marcar em que os dispositivos recebem perfis e quaisquer atualizações de perfil.

Criar o perfil

Os perfis são criados no centro de administração Microsoft Intune. Neste centro de administração, selecione Dispositivos. Você tem as seguintes opções:

• Visão geral: lista o status dos seus perfis e fornece mais detalhes sobre os perfis atribuídos a usuários e dispositivos.
• Monitorar: verifique o status dos seus perfis quanto ao êxito ou erro, além de exibir logs dos seus perfis.
• Por plataforma: crie e exiba políticas e perfis pela sua plataforma. Essa exibição também pode mostrar recursos específicos para a plataforma. Por exemplo, selecione Windows. Você verá recursos específicos do Windows, como Anéis de Atualização do Windows 10 e Scripts do PowerShell.
• Gerenciar dispositivos: crie perfis de dispositivo, carregue scripts personalizados do PowerShell para serem executados em dispositivos e adicione planos de dados a dispositivos usando o eSIM.

Ao criar um perfil (CriaçãodeConfiguração>), escolha sua plataforma:

• Administrador de dispositivo Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 e posterior
• Windows 8.1 e posterior

Em seguida, escolha o perfil. Dependendo da plataforma escolhida, as configurações que você pode definir são diferentes. Os seguintes artigos descrevem os diferentes perfis:

• Modelos administrativos (Windows)
• Configuração do BIOS e outras configurações
• Personalizados
• Otimização de entrega (Windows)
• Credencial derivada (Android Enterprise, iOS, iPadOS)
• Recursos do dispositivo (iOS/iPadOS, macOS)
• DFCI (interface de configuração de firmware) do dispositivo (Windows)
• Restrições de dispositivo
• Ingresso no domínio (Windows)
• Atualização de edição e alternância de modo (Windows)
• Educação (iOS, iPadOS)
• Email
• Endpoint Protection (macOS, Windows)
• Extensões (macOS)
• Proteção de identidade (Windows)
• Quiosque
• Microsoft Defender para Ponto de Extremidade (Windows)
• Perfil de Extensões de Mobilidade (MX) (Administrador dos dispositivos Android)
• Limite de rede (Windows)
• OEMConfig (Android Enterprise)
• Certificado PKCS
• Certificado importado PKCS
• Arquivo de preferências (macOS)
• Certificado SCEP
• Avaliação segura (Educação) (Windows)
• Dispositivo multiusuário compartilhado (Windows)
• Certificado confiável
• VPN
• Wi-Fi
• Monitoramento de integridade do Windows
• Redes com fio (macOS)

Por exemplo, se você selecionar iOS/iPadOS como plataforma, as opções serão semelhantes ao seguinte perfil:

Se você selecionar Windows 10 e posteriores como plataforma, as opções serão semelhantes ao seguinte perfil:

Marcas de escopo

Depois de adicionar as configurações, você também poderá adicionar uma marca de escopo ao perfil. As marcas de escopo filtram perfis aos grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. E são usadas em TI distribuída.

Para obter mais informações das marcas de escopo e do que você pode fazer, consulte Usar RBAC e marcas de escopo da TI distribuída.

Regra de aplicabilidade

Aplicável a:

• Windows 11
• Windows 10

As regras de aplicabilidade permitem aos administradores definir como destino os dispositivos de um grupo que atenda a critérios específicos. Por exemplo, você cria um perfil de restrições de dispositivo que se aplica ao grupo Todos Windows 10/11 dispositivos. E você só deseja que o perfil seja atribuído a dispositivos que executam o Windows Enterprise.

Para executar essa tarefa, crie uma regra de aplicabilidade. Essas regras são úteis para os seguintes cenários:

• Você usa o Windows 10 Education. No Bellows College, você deseja direcionar para todos os dispositivos com Windows 10 Education entre RS3 e RS4.
• Você deseja direcionar para todos os usuários de Recursos Humanos da Contoso, mas somente com dispositivos Windows 10 Professional ou Enterprise.

Para abordar esses cenários, você pode:

• Criar um grupo de dispositivos que inclua todos os dispositivos do Bellows College. No perfil, adicione uma regra de aplicabilidade a ser aplicada se a versão mínima do sistema operacional for 16299 e a versão máxima for 17134. Atribua esse perfil ao grupo de dispositivos do Bellows College.

  Quando atribuído, o perfil se aplica a dispositivos entre as versões mínima e máxima inseridas. Os dispositivos que não estejam entre as versões mínima e máxima inseridas exibem o status Não aplicável.

• Crie um grupo de usuários que inclua todos os usuários de RH (Recursos Humanos) da Contoso. No perfil, adicione uma regra de aplicabilidade a ser aplicada a dispositivos com Windows 10 Professional ou Enterprise. Atribua esse perfil ao grupo de usuários de RH.

  Quando atribuído, o perfil se aplica a dispositivos com Windows 10 Professional ou Enterprise. Os dispositivos que não executam essas edições exibem o status Não aplicável.

• Se houver dois perfis com as mesmas configurações, o perfil será aplicado sem regra de aplicabilidade.

  Por exemplo, o Perfil A é direcionado ao grupo de dispositivos Windows 10, habilita o BitLocker e não tem uma regra de aplicabilidade. Já o Perfil B é direcionado ao mesmo grupo de dispositivos do Windows 10, habilita o BitLocker e tem uma regra de aplicabilidade para aplicar esse perfil somente ao Windows 10 Enterprise.

  Quando os dois perfis são atribuídos, o Perfil A é aplicado, porque ele não tem uma regra de aplicabilidade.

Quando você atribui o perfil aos grupos, as regras de aplicabilidade agem como um filtro e são direcionadas apenas aos dispositivos que atenderem aos seus critérios.

Adicionar uma regra

1. Em sua política, selecione Regras de aplicabilidade. Você pode escolher a Regra e a Propriedade:

   

2. Em Regra, escolha se você quer incluir ou excluir usuários ou grupos. Suas opções:

   • Atribuir perfil se: inclui usuários ou grupos que atendem aos critérios que você inseriu.
   • Não atribua perfil se: exclui usuários ou grupos que atendem aos critérios que você inseriu.

3. Em Propriedade, escolha seu filtro. Suas opções:

   • OS edition: na lista, verifique as edições de cliente do Windows que você deseja incluir (ou excluir) em sua regra.

   • OS version: insira os números de versão min e max do cliente Windows que você deseja incluir (ou excluir) em sua regra. Os dois valores são obrigatórios.

     Por exemplo, você pode inserir 10.0.16299.0 (RS3 ou 1709) como a versão mínima e 10.0.17134.0 (RS4 ou 1803) como a versão máxima. Ou você pode ser mais específico e inserir 10.0.16299.001 como a versão mínima e 10.0.17134.319 como a versão máxima.

     Para obter mais números de versão, consulte Informações sobre a versão do cliente Windows.

4. Selecione Adicionar para salvar as alterações.

Tempos de ciclo de atualização de política

O Microsoft Intune usa diferentes ciclos de atualização para verificar se há atualizações nos perfis de configuração. Se o registro do dispositivo for recente, a frequência de execução da verificação será maior. Os ciclos de atualização de política e perfil descrevem os tempos de atualização estimados.

A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa e sincronizar o dispositivo para verificar imediatamente as atualizações de perfil.

Recomendações

Ao criar perfis, considere as seguintes recomendações:

• Nomeie suas políticas para que você saiba do que trata cada uma e o que fazem. Todas as políticas de conformidade e perfis de configuração possuem uma propriedade Descrição opcional. Em Descrição, seja específico e inclua informações para que outras pessoas saibam o que a política faz.

  Alguns exemplos de perfil de configuração incluem:

  Nome do perfil: Modelo de administrador – perfil de configuração do OneDrive para todos os usuários do Windows 10
  Descrição do perfil: perfil de modelo de administração do OneDrive que inclui as configurações básicas e mínimas para todos os usuários do Windows 10. Criado por user@contoso.com para impedir que os usuários compartilhem dados organizacionais para contas pessoais do OneDrive.

  Nome do perfil: perfil VPN para todos os usuários iOS/iPadOS
  Descrição do perfil: perfil de VPN que inclui as configurações básicas e mínimas para que todos os usuários do iOS/iPadOS se conectem à VPN da Contoso. Criados por user@contoso.com isso, os usuários se autenticam automaticamente na VPN, em vez de solicitar aos usuários seu nome de usuário e senha.

• Crie seu perfil de acordo com a tarefa, como definir as configurações do Microsoft Edge, habilitar as configurações de antivírus do Microsoft Defender, bloquear dispositivos com jailbreak do iOS/iPadOS e assim por diante.

• Crie perfis que se apliquem a grupos específicos, como Marketing, Vendas, Administradores de TI, ou por local ou sistema escolar.

• Separe as políticas de usuário das políticas de dispositivo.

  Por exemplo, os Modelos Administrativos no Intune têm milhares de configurações de ADMX. Esses modelos mostram se uma configuração se aplica a usuários ou dispositivos. Ao criar modelos de administrador, atribua suas configurações de usuários a um grupo de usuários e atribua as configurações do seu dispositivo a um grupo de dispositivos.

  A seguinte imagem mostra um exemplo de configuração que pode ser aplicada aos usuários, aos dispositivos ou a ambos:

  

• Toda vez que você criar uma política restritiva, comunique essa alteração aos usuários. Por exemplo, se você estiver alterando o requisito de senha de quatro (4) caracteres para seis (6) caracteres, avise os usuários antes de atribuir a política.

Próximas etapas

Atribuir o perfil e monitorar seu status.