Windows 10/11 configurações de dispositivo para permitir ou restringir recursos usando Intune

Observação

Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie um perfil de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, consulte Catálogo de configurações.

Este artigo descreve algumas das configurações que você pode controlar em dispositivos cliente Windows. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, definir regras de senha, personalizar a tela de bloqueio, usar Microsoft Defender e muito mais.

Essas configurações se aplicam a:

  • Windows 11
  • Windows 10

Essas configurações são adicionadas a um perfil de configuração de dispositivo em Intune e atribuídas ou implantadas em seus dispositivos cliente Windows.

Observação

Algumas configurações só estão disponíveis em edições específicas do Windows, como Enterprise. Para ver as edições com suporte, consulte os CSPs da política (abre outra Microsoft site).

Em um perfil de restrições de dispositivo Windows 10/11, a maioria das configurações configuráveis são implantadas no nível do dispositivo usando grupos de dispositivos. As políticas implantadas em grupos de usuários se aplicam a usuários direcionados. As políticas também se aplicam a usuários que têm uma licença Intune e usuários que fazem logon nesse dispositivo.

Antes de começar

Crie um perfil de restrições de dispositivo Windows 10/11.

Loja de aplicativos

Essas configurações usam o CSP da política ApplicationManagement, que também lista as edições do Windows com suporte.

  • Repositório de aplicativos (somente móvel): Bloquear impede que os usuários acessem a loja de aplicativos em dispositivos móveis. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários acessem o repositório de aplicativos.

  • Atualizar automaticamente aplicativos da loja: Bloquear impede que as atualizações sejam instaladas automaticamente na Microsoft Store. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os aplicativos instalados na Microsoft Store sejam atualizados automaticamente.

    ApplicationManagement/AllowAppStoreAutoUpdate CSP

  • Instalação de aplicativo confiável: escolha se aplicativos não Microsoft Store podem ser instalados, também conhecidos como sideload. O sideload está instalando e, em seguida, executando ou testando um aplicativo que não é certificado pela Microsoft Store. Por exemplo, um aplicativo que é interno apenas para sua empresa. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Bloco: impede o sideload. Aplicativos não Microsoft Store não podem ser instalados.
    • Permitir: permite sideload. Aplicativos não Microsoft Store podem ser instalados.
  • Desbloqueio do desenvolvedor: permitir configurações de desenvolvedor do Windows, como permitir que aplicativos sideload sejam modificados pelos usuários. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Bloquear: impede o modo de desenvolvedor e os aplicativos de sideload.
    • Permitir: permite o modo de desenvolvedor e aplicativos de sideload.

    Habilitar seu dispositivo para desenvolvimento tem mais informações sobre esse recurso.

    ApplicationManagement/AllowAllTrustedApps CSP

  • Dados compartilhados do aplicativo de usuário: escolha Permitir compartilhar dados do aplicativo entre usuários diferentes no mesmo dispositivo e com outras instâncias desse aplicativo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir o compartilhamento de dados com outros usuários e outras instâncias do mesmo aplicativo.

    ApplicationManagement/AllowSharedUserAppData CSP

  • Use apenas a loja privada: permitir apenas que os aplicativos sejam baixados de uma loja privada e não baixados da loja pública, incluindo um catálogo de varejo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os aplicativos sejam baixados de uma loja privada e de um repositório público.

    ApplicationManagement/RequirePrivateStoreOnly CSP

  • Inicialização de aplicativo originada da loja: o Bloco desabilita todos os aplicativos que foram pré-instalados no dispositivo ou baixados da Microsoft Store. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que esses aplicativos sejam abertos.

    ApplicationManagement/DisableStoreOriginatedApps CSP

  • Instalar dados do aplicativo no volume do sistema: bloquear impede que os aplicativos armazenem dados no volume do sistema do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os aplicativos armazenem dados no volume de disco do sistema.

    ApplicationManagement/RestrictAppDataToSystemVolume CSP

  • Instalar aplicativos na unidade do sistema: Bloquear impede a instalação de aplicativos na unidade do sistema no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os aplicativos sejam instalados na unidade do sistema.

    ApplicationManagement/RestrictAppToSystemVolume CSP

  • DVR do jogo (somente área de trabalho): Bloquear desabilita a gravação e a transmissão do Windows Game. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a gravação e a transmissão de jogos.

    ApplicationManagement/AllowGameDVR CSP

  • Somente aplicativos da loja: essa configuração determina a experiência do usuário quando os usuários instalam aplicativos de locais diferentes da Microsoft Store. Isso não impede a instalação de conteúdo de dispositivos USB, compartilhamentos de rede ou outras fontes que não sejam da Internet. Use um navegador confiável para ajudar a garantir que essas proteções funcionem conforme o esperado.

    Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários instalem aplicativos de locais diferentes da Microsoft Store, incluindo aplicativos definidos em outras configurações de política.
    • Em qualquer lugar: desativa as recomendações do aplicativo e permite que os usuários instalem aplicativos de qualquer local.
    • Somente Armazenar: a intenção é impedir que o conteúdo mal-intencionado afete seus dispositivos de usuário ao baixar conteúdo executável da Internet. Quando os usuários tentam instalar aplicativos da Internet, a instalação é bloqueada. Os usuários veem uma mensagem recomendando que baixem aplicativos da Microsoft Store.
    • Recomendações: ao instalar um aplicativo da Web disponível na Microsoft Store, os usuários veem uma mensagem recomendando que eles o baixem da loja.
    • Prefer Store: avisa os usuários quando eles instalam aplicativos de locais diferentes da Microsoft Store.

    SmartScreen/EnableAppInstallControl CSP

  • Controle do usuário sobre instalações: Bloquear impede que os usuários alterem as opções de instalação normalmente reservadas para administradores do sistema, como inserir o diretório para instalar os arquivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o Windows Installer pode impedir que os usuários alterem essas opções de instalação e alguns dos recursos de segurança do Instalador do Windows são ignorados.

    ApplicationManagement/MSIAllowUserControlOverInstall CSP

  • Instalar aplicativos com privilégios elevados: Bloquear orienta o Windows Installer a usar permissões elevadas quando instalar qualquer programa no sistema. Esses privilégios são estendidos a todos os programas. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema pode aplicar as permissões do usuário atual ao instalar programas que um administrador do sistema não implanta ou oferece.

    ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP

  • Aplicativos de inicialização: insira uma lista de aplicativos a serem abertos depois que um usuário entrar no dispositivo. Certifique-se de usar uma lista delimitada de semi-cólon de Nomes de Família de Pacotes (PFN) de aplicativos Windows. Para que essa política funcione, o manifesto nos aplicativos windows deve usar uma tarefa de inicialização.

    ApplicationManagement/LaunchAppAfterLogOn CSP

Conectividade e celular

Essas configurações usam a política de conectividade e os CSPs da política de Wi-Fi , que também listam as edições do Windows com suporte.

  • Canal de dados celular: escolha se os usuários podem usar dados, como navegar na Web, quando conectados a uma rede celular. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. os usuários podem desativá-lo.
    • Bloquear: não permitir o canal de dados celular. Os usuários não podem ativá-lo.
    • Permitir (não editável): permite o canal de dados celular. Os usuários não podem desativá-lo.
  • Roaming de dados: Bloquear impede o roaming de dados celulares no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, ao acessar dados, o roaming entre redes pode ser permitido.

  • VPN pela rede celular: Bloquear impede que o dispositivo acesse conexões VPN quando conectado a uma rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que VPN use qualquer conexão, incluindo celular.

  • Roaming de VPN pela rede celular: bloquear impede que o dispositivo acesse conexões VPN ao roaming em uma rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir conexões VPN ao roaming.

  • Serviço de dispositivos conectados: Bloquear desabilita o componente CDP (Connected Devices Platform). O CDP permite a descoberta e a conexão com outros dispositivos (por meio do Bluetooth/LAN ou da nuvem) para dar suporte ao lançamento de aplicativos remotos, mensagens remotas, sessões remotas de aplicativo e outras experiências entre dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o serviço de dispositivos conectados, que permite a descoberta e a conexão com outros dispositivos Bluetooth.

  • NFC: Bloquear impede recursos de NFC (comunicações de campo próximos). Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários habilitem e configurem recursos NFC no dispositivo.

  • Wi-Fi: o bloqueio impede que os usuários habilitem, configurem e usem conexões Wi-Fi no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir conexões Wi-Fi.

  • Conecte-se automaticamente a Wi-Fi hotspots: o Block impede que os dispositivos se conectem automaticamente a Wi-Fi hotspots. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os dispositivos se conectem automaticamente a hotspots de Wi-Fi gratuitos e aceitem automaticamente quaisquer termos e condições para a conexão.

  • Configuração de Wi-Fi manual: Bloquear impede que os dispositivos se conectem a Wi-Fi fora das redes instaladas pelo servidor MDM. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários adicionem e configurem seus próprios SSIDs de rede de conexões Wi-Fi.

  • Intervalo de verificação wi-fi: insira com que frequência os dispositivos verificam Wi-Fi redes. Insira um valor de 1 (mais frequente) a 500 (menos frequente). O padrão é 0 (zero).

Bluetooth

Essas configurações usam o CSP da política Bluetooth, que também lista as edições do Windows com suporte.

  • Bluetooth: o bloqueio impede que os usuários habilitem o Bluetooth. Não configurado (padrão) permite Bluetooth no dispositivo.

  • Descoberta de Bluetooth: Bloquear impede que o dispositivo seja detectável por outros dispositivos habilitados para Bluetooth. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que outros dispositivos habilitados para Bluetooth, como um headset, descubram o dispositivo.

    Bluetooth/AllowDiscoverableMode CSP

  • Pré-emparelhamento Bluetooth: Bloquear impede que dispositivos Bluetooth específicos emparelhem automaticamente com um dispositivo host. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o emparelhamento automático com o dispositivo host.

    Bluetooth/AllowPrepairing CSP

  • Publicidade Bluetooth: o block impede que o dispositivo envie anúncios Bluetooth. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o dispositivo envie anúncios Bluetooth.

    Bluetooth/AllowAdvertising CSP

  • Conexões proximal bluetooth: Bloquear impede que um usuário de dispositivo use o Swift Pair e outros cenários baseados em proximidade. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o dispositivo envie anúncios Bluetooth.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Serviços permitidos por Bluetooth: adicione uma lista de serviços e perfis Bluetooth permitidos como cadeias de caracteres hex, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.

    O guia de uso ServicesAllowedList tem mais informações sobre a lista de serviços.

    Bluetooth/ServicesAllowedList CSP

Nuvem e Armazenamento

Essas configurações usam a política de contas CSP, que também lista as edições do Windows com suporte.

Importante

Bloquear ou desabilitar essas configurações de conta Microsoft pode afetar cenários de registro que exigem que os usuários entrem no Azure AD. Por exemplo, você está usando o Autopilot pré-provisionado (anteriormente chamado de luva branca). Normalmente, os usuários são mostrados uma janela de entrada Azure AD. Quando essas configurações são definidas como Bloquear ou Desabilitar, a opção de entrada Azure AD pode não ser exibida. Em vez disso, os usuários são solicitados a aceitar o EULA e criar uma conta local, que pode não ser o que você deseja.

  • Microsoft conta: Bloquear impede que os usuários associem uma conta Microsoft ao dispositivo. O bloqueio também pode afetar alguns cenários de registro que dependem dos usuários para concluir o processo de registro. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a adição e o uso de uma conta Microsoft.
  • Conta não Microsoft: o Block impede que os usuários adicionem contas não Microsoft usando a interface do usuário. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários adicionem contas de email que não estão associadas a uma conta Microsoft.
  • Sincronização de configurações para Microsoft conta: Bloquear impede que as configurações de dispositivo e aplicativo associadas a uma conta Microsoft sejam sincronizadas entre dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir essa sincronização.
  • assistente de entrada Microsoft Conta: esse serviço de sistema operacional permite que os usuários entrem em sua conta Microsoft. Por padrão, o sistema operacional pode permitir que os usuários iniciem e parem o serviço Microsoft Assistente de Sign-In de Conta (wlidsvc).
    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários iniciem e parem o serviço Microsoft Assistente de Sign-In de Conta (wlidsvc).

    • Desabilitado: define o serviço assistente de entrada Microsoft (wlidsvc) como desabilitado e impede que os usuários iniciem manualmente.

      A desabilitar também pode afetar alguns cenários de registro que dependem dos usuários para concluir o registro. Por exemplo, você está usando o Autopilot pré-provisionado. Normalmente, os usuários são mostrados uma janela de entrada Azure AD. Quando definido como Desabilitar, a opção de entrada Azure AD pode não ser exibida. Em vez disso, os usuários são solicitados a aceitar o EULA e criar uma conta local, que pode não ser o que você deseja.

Cloud Printer

Essas configurações usam o CSP da política EnterpriseCloudPrint, que também lista as edições do Windows com suporte.

  • URL de descoberta da impressora: insira a URL para encontrar impressoras de nuvem. Por exemplo, digite https://cloudprinterdiscovery.contoso.com.
  • URL da autoridade de acesso à impressora: insira a URL do ponto de extremidade de autenticação para obter tokens OAuth. Por exemplo, digite https://azuretenant.contoso.com/adfs.
  • GUID do aplicativo cliente nativo do Azure: insira o GUID de um aplicativo cliente permitido para obter tokens OAuth do OAuthAuthority. Por exemplo, digite E1CF1107-FF90-4228-93BF-26052DD2C714.
  • URI do recurso de serviço de impressão: insira o URI do recurso OAuth para o serviço de impressão configurado no portal do Azure. Por exemplo, digite http://MicrosoftEnterpriseCloudPrint/CloudPrint.
  • Impressoras máximas a serem consultadas: insira o número máximo de impressoras que você deseja consultar. O valor padrão é 20.
  • URI do recurso de serviço de descoberta de impressora: insira o URI de recurso OAuth para o serviço de descoberta de impressora configurado no portal do Azure. Por exemplo, digite http://MopriaDiscoveryService/CloudPrint.

Dica

Depois de configurar um Windows Server Hybrid Cloud Print, você pode configurar essas configurações e implantar em seus dispositivos Windows.

Painel de Controle e Configurações

  • Aplicativo de configurações: Bloquear impede que os usuários acessem o aplicativo de configurações do Windows. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários abram o aplicativo Configurações no dispositivo.
    • Sistema: Bloquear impede o acesso à área sistema do aplicativo Configurações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      • Modificação de configurações de energia e de sono (somente área de trabalho): Bloquear impede que os usuários alterem as configurações de energia e sono no dispositivo. Não configurado (padrão) permite que os usuários alterem as configurações de energia e de sono.
    • Dispositivos: Bloquear impede o acesso à área Dispositivos do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Internet de Rede: Bloquear impede o acesso à área de Internet de Rede & do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Personalização: Bloquear impede o acesso à área de Personalização do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Aplicativos: Bloquear impede o acesso à área Aplicativos do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Contas: Bloquear impede o acesso à área Contas do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Tempo e Linguagem: Bloquear impede o acesso à área linguagem de tempo & do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      • Modificação de tempo do sistema: o bloqueio impede que os usuários alterem as configurações de data e hora no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

      • Modificação de configurações de região (somente área de trabalho): o bloco impede que os usuários alterem as configurações da região no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

      • Modificação de configurações de idioma (somente área de trabalho): Bloquear impede que os usuários alterem as configurações de idioma no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

        CSP da política de configurações

    • Jogos: Bloquear impede o acesso à área Jogos do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      Configurações/PageVisibilityList CSP

    • Facilidade de acesso: Bloquear impede o acesso à área facilidade de acesso do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Privacidade: Bloquear impede o acesso à área de privacidade do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Atualização e Segurança: Bloquear impede o acesso à área De segurança de atualização & do aplicativo Configurações no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

Display

Essas configurações usam a política de exibição CSP, que também lista as edições do Windows com suporte.

O dimensionamento de DPI do GDI permite que aplicativos que não estão cientes de DPI se tornem conscientes da DPI de monitor.

  • Ativar o dimensionamento de GDI para aplicativos: adicione os aplicativos herdados que você deseja ativar o dimensionamento de DPI GDI. Por exemplo, insira filename.exe ou %ProgramFiles%\Path\Filename.exe.

    O dimensionamento de DPI do GDI está ativado para todos os aplicativos herdados em sua lista.

  • Desativar o dimensionamento de GDI para aplicativos: adicione os aplicativos herdados que você deseja que o dimensionamento de DPI GDI seja desativado. Por exemplo, insira filename.exe ou %ProgramFiles%\Path\Filename.exe.

    O dimensionamento de DPI do GDI está desativado para todos os aplicativos herdados em sua lista.

Você também pode importar um arquivo .csv com a lista de aplicativos.

Geral

Essas configurações usam a política de experiência CSP, que também lista as edições do Windows com suporte.

  • Captura de tela (somente móvel): Bloquear impede que os usuários possam obter capturas de tela no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Copiar e colar (somente móvel): Bloquear impede que os usuários usem cópia e cola entre aplicativos no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Cancelamento manual: o bloqueio impede que os usuários excluam a conta do local de trabalho usando o painel de controle do local de trabalho no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Essa configuração de política não se aplica se o computador estiver Azure AD ingressado e o registro automático estiver habilitado.

  • Instalação de certificado raiz manual (somente móvel): o Block impede que os usuários instalem manualmente certificados raiz e certificados CAP intermediários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Câmera: Bloquear impede que os usuários usem a câmera no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso à câmera do dispositivo.

    Intune gerencia apenas o acesso à câmera do dispositivo. Ele não tem acesso a imagens ou vídeos.

    CSP da câmera

  • Sincronização de arquivos do OneDrive: Bloquear impede que os usuários sincronizem arquivos para o OneDrive do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    System/DisableOneDriveFileSync CSP

  • Armazenamento removível: o block impede que os usuários usem dispositivos de armazenamento externos, como unidades USB ou cartões SD com o dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    System/AllowStorageCard CSP

  • Geolocalização: o bloqueio impede que os usuários ativem os serviços de localização no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    System/AllowLocation CSP

  • Compartilhamento de Internet: Bloquear impede o compartilhamento de conexão com a Internet no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Redefinição de telefone: Bloquear impede que os usuários limpem ou faça uma redefinição de fábrica no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Conexão USB: Bloquear impede o acesso à sincronização de arquivos por meio de uma conexão USB ou usando ferramentas de desenvolvedor em um dispositivo HoloLens. A alteração dessa política não afeta o carregamento USB. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. O carregamento USB não é afetado por essa configuração.

    Conectividade/AllowUSBConnection CSP

  • Modo AntiTheft (somente móvel): Bloquear impede que os usuários selecionem a preferência do modo AntiTheft no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Cortana: bloquear a desabilitar o assistente de voz cortana no dispositivo. Quando a Cortana está desativada, os usuários ainda podem pesquisar para encontrar itens no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a Cortana.

    Experiência/AllowCortana CSP

  • Gravação de voz (somente móvel): Bloquear impede que os usuários usem o gravador de voz do dispositivo no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a gravação de voz para aplicativos.

  • Modificação de nome do dispositivo (somente móvel): Bloquear impede que os usuários alterem o nome do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Adicionar pacotes de provisionamento: Bloquear impede o agente de configuração de tempo de execução que instala pacotes de provisionamento no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Remover pacotes de provisionamento: Bloquear impede o agente de configuração de tempo de execução que remove pacotes de provisionamento do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Descoberta de dispositivo: Bloquear impede que o dispositivo seja descoberto por outros dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Experiência/AllowDeviceDiscovery

  • Alternador de tarefas (somente móvel): Bloquear impede a opção de tarefa no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Caixa de diálogo erro do cartão SIM (somente móvel): bloqueie a exibição de mensagens de erro no dispositivo se nenhum cartão SIM for detectado. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar as mensagens de erro.

  • Espaço de Trabalho de Tinta: escolha se e como o usuário acessa o workspace de tinta. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar o workspace de tinta e os usuários podem usá-lo acima da tela de bloqueio.
    • Desabilitado na tela de bloqueio: o workspace de tinta está habilitado e o recurso está ativado. Mas os usuários não podem acessá-lo acima da tela de bloqueio.
    • Desabilitado: o acesso ao workspace de tinta está desabilitado. O recurso está desativado.

    CSP da política do WindowsInkWorkspace

  • Redefinição do Autopilot: escolha Permitir para que os usuários com direitos administrativos possam excluir todos os dados e configurações do usuário usando CTRL + Win + R na tela de bloqueio do dispositivo. O dispositivo é reconfigurado automaticamente e registrado novamente no gerenciamento. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir esse recurso.

  • Exigir que os usuários se conectem à rede durante a instalação do dispositivo: escolha Exigir para que o dispositivo se conecte a uma rede antes de passar pela página rede durante a instalação do Windows. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários passem pela página Rede, mesmo que não esteja conectado a uma rede.

    A configuração entra em vigor na próxima vez que o dispositivo for apagado ou redefinido. Como qualquer outra configuração Intune, o dispositivo deve ser registrado e gerenciado por Intune para receber as configurações. Mas depois de registrado e recebendo políticas, a redefinição do dispositivo impõe a configuração durante a próxima configuração do Windows.

    TenantLockdown CSP

  • Acesso direto à memória: o Block impede o acesso direto à memória (DMA) para todas as portas downstream de PCI plugáveis a quente até que um usuário entre no Windows. Habilitado (padrão) permite o acesso ao DMA, mesmo quando um usuário não está conectado.

    DataProtection/AllowDirectMemoryAccess CSP

  • Processos finais do Gerenciador de Tarefas: essa configuração determina se os não administradores podem usar o Gerenciador de Tarefas para encerrar tarefas. O bloqueio impede que usuários padrão (não administradores) usem o Gerenciador de Tarefas para encerrar um processo ou tarefa no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários padrão encerrem um processo ou tarefa usando o Gerenciador de Tarefas.

    TaskManager/AllowEndTask CSP

Experiência de tela bloqueada

  • Notificações da central de ações (somente móveis): Bloquear impede que as notificações do Action Center sejam exibidas na tela de bloqueio do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários escolham quais aplicativos mostram notificações na tela de bloqueio.

    AboveLock/AllowActionCenterNotifications CSP

  • URL de imagem de tela bloqueada (somente área de trabalho): insira a URL para uma imagem no formato JPG, JPEG ou PNG usada como papel de parede de tela de bloqueio do Windows. Por exemplo, digite https://contoso.com/image.png. Essa configuração bloqueia a imagem e não pode ser alterada posteriormente.

    Personalização/LockScreenImageUrl CSP

  • Tempo limite de tela configurável do usuário (somente móvel): permitir permite que os usuários configurem o tempo limite da tela. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não dar aos usuários essa opção.

    DeviceLock/AllowScreenTimeoutWhileLockedUserConfig CSP

  • Cortana na tela bloqueada (somente área de trabalho): Bloquear impede que os usuários interajam com a Cortana quando o dispositivo está na tela de bloqueio. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a interação com a Cortana.

    AboveLock/AllowCortanaAboveLock CSP

  • Notificações de brinde na tela bloqueada: Bloquear impede que as notificações de brinde sejam exibidas na tela de bloqueio do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir essas notificações.

    AboveLock/AllowToasts CSP

  • Tempo limite de tela (somente móvel): Defina a duração (em segundos) do bloqueio de tela para a tela desativada. Os valores compatíveis ficam entre 11 e 1800. Por exemplo, insira 300 para definir esse tempo limite como 5 minutos.

    DeviceLock/ScreenTimeoutWhileLocked CSP

Mensagens

Essas configurações usam a política de mensagens CSP, que também lista as edições do Windows com suporte.

  • Sincronização de mensagens (somente celular): bloquear desabilita as mensagens de texto de serem backup e restaurados e de sincronizar mensagens entre dispositivos Windows. Desabilitar ajuda a evitar que informações sejam armazenadas em servidores fora do controle da organização. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários alterem essas configurações e sincronizem suas mensagens.
  • MMS (somente móvel): Bloquear desabilita a funcionalidade de envio e recebimento do MMS no dispositivo. Para empresas, use essa política para desabilitar o MMS em dispositivos como parte do requisito de auditoria ou gerenciamento. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o MMS envie e receba.
  • RCS (somente móvel): Bloquear desabilita o envio e o recebimento da funcionalidade dos Serviços de Comunicação Avançada (RCS) no dispositivo. Para empresas, use essa política para desabilitar o RCS em dispositivos como parte do requisito de auditoria ou gerenciamento. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o RCS envie e receba.

Versão Prévia do Microsoft Edge (versão 45 ou mais)

Essas configurações usam a política de navegador CSP, que também lista as edições do Windows com suporte.

Observação

O uso da política de navegador CSP aplica-se a Microsoft Versão 45 do Edge ou mais antiga. Para Microsoft Edge versão 77 e mais recente, consulte Configurar configurações de política do Microsoft Edge em Microsoft Intune.

Usar o modo de quiosque Microsoft Edge

As configurações disponíveis mudam dependendo do que você escolher. Suas opções:

  • Não (padrão): Microsoft Edge não está em execução no modo de quiosque. Todas as configurações do Microsoft Edge estão disponíveis para você alterar e configurar.
  • Sinalização digital/interativa (quiosque de aplicativo único): filtra as configurações do Microsoft Edge que se aplicam ao modo digital/interativo de sinalização Microsoft Quiosque do Edge em quiosques de aplicativo único Windows 10/11. Escolha essa configuração para abrir uma URL em tela inteira e apenas mostrar o conteúdo nesse site. Configurar sinais digitais fornece mais informações sobre esse recurso.
  • InPrivate Navegação pública (quiosque de aplicativo único): Filtra as configurações do Microsoft Edge aplicáveis ao modo De Navegação Pública do InPrivate Microsoft Quiosque do Edge para uso em quiosques de aplicativo único Windows 10/11. Executa uma versão de várias guias do Microsoft Edge.
  • Modo normal (quiosque de vários aplicativos): filtra as configurações Microsoft Edge aplicáveis ao modo Quiosque normal Microsoft Edge. Executa uma versão completa do Microsoft Edge com todos os recursos de navegação.
  • Navegação pública (quiosque de vários aplicativos): filtra as configurações do Microsoft Edge aplicáveis à navegação pública em um quiosque de vários aplicativos Windows 10. Executa uma versão de várias guias do Microsoft Edge InPrivate.

Dica

Para obter mais informações sobre o que essas opções fazem, consulte Microsoft Tipos de configuração do modo de quiosque do Edge.

Esse perfil de restrições de dispositivo está diretamente relacionado ao perfil de quiosque que você cria usando as configurações do quiosque do Windows. Para resumir:

  1. Crie o perfil de configurações do quiosque do Windows para executar o dispositivo no modo de quiosque. Selecione Microsoft Edge como o aplicativo e defina o modo de quiosque Microsoft Edge no perfil quiosque.

  2. Crie o perfil de restrições de dispositivo descrito neste artigo e configure recursos e configurações específicos permitidos no Microsoft Edge. Escolha o mesmo tipo de modo de quiosque do Microsoft Edge selecionado em seu perfil de quiosque (configurações do quiosque do Windows).

    As configurações de modo de quiosque com suporte são um ótimo recurso.

Importante

Atribua esse perfil Microsoft Edge aos mesmos dispositivos que o perfil do quiosque (configurações do quiosque do Windows).

Configurar O CSP doKioskMode

Start experience

  • Inicie Microsoft Edge com: escolha quais páginas abrirão quando Microsoft Edge for iniciado. Suas opções:

    • Páginas de início personalizadas: insira as páginas de início, como http://www.contoso.com. Microsoft Edge carrega as páginas iniciais inseridas.
    • Nova página Guia: Microsoft Edge carregar o que for inserido na configuração nova URL da Guia.
    • Página da última sessão: Microsoft Edge carrega a última página da sessão.
    • Páginas de início em configurações de aplicativo local: Microsoft Edge começam com a página de início padrão definida pelo sistema operacional.
  • Permitir que o usuário altere as páginas de início: Sim (padrão) permite que os usuários alterem as páginas iniciais. Os administradores podem usar o EdgeHomepageUrls para inserir as páginas iniciais que os usuários veem por padrão ao abrir Microsoft Edge. Nenhum impede que os usuários alterem as páginas iniciais.

  • Permitir conteúdo da Web na nova página da guia: quando definido como Sim (padrão), Microsoft Edge abre a URL inserida na configuração url nova guia. Se a configuração nova URL da Guia estiver em branco, Microsoft Edge abrirá a nova página de guia listada nas configurações do Microsoft Edge. Os usuários podem alterá-lo. Quando definido como Não, Microsoft Edge abre uma nova guia com uma página em branco. Os usuários não podem alterá-lo.

  • NOVA URL da Guia: insira a URL para abrir na página Nova Guia. Por exemplo, insira https://www.bing.com ou https://www.contoso.com.

  • Botão Inicial: escolha o que acontece quando o botão inicial é selecionado. Suas opções:

    • Páginas iniciais: abre a opção escolhida no Start Microsoft Edge com a configuração
    • Página Nova Guia: abre a URL inserida na configuração de URL da Nova Guia .
    • URL do botão Inicial: insira a URL a ser aberta. Por exemplo, insira https://www.bing.com ou https://www.contoso.com.
    • Botão Ocultar Home: oculta o botão home
  • Permitir que os usuários alterem o botão home: Sim , permite que os usuários alterem o botão home. As alterações de usuário substituem as configurações de administrador no botão inicial. Nenhum (padrão) impede que os usuários alterem a forma como o administrador configurou o botão home.

  • Página Mostrar Experiência de Primeira Execução (somente celular): Sim (padrão) mostra a primeira página de introdução de uso no Microsoft Edge. Nenhuma impede que a página de introdução mostre a primeira vez que você executa Microsoft Edge. Esse recurso permite que empresas, como organizações registradas em configurações de emissões zero, bloqueiem esta página.

  • Primeiro Local da lista de URL de Experiência de Execução (somente Windows 10 Mobile): insira a URL que aponta para o arquivo XML que contém as URLs da primeira página de execução. Por exemplo, digite https://www.contoso.com/sites.xml.

  • Atualizar o navegador após o tempo ocioso: insira o número de minutos ociosos até que o navegador seja atualizado de 0 a 1440 minutos. O padrão é 5 minutos. Quando definido como 0 (zero), o navegador não é atualizado após ficar ocioso.

    Essa configuração só está disponível ao ser executada no InPrivate Public browsing (quiosque de aplicativo único).

  • Permitir pop-ups (somente área de trabalho): Sim (padrão) permite pop-ups no navegador da Web. Não impede janelas pop-up no navegador.

  • Enviar tráfego de intranet para o Internet Explorer (somente área de trabalho): Sim permite que os usuários abram sites de intranet no Internet Explorer em vez de Microsoft Edge. Essa configuração é para compatibilidade com versões anteriores. Nenhum (padrão) permite que os usuários usem Microsoft Edge.

  • Local da lista de sites do modo empresarial (somente área de trabalho): insira a URL que aponta para o arquivo XML que contém uma lista de sites abertos no modo Enterprise. Os usuários não podem alterar essa lista. Por exemplo, digite https://www.contoso.com/sites.xml.

  • Mensagem ao abrir sites no Internet Explorer: use essa configuração para configurar Microsoft Edge para mostrar uma notificação antes da abertura de um site no Internet Explorer 11. Suas opções:

    • Não mostre mensagem: o comportamento padrão do sistema operacional é usado, o que pode não mostrar uma mensagem.
    • Mostrar a mensagem de que o site é aberto no Internet Explorer 11: mostrar a mensagem ao abrir sites no IE. Sites abertos no IE.
    • Mostrar mensagem com a opção de abrir sites no Microsoft Edge: mostrar a mensagem ao abrir sites no Microsoft Edge. A mensagem inclui um link Continuar no Microsoft Edge para que os usuários possam escolher Microsoft Edge em vez do IE.

    Importante

    Essa configuração exige que você use a configuração de local da lista de sites do modo Enterprise , a configuração Enviar tráfego de intranet para o Internet Explorer ou ambas as configurações.

  • Permitir Microsoft lista de compatibilidade: sim (padrão) permite usar uma lista de compatibilidade Microsoft. Não impede a lista de compatibilidade Microsoft no Microsoft Edge. Esta lista de Microsoft ajuda Microsoft o Edge a exibir corretamente sites com problemas de compatibilidade conhecidos.

  • Páginas de início de pré-carregamento e página Nova Guia: Sim (padrão) usa o comportamento padrão do sistema operacional, que pode ser pré-carregar essas páginas. O pré-carregamento minimiza o tempo para iniciar Microsoft Edge e carregar novas guias. Nenhum impede Microsoft Edge de pré-carregar páginas iniciais e a nova página de guias.

  • Páginas de início de pré-lançamento e página Nova Guia: Sim (padrão) usa o comportamento padrão do sistema operacional, que pode ser para pré-lançamento dessas páginas. O pré-lançamento ajuda o desempenho do Microsoft Edge e minimiza o tempo necessário para iniciar Microsoft Edge. Não impede que Microsoft Edge pré-inicie as páginas de início e a nova guia.

  • Barra Mostrar Favoritos: escolha o que acontece com a barra de favoritos em qualquer página do Microsoft Edge. Suas opções:

    • Nas páginas Iniciar e nova Guia: mostra a barra de favoritos quando Microsoft Edge é iniciado e em todas as páginas tab. Os usuários podem alterar essa configuração.
    • Em todas as páginas: mostra a barra de favoritos em todas as páginas. Os usuários não podem alterar essa configuração.
    • Oculto: oculta a barra de favoritos em todas as páginas. Os usuários não podem alterar essa configuração.
  • Permitir alterações em favoritos: Sim (padrão) usa o padrão do sistema operacional, o que permite que os usuários alterem a lista. Não impede que os usuários adicionem, importem, classifiquem ou editem a lista Favoritos.

    • Lista de favoritos: adicione uma lista de URLs ao arquivo de favoritos. Por exemplo, adicione http://contoso.com/favorites.html.
  • Sincronizar favoritos entre navegadores Microsoft (somente área de trabalho): Sim força o Windows a sincronizar favoritos entre o Internet Explorer e o Microsoft Edge. Adições, exclusões, modificações e alterações de pedido em favoritos são compartilhadas entre navegadores. Nenhum (padrão) usa o padrão do sistema operacional, o que pode dar aos usuários a opção de sincronizar favoritos entre os navegadores.

  • Mecanismo de pesquisa padrão: escolha o mecanismo de pesquisa padrão no dispositivo. Os usuários podem alterar esse valor a qualquer momento. Suas opções:

    • Mecanismo de pesquisa nas configurações do Microsoft Edge do cliente
    • Bing
    • Google
    • Yahoo
    • Valor personalizado: na URL Xml OpenSearch, insira uma URL HTTPS com o arquivo XML que inclui o nome curto e a URL para o mecanismo de pesquisa, no mínimo. Por exemplo, digite https://www.contoso.com/opensearch.xml.
  • Mostrar sugestões de pesquisa: Sim (padrão) permite que seu mecanismo de pesquisa sugira sites à medida que você digita frases de pesquisa na barra de endereços. Nenhum impede esse recurso.

  • Permitir alterações no mecanismo de pesquisa: Sim (padrão) permite que os usuários adicionem novos mecanismos de pesquisa ou alterem o mecanismo de pesquisa padrão no Microsoft Edge. Escolha Não para impedir que os usuários personalizem o mecanismo de pesquisa.

    Essa configuração só está disponível ao ser executada no modo Normal (quiosque de vários aplicativos).

Privacidade e segurança

  • Permitir a navegação no InPrivate: sim (padrão) permite que o InPrivate navegue no Microsoft Edge. Depois de fechar todas as guias InPrivate, Microsoft Edge exclui os dados de navegação do dispositivo. Não impede que os usuários abram sessões de navegação do InPrivate.

  • Salvar histórico de navegação: sim (padrão) permitir salvar o histórico de navegação no Microsoft Edge. Não impede salvar o histórico de navegação.

  • Limpar dados de navegação na saída (somente área de trabalho): Sim limpa o histórico e navega dados quando os usuários saem Microsoft Edge. Nenhum (padrão) usa o padrão do sistema operacional, que pode armazenar em cache os dados de navegação.

  • Sincronizar as configurações do navegador entre os dispositivos do usuário: escolha como você deseja sincronizar as configurações do navegador entre dispositivos. Suas opções:

    • Permitir: permitir a sincronização das configurações do navegador Microsoft Edge entre os dispositivos do usuário
    • Bloquear e habilitar a substituição do usuário: bloquear a sincronização de Microsoft configurações do navegador Edge entre os dispositivos do usuário. Os usuários podem substituir essa configuração. Quando essa opção é selecionada, os usuários podem substituir a designação de administrador.
    • Bloquear: bloquear a sincronização da configuração do navegador Microsoft Edge entre os dispositivos de usuários. Os usuários não podem substituir essa configuração.
  • Permitir Gerenciador de Senhas: Sim (padrão) permite que Microsoft Edge use automaticamente o Gerenciador de Senhas, o que permite que os usuários salvem e gerenciem senhas no dispositivo. Nenhum impede Microsoft Edge de usar o Gerenciador de Senhas.

  • Cookies: escolha como os cookies são manipulados no navegador da Web. Suas opções:

    • Permitir: os cookies são armazenados no dispositivo.
    • Bloquear todos os cookies: os cookies não são armazenados no dispositivo.
    • Bloquear somente cookies de terceiros: cookies de terceiros ou parceiros não são armazenados no dispositivo.
  • Permitir preenchimento automático em formulários: sim (padrão) permite que os usuários alterem as configurações de autocompletar no navegador e preencham os campos de formulário automaticamente. Não desabilita o recurso Autofill no Microsoft Edge.

  • Enviar cabeçalhos que não acompanham: Sim envia cabeçalhos que não acompanham para sites que solicitam informações de acompanhamento (recomendado). Nenhum (padrão) não envia cabeçalhos que permitem que sites acompanhem o usuário. Os usuários podem configurar essa configuração.

  • Mostrar o endereço IP localhost do WebRTC: Sim (padrão) permite que o endereço IP localhost dos usuários seja mostrado ao fazer chamadas telefônicas usando esse protocolo. Não impede que o endereço IP localhost dos usuários seja mostrado.

  • Permitir a coleta de dados de blocos ao vivo: Sim (padrão) permite que Microsoft Edge colete informações de Blocos dinâmicos fixados no menu inicial. Não impede a coleta dessas informações, o que pode fornecer aos usuários uma experiência limitada.

  • O usuário pode substituir erros de certificado: sim (padrão) permite que os usuários acessem sites que têm erros SSL/TLS (Segurança de Camada de Transporte) de Soquetes Seguros. Nenhum (recomendado para aumentar a segurança) impede que os usuários acessem sites com erros de SSL ou TLS.

Additional

  • Permitir Microsoft navegador edge (somente móvel): Sim (padrão) permite usar o navegador da Web Microsoft Edge no dispositivo móvel. Não impede o uso do Microsoft Edge em dispositivos. Se você escolher Não, as outras configurações individuais só se aplicam à área de trabalho.

  • Permitir a lista suspensa da barra de endereços: Sim (padrão) permite que Microsoft Edge mostre a lista suspensa da barra de endereços com uma lista de sugestões. Nenhuma interrupção Microsoft Edge de mostrar uma lista de sugestões em uma lista suspensa ao digitar. Quando definido como Não, você:

    • Ajude a minimizar a largura de banda de rede entre serviços Microsoft Edge e Microsoft.
    • Desabilite as sugestões mostrar pesquisa e site à medida que digito Microsoft Configurações de Borda>.
  • Permitir modo de tela inteira: Sim (padrão) permite que Microsoft Edge use o modo de tela inteira, que mostra apenas o conteúdo da Web e oculta a interface do usuário do Microsoft Edge. Não impede o modo de tela inteira no Microsoft Edge.

  • Página Permitir sobre sinalizadores: Sim (padrão) usa o sistema operacional padrão, o que pode permitir o acesso à about:flags página. A about:flags página permite que os usuários alterem as configurações do desenvolvedor e habilitem recursos experimentais. Não impede que os usuários acessem a about:flags página no Microsoft Edge.

  • Permitir ferramentas de desenvolvedor: Sim (padrão) permite que os usuários usem as ferramentas do desenvolvedor F12 para criar e depurar páginas da Web por padrão. Nenhum impede que os usuários usem as ferramentas de desenvolvedor F12.

  • Permitir JavaScript: Sim (padrão) permite que scripts, como JavaScript, sejam executados no navegador Microsoft Edge. Nenhum impede que scripts Java no navegador sejam executados.

  • O usuário pode instalar extensões: sim (padrão) permite que os usuários instalem extensões Microsoft Edge em dispositivos. Não impede a instalação.

  • Permitir sideload de extensões de desenvolvedor: Sim (padrão) usa o padrão do sistema operacional, o que pode permitir sideload. O sideload instala e executa extensões não verificadas. Nenhum impede Microsoft Edge de sideload usando o recurso De carregar extensões. Isso não impede o sideload de extensões usando outras maneiras, como o PowerShell.

  • Extensões necessárias: escolha quais extensões não podem ser desativadas pelos usuários no Microsoft Edge. Insira os nomes da família de pacotes e selecione Adicionar. Localizar um PFN (nome da família de pacotes) para por aplicativo VPN fornece algumas diretrizes.

    Você também pode importar um arquivo CSV que inclua os nomes da família de pacotes. Ou exporte os nomes de família de pacotes inseridos.

Proxy de rede

Essas configurações usam o CSP da política NetworkProxy, que também lista as edições do Windows com suporte.

  • Detectar automaticamente configurações de proxy: bloquear desabilita dispositivos de detectar automaticamente um script PAC (configuração automática de proxy). Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar esse recurso e os dispositivos tentam encontrar o caminho para um script PAC.

    Quando definida como Bloquear, a configuração ProxySettingsPerUser é definida automaticamente como 0.

  • Usar script proxy: escolha Permitir inserir um caminho para o script PAC para configurar o servidor proxy. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não permitir que você insira a URL em um script PAC.

    • URL do endereço de script de instalação: insira a URL de um script PAC que você deseja usar para configurar o servidor proxy.
  • Use o servidor proxy manual: escolha Permitir inserir manualmente o nome ou o endereço IP e o número da porta TCP de um servidor proxy. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não permitir que você insira manualmente detalhes de um servidor proxy.

    • Endereço: insira o nome ou o endereço IP do servidor proxy.
    • Número da porta: insira o número da porta do servidor proxy.
    • Exceções de proxy: insira quaisquer URLs que não devem usar o servidor proxy. Use um ponto e vírgula (;) para separar cada item.
    • Ignorar o servidor proxy para endereço local: Permitir não usa o servidor proxy para endereços de intranet locais. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode usar um servidor proxy para endereços locais em sua intranet.

Password

Essas configurações usam o CSP da política DeviceLock, que também lista as edições do Windows com suporte.

  • Senha: exigir que os usuários insiram uma senha para acessar o dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso a dispositivos sem uma senha. Aplica-se apenas a contas locais. As senhas da conta de domínio permanecem configuradas pelo AD (Active Directory) e Azure AD.

    DeviceLock/DevicePasswordEnabled CSP

    • Tipo de senha necessário: escolha o tipo de senha. Suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que a senha inclua números e letras.
      • Alfanumérico: a senha deve ser uma combinação de números e letras.
      • Numérico: a senha deve ser apenas números.

      DeviceLock/AlphanumericDevicePasswordRequired CSP

    • Tamanho mínimo da senha: insira o número mínimo de caracteres necessários, de 4 a 16. Por exemplo, insira 6 para exigir pelo menos seis caracteres no comprimento da senha. Por padrão, o sistema operacional pode defini-lo como 4.

      DeviceLock/MinDevicePasswordLength CSP

      Importante

      Quando o requisito de senha é alterado em uma área de trabalho do Windows, os usuários são afetados na próxima vez que entrarem, pois é quando os dispositivos passam de ociosos para ativos. Os usuários com senhas que atendem ao requisito ainda são solicitados a alterar suas senhas.

    • Número de falhas de entrada antes de limpar o dispositivo: insira o número de senhas erradas permitidas antes que o dispositivo seja apagado, até 11. O número válido que você insere depende da edição. DeviceLock/MaxDevicePasswordFailedAttempts CSP lista os valores com suporte. 0 (zero) pode desabilitar a funcionalidade de apagamento de dispositivo.

      Essa configuração também tem um impacto diferente dependendo da edição. Para obter detalhes específicos sobre essa configuração, consulte o CSP DeviceLock/MaxDevicePasswordFailedAttempts.

    • Minutos máximos de inatividade até bloqueios de tela: insira o tempo em que um dispositivo deve ficar ocioso antes que a tela seja bloqueada. Por exemplo, insira 5 para bloquear dispositivos após 5 minutos de ociosidade. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode defini-lo como 0 (zero), o que não é tempo limite.

      DeviceLock/MaxInactivityTimeDeviceLock CSP

    • Expiração de senha (dias): insira o tempo em dias em que a senha do dispositivo deve ser alterada, de 1 a 365. Por exemplo, digite 90 para expirar a senha após 90 dias. Quando o valor está em branco, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode defini-lo como 0 (zero), o que não é expiração.

      DeviceLock/DevicePasswordExpiration CSP

    • Impedir a reutilização de senhas anteriores: insira o número de senhas usadas anteriormente que não podem ser usadas, de 1 a 24. Por exemplo, insira 5 para que os usuários não possam definir uma nova senha para sua senha atual ou qualquer uma de suas quatro senhas anteriores. Quando o valor está em branco, Intune não altera nem atualiza essa configuração.

      DeviceLock/DevicePasswordHistory CSP

    • Exigir senha quando o dispositivo retornar do estado ocioso (Móvel e Holográfico): exigir que os usuários insiram uma senha para desbloquear o dispositivo após ficarem ociosos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir um PIN ou senha depois de ficar ocioso.

      DeviceLock/AllowIdleReturnWithoutPassword CSP

    • Senhas simples: Bloquear impede que os usuários criem senhas simples, como 1234 ou 1111. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários criem senhas simples. Essa configuração também bloqueia o uso de senhas de imagem.

      DeviceLock/AllowSimpleDevicePassword CSP

  • Criptografia automática durante o AADJ: Bloquear impede a criptografia automática do dispositivo BitLocker quando os dispositivos são preparados para o primeiro uso e quando os dispositivos são Azure AD ingressados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar a criptografia.

    Mais sobre a criptografia do dispositivo BitLocker.

    Segurança/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP

  • Política do FIPS (Federal Information Processing Standard):Permitir usa a política FIPS (Federal Information Processing Standard), que é um padrão do governo dos EUA para criptografia, hash e assinatura. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não permitir FIPS.

    Criptografia/AllowFipsAlgorithmPolicy CSP

  • Windows Hello autenticação do dispositivo: permitir que os usuários usem um dispositivo Windows Hello complementar, como telefone, banda fitness ou dispositivo IoT, para entrar em um computador Windows 10/11. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir que Windows Hello dispositivos complementares se autentiquem.

    Autenticação/AllowSecondaryAuthenticationDevice CSP

  • Domínio de locatário Azure AD preferencial: insira um nome de domínio existente em sua organização Azure AD. Quando os usuários neste domínio entrarem, eles não precisam digitar o nome do domínio. Por exemplo, digite contoso.com. Os usuários no contoso.com domínio podem entrar usando seu nome de usuário, como abby, em vez de abby@contoso.com.

    Autenticação/PreferredAadTenantDomainName CSP

Exceções de privacidade por aplicativo

Adicione aplicativos que devem ter um comportamento de privacidade diferente do que você define em "Privacidade padrão".

  • Nome do pacote: nome da família do pacote de aplicativos.
  • Nome do aplicativo: o nome do aplicativo.

Exceções

  • Informações da conta: defina se esse aplicativo pode acessar o nome de usuário, a imagem e outras informações de contato.
  • Aplicativos em segundo plano: defina se esse aplicativo pode ser executado em segundo plano.
  • Calendário: defina se esse aplicativo pode acessar o calendário.
  • Histórico de chamadas: defina se esse aplicativo pode acessar meu histórico de chamadas.
  • Câmera: defina se esse aplicativo pode acessar a câmera.
  • Contatos: defina se esse aplicativo pode acessar contatos.
  • Email: defina se esse aplicativo pode acessar e enviar email.
  • Local: defina se esse aplicativo pode acessar informações de localização.
  • Mensagens: defina se este aplicativo pode ler ou enviar mensagens de texto ou MMS.
  • Microfone: defina se esse aplicativo pode usar o microfone.
  • Movimento: defina se esse aplicativo pode acessar informações de movimento do dispositivo.
  • Notificações: defina se esse aplicativo pode acessar notificações.
  • Telefone: defina se esse aplicativo pode acessar o telefone.
  • Rádios: alguns aplicativos usam rádios (por exemplo, Bluetooth) em seu dispositivo para enviar e receber dados e precisam ativar ou desativar esses rádios. Defina se esse aplicativo pode controlar esses rádios.
  • Tarefas: defina se esse aplicativo pode acessar suas tarefas.
  • Dispositivos confiáveis: escolha se esse aplicativo pode usar dispositivos confiáveis. Dispositivos confiáveis são hardware que você já conectou ou hardware que vem com o dispositivo. Por exemplo, use TVs, projetores e assim por diante, como dispositivos confiáveis.
  • Comentários e diagnósticos: defina se esse aplicativo pode acessar informações de diagnóstico.
  • Sincronizar com dispositivos: escolha se esse aplicativo pode compartilhar e sincronizar automaticamente informações com dispositivos sem fio que não emparelham explicitamente com o dispositivo.

Personalização

Essas configurações usam a política de personalização CSP, que também lista as edições do Windows com suporte.

  • URL de imagem de plano de fundo da área de trabalho (somente área de trabalho): insira a URL para uma imagem no formato .jpg, .jpeg ou .png que você deseja usar como papel de parede da área de trabalho do Windows. Os usuários não podem alterar a imagem. Por exemplo, digite https://contoso.com/logo.png.

    Quando deixado em branco, Intune não altera nem atualiza essa configuração.

Impressora

  • Impressoras: adicione impressoras usando seus nomes de host de rede (nome DNS). O sistema operacional pesquisa e instala drivers de impressora correspondentes para cada impressora no dispositivo. Se você não inserir um valor, Intune não alterará nem atualizará essa configuração.

    CSP educação/nomes de impressora

  • Impressora padrão: insira o nome do host de rede (nome DNS) de uma impressora instalada para usar como a impressora padrão. Se você não inserir um valor, Intune não alterará nem atualizará essa configuração.

    Educação/DefaultPrinterName CSP

  • Adicionar novas impressoras: Bloquear impede que os usuários adicionando novas impressoras. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a adição de novas impressoras.

    Educação/PreventAddingNewPrinters CSP

Privacidade

Essas configurações usam a política de privacidade CSP, que também lista as edições do Windows com suporte.

  • Experiência de privacidade: Bloquear impede que a experiência de privacidade seja aberta quando os usuários entrarem e abram para usuários novos e atualizados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Privacidade/DesabilitarPrivacyExperience

  • Personalização de entrada: bloquear impede o uso de voz para ditado e conversar com a Cortana e outros aplicativos que usam Microsoft reconhecimento de fala baseado em nuvem. Ele está desabilitado e os usuários não podem habilitar o reconhecimento de fala online usando configurações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários escolham. Se você permitir esses serviços, Microsoft poderá coletar dados de voz para melhorar o serviço.

    CSP de Privacidade/AllowInputPersonalization

  • Aceitação automática dos prompts de consentimento do usuário de emparelhamento e privacidade: escolha Permitir para que o Windows possa aceitar automaticamente mensagens de consentimento de privacidade e emparelhamento ao executar aplicativos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir a aceitação automática.

    Privacidade/AllowAutoAcceptPairingAndPrivacyConsentPrompts CSP

  • Publicar atividades do usuário: bloquear impede que aplicativos e o sistema operacional publiquem atividades do usuário. Ele também impede experiências compartilhadas e a descoberta de recursos usados recentemente no feed de atividades. As atividades do usuário acompanham o estado das tarefas de um usuário em um aplicativo ou no sistema operacional. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar esse recurso para que os aplicativos possam publicar atividades do usuário.

    CSP privacidade/PublishUserActivities

  • Somente atividades locais: o Block impede experiências compartilhadas e a descoberta de recursos usados recentemente no comutador de tarefas, com base apenas na atividade local. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

Você pode configurar informações que todos os aplicativos no dispositivo podem acessar. Além disso, defina exceções por aplicativo usando exceções de privacidade por aplicativo.

Exceções

  • Informações da conta: defina se esse aplicativo pode acessar o nome de usuário, a imagem e outras informações de contato.
  • Aplicativos em segundo plano: defina se esse aplicativo pode ser executado em segundo plano.
  • Calendário: defina se esse aplicativo pode acessar o calendário.
  • Histórico de chamadas: defina se esse aplicativo pode acessar meu histórico de chamadas.
  • Câmera: defina se esse aplicativo pode acessar a câmera.
  • Contatos: defina se esse aplicativo pode acessar contatos.
  • Email: defina se esse aplicativo pode acessar e enviar email.
  • Local: defina se esse aplicativo pode acessar informações de localização.
  • Mensagens: defina se este aplicativo pode ler ou enviar mensagens de texto ou MMS.
  • Microfone: defina se esse aplicativo pode usar o microfone.
  • Movimento: defina se esse aplicativo pode acessar informações de movimento do dispositivo.
  • Notificações: defina se esse aplicativo pode acessar notificações.
  • Telefone: defina se esse aplicativo pode acessar o telefone.
  • Rádios: alguns aplicativos usam rádios (por exemplo, Bluetooth) em seu dispositivo para enviar e receber dados e precisam ativar ou desativar esses rádios. Defina se esse aplicativo pode controlar esses rádios.
  • Tarefas: defina se esse aplicativo pode acessar suas tarefas.
  • Dispositivos confiáveis: escolha se esse aplicativo pode usar dispositivos confiáveis. Dispositivos confiáveis são hardware que você já conectou ou hardware que vem com o dispositivo. Por exemplo, use TVs, projetores e assim por diante, como dispositivos confiáveis.
  • Comentários e diagnósticos: escolha se este aplicativo pode acessar informações de diagnóstico.
  • Sincronizar com dispositivos -Defina se esse aplicativo pode compartilhar e sincronizar automaticamente informações com dispositivos sem fio que não emparelham explicitamente com este computador, tablet ou telefone.

Projeção

Essas configurações usam a política WirelessDisplay CSP, que também lista as edições do Windows com suporte.

  • Entrada do usuário de receptores de exibição sem fio: Bloquear impede a entrada do usuário de receptores de exibição sem fio. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que uma exibição sem fio envie a entrada de teclado, mouse, caneta e toque de volta para o dispositivo de origem.

    WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP

  • Projeção para este computador: Bloquear impede que outros dispositivos encontrem o dispositivo para projeção e impede a projeção para outros dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os dispositivos sejam detectáveis e possam projetar para o dispositivo acima da tela de bloqueio.

    WirelessDisplay/AllowProjectionFromPC CSP

  • Exigir PIN para emparelhamento: exige sempre solicitações para um PIN ao se conectar a um dispositivo de projeção. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir um PIN para emparelhar o dispositivo.

    WirelessDisplay/RequirePinForPairing CSP

Relatórios e telemetria

Para obter informações sobre alterações recentes para a Telemetria do Windows, consulte Alterações na coleta de dados de diagnóstico do Windows.

  • Compartilhar dados de uso: escolha o nível de dados de diagnóstico enviados. Suas opções:

    • Não configurado: (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários escolhem o nível enviado. Por padrão, o sistema operacional pode não compartilhar dados.
    • Dados de diagnóstico desativados: (Não recomendado). Examine o Sistema CSP/AllowTelemetry para obter detalhes sobre essa configuração.
    • Obrigatório: envia informações básicas do dispositivo, incluindo dados relacionados à qualidade, compatibilidade de aplicativo e outros dados semelhantes para manter o dispositivo seguro e atualizado.
    • Aprimorado (1903 e anterior): insights adicionais, incluindo como Windows, Windows Server, System Center e aplicativos são usados, como eles executam, dados avançados de confiabilidade e dados do nível necessário . Quando essa opção é implantada em um dispositivo que executa o Windows 1909 e posterior, o dispositivo é definido como Obrigatório.
    • Opcional: todos os dados necessários para identificar e ajudar a corrigir problemas, além de dados do nível Obrigatório e Avançado .

    System/AllowTelemetry CSP

  • Enviar dados de navegação do Microsoft Edge para Microsoft 365 Analytics: para usar esse recurso, defina as configurações de dados de uso do Share como Aprimoradas ou Completas. Esse recurso controla quais dados Microsoft Edge envia para Microsoft 365 Analytics para dispositivos corporativos com uma ID comercial configurada. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não coletar ou enviar dados de histórico de navegação.
    • Envie apenas dados de intranet: permite que o administrador envie o histórico de dados da intranet.
    • Enviar somente dados da Internet: permite que o administrador envie o histórico de dados da Internet.
    • Enviar dados de intranet e internet: permite que o administrador envie o histórico de dados da intranet e da Internet.

    Browser/ConfigureTelemetryForMicrosoft365Analytics CSP

  • Servidor proxy de telemetria: insira o nome de domínio totalmente qualificado (FQDN) ou endereço IP de um servidor proxy para encaminhar experiências de usuário conectadas e solicitações de telemetria, usando uma conexão SSL (Secure Sockets Layer). O formato dessa configuração é server:port. Se o proxy nomeado falhar ou se um proxy não for inserido, os dados experiências do usuário conectado e telemetria não serão enviados. Ele permanece no dispositivo local.

    Se você não inserir um valor, Intune não alterará nem atualizará essa configuração. Por padrão, o sistema operacional pode enviar os dados de Experiências do Usuário Conectado e Telemetria para Microsoft usando a configuração de proxy padrão.

    Formatos de exemplo:

    IPv4: 192.246.246.106:100
    IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100
    FQDN: www.contoso.com:345
    

    System/TelemetryProxy CSP

Essas configurações usam a política de pesquisa CSP, que também lista as edições do Windows com suporte.

  • Pesquisa segura (somente móvel): controle como a Cortana filtra o conteúdo adulto nos resultados da pesquisa. Suas opções:

    • Definido pelo usuário: Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários escolhem suas próprias configurações.
    • Estrito: filtragem mais alta em relação ao conteúdo adulto
    • Moderada: filtragem moderada em relação ao conteúdo adulto. Os resultados válidos da pesquisa não são filtrados.
  • Exibir resultados da Web na pesquisa: Bloquear impede que os usuários usem o Windows Search para pesquisar na Internet e os resultados da Web não são mostrados na Pesquisa. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários pesquisem na Web e os resultados sejam mostrados no dispositivo.

  • Diacritics: Bloquear impede que os diacríticos sejam mostrados na Pesquisa do Windows. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar diacríticos.

    Pesquisa/AllowUsingDiacritics CSP

  • Detecção automática de idioma: Bloquear impede que o Windows Search detecte automaticamente o idioma ao indexar conteúdo ou propriedades. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Pesquisa/AlwaysUseAutoLangDetection CSP

  • Local da pesquisa: Bloquear impede que o Windows Search use o local. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Pesquisa/AllowSearchToUseLocation CSP

  • Backoff do indexador: o bloco desabilita o recurso de backoff do indexador de pesquisa. A indexação continua a toda velocidade, mesmo que a atividade do sistema seja alta. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode usar a lógica de backoff para limitar a atividade de indexação de volta quando a atividade do sistema é alta.

    Pesquisar/desabilitar CSP doBackoff

  • Indexação de unidade removível: o bloco impede que locais em unidades removíveis sejam adicionados a bibliotecas e sejam indexados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Pesquisa/DisableRemovableDriveIndexing CSP

  • Baixa indexação de espaço em disco: Habilitar permite a indexação automática, mesmo quando o espaço em disco está baixo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode desativar a indexação automática quando o espaço em disco rígido for de 600 MB ou menos. Se os dispositivos em sua organização tiverem espaço limitado em disco rígido, defina-o como Não configurado.

    Pesquisa/PreventIndexingLowDiskSpaceMB CSP

  • Consultas remotas: habilitar permite consultas remotas do índice do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir que os usuários consultem o índice do dispositivo remotamente.

    Pesquisa/PreventRemoteQueries CSP

Início

Essas configurações usam o CSP da política de início, que também lista as edições do Windows com suporte.

Observação

Os recursos de gerenciamento para fornecer experiências personalizadas de Início e Barra de Tarefas estão atualmente limitados em Windows 11. Para obter mais informações, consulte Políticas de CSP (provedor de serviços de configuração com suporte) para Windows 11 menu Iniciar.

  • Layout do menu Iniciar: carregue um arquivo XML que inclui suas personalizações, incluindo a ordem em que os aplicativos estão listados e muito mais. O arquivo XML substitui o layout de início padrão. Os usuários não podem alterar o layout do menu inicial inserido.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/StartLayout CSP

  • Fixar sites em blocos no menu Iniciar: importar imagens do Microsoft Edge. Essas imagens são mostradas como links no menu Iniciar do Windows para dispositivos de área de trabalho. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/ImportEdgeAssets CSP

  • Desafixar aplicativos da barra de tarefas: Bloquear impede que os usuários desabilitem aplicativos da barra de tarefas. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários desvinquem aplicativos da barra de tarefas.

    Start/NoPinningToTaskbar CSP

  • Comutação rápida do usuário: Bloquear impede a alternância entre usuários conectados simultaneamente sem fazer logon. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o usuário do Switch no bloco de usuário.

    WindowsLogon/HideFastUserSwitching CSP

  • Aplicativos mais usados: Bloquear oculta os aplicativos mais usados de exibição no menu inicial. Ele também desabilita o alternância correspondente no aplicativo Configurações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar os aplicativos mais usados.

    Start/HideFrequentlyUsedApps CSP

  • Aplicativos adicionados recentemente: Bloquear oculta aplicativos adicionados recentemente no menu inicial. Ele também desabilita o alternância correspondente no aplicativo Configurações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar os aplicativos adicionados recentemente no menu inicial.

    Start/HideRecentlyAddedApps CSP

  • Modo de tela inicial: escolha o tamanho da tela inicial. Suas opções:

    • Definido pelo usuário: Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários podem definir o tamanho.
    • Tela inteira: força um tamanho de tela inteira de Iniciar.
    • Tela não completa: force um tamanho não fullscreen de Iniciar.

    Start/ForceStartSize CSP

  • Itens abertos recentemente em Listas de Saltos: Bloquear oculta listas de salto recentes de serem mostradas no menu inicial e na barra de tarefas. Ele também desabilita o alternância correspondente no aplicativo Configurações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar itens abertos recentemente nas listas de saltos.

    Start/HideRecentJumplists CSP

  • Lista de aplicativos: escolha como todas as listas de aplicativos são mostradas. Suas opções:

    • Definido pelo usuário: Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários escolhem como a lista de aplicativos é mostrada.
    • Colapso: oculta a lista de todos os aplicativos.
    • Recolher e desabilitar o aplicativo Configurações: oculta a lista de todos os aplicativos e desabilita Mostrar lista de aplicativos no menu Iniciar no aplicativo Configurações.
    • Remove e desabilita o aplicativo Configurações: oculta a lista de todos os aplicativos, remove todos os aplicativos e desabilita Mostrar lista de aplicativos no menu Iniciar no aplicativo Configurações.

    Start/HideAppList CSP

  • Botão de alimentação: Bloquear oculta o botão de energia no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o botão de energia.

    Start/HidePowerButton CSP

  • Bloco de usuário: Bloquear oculta o bloco do usuário no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o bloco de usuário. Defina as seguinte configurações:

    • Bloqueio: Bloquear oculta a opção Bloquear no bloco do usuário no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar a opção Bloquear .
    • Sair: Bloquear oculta a opção Sair no bloco de usuário no menu inicial. Não configurado (padrão) mostra a opção Sair .

    Start/HideUserTile CSP

  • Desligar: Bloquear oculta as opções Atualizar e desligar e Desligar no botão de energia no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideShutDown CSP

  • Sono: Bloquear oculta a opção Dormir no botão de energia no menu iniciar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    CSP iniciar/ocultar o sono

  • Hibernar: Bloquear oculta a opção Hibernar no botão de energia no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideHibernate CSP

  • Conta de opção: Bloquear oculta a conta Doutador no bloco de usuário no menu inicial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideSwitchAccount CSP

  • Opções de reinicialização: Bloquear oculta as opções Atualizar e reiniciar e Reiniciar no botão de energia no menu iniciar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideRestart CSP

  • Documentos em Iniciar: ocultar ou mostrar a pasta Documentos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderDocuments CSP

  • Downloads em Iniciar: ocultar ou mostrar a pasta Downloads no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderDownloads CSP

  • Explorador de Arquivos em Iniciar: ocultar ou mostrar Explorador de Arquivos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderFileExplorer CSP

  • HomeGroup em Iniciar: ocultar ou mostrar o atalho HomeGroup no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderHomeGroup CSP

  • Música em Iniciar: ocultar ou mostrar a pasta Música no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderMusic CSP

  • Rede em Iniciar: ocultar ou mostrar Rede no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderNetwork CSP

  • Pasta pessoal em Iniciar: ocultar ou mostrar pasta pessoal no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderPersonalFolder CSP

  • Imagens em Iniciar: ocultar ou mostrar a pasta para imagens no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderPictures CSP

  • Configurações em Iniciar: ocultar ou mostrar o atalho Configurações no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderSettings CSP

  • Vídeos em Iniciar: ocultar ou mostrar a pasta para vídeos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: o atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: o atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderVideos CSP

Microsoft Defender SmartScreen

  • SmartScreen para Microsoft Edge: exigir ativações Microsoft Defender SmartScreen e impede que os usuários o desativem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar o SmartScreen e permitir que os usuários o ativem e desativem.

    Microsoft Edge usa Microsoft Defender SmartScreen (ativado) para proteger os usuários contra possíveis golpes de phishing e software mal-intencionado.

    Navegador/AllowSmartScreen CSP

  • Acesso mal-intencionado ao site: o Block impede que os usuários ignorem os avisos Microsoft Defender Filtro SmartScreen e os impede de ir ao site. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários ignorem os avisos e continuem no site.

    Navegador/PreventSmartScreenPromptOverride CSP

  • Download de arquivo não verificado: o Block impede que os usuários ignorem os avisos Microsoft Defender Filtro SmartScreen e os impede de baixar arquivos não verificados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários ignorem os avisos e continuem baixando os arquivos não verificados.

    Navegador/PreventSmartScreenPromptOverrideForFiles CSP

Windows Spotlight

Essas configurações usam a política de experiência CSP, que também lista as edições do Windows com suporte.

  • Destaque do Windows: Bloquear desativa os holofotes do Windows na tela de bloqueio, Dicas do Windows, Microsoft recursos do consumidor e outros recursos relacionados. Se seu objetivo for minimizar o tráfego de rede de dispositivos, selecione Sim. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir recursos de destaque do Windows e pode ser controlado pelos usuários.

    Experiência/AllowWindowsSpotlight CSP

    Quando definido como Não configurado, você também pode permitir ou bloquear as seguintes configurações:

    • Destaque do Windows na tela de bloqueio: bloquear impede que o Windows Spotlight mostre informações na tela de bloqueio do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar informações sobre os holofotes do Windows na tela de bloqueio.

      Experience/ConfigureWindowsSpotlightOnLockScreen CSP

    • Sugestões de terceiros no Windows Spotlight: Bloquear impede que o Windows Spotlight sugira conteúdo que não seja publicado pelo Microsoft. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir sugestões de aplicativo e conteúdo de parceiros e mostrar aplicativos sugeridos no menu Iniciar e dicas do Windows.

      Experiência/AllowThirdPartySuggestionsInWindowsSpotlight CSP

    • Recursos do consumidor: Bloquear desativa experiências que normalmente são para os consumidores, como sugestões de início, notificações de associação, instalação de aplicativo de experiência pós-saída e blocos de redirecionamento. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      Experiência/AllowWindowsConsumerFeatures CSP

    • Dicas do Windows: Bloquear desabilita dicas pop-up do Windows. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que as Dicas do Windows sejam exibidas.

      Experiência/AllowWindowsTips CSP

    • Destaque do Windows no centro de ações: o Block impede que as notificações de destaque do Windows sejam exibidas na Central de Ações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar notificações na Central de Ações que sugerem aplicativos ou recursos para ajudar os usuários a serem mais produtivos no Windows.

      Experience/AllowWindowsSpotlightOnActionCenter CSP

    • Personalização do Windows Spotlight: Bloquear impede o Windows de usar dados de diagnóstico para fornecer experiências personalizadas aos usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que Microsoft use dados de diagnóstico para fornecer recomendações, dicas e ofertas personalizadas para adaptar o Windows para as necessidades do usuário.

      Experience/AllowTailoredExperiencesWithDiagnosticData CSP

    • Experiência de boas-vindas do Windows: Bloquear desativa o recurso de experiência de boas-vindas do Windows spotlight do Windows. A experiência de boas-vindas do Windows não será exibida quando houver atualizações e alterações no Windows e em seus aplicativos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a experiência de boas-vindas do Windows que mostra aos usuários informações sobre recursos novos ou atualizados.

      Experiência/AllowWindowsSpotlightWindowsWelcomeExperience CSP

Microsoft Defender Antivírus

Essas configurações usam o CSP da política do defender, que também lista as edições do Windows com suporte.

  • Monitoramento em tempo real: habilitar ativa a verificação em tempo real de malware, spyware e outros softwares indesejados. Os usuários não podem desativá-lo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa esse recurso e permite que os usuários o alterem.

    Se você habilitar essa configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirRealtimeMonitoring CSP

  • Monitoramento de comportamento: habilitar ativa o monitoramento de comportamento e verifica determinados padrões conhecidos de atividade suspeita em dispositivos. Os usuários não podem desativar o monitoramento de comportamento. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar o Monitoramento de Comportamento e permitir que os usuários o alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirBehaviorMonitoring CSP

  • NIS (Sistema de Inspeção de Rede): o NIS ajuda a proteger dispositivos contra explorações baseadas em rede. Ele usa as assinaturas de vulnerabilidades conhecidas do Centro de Proteção do Ponto de Extremidade Microsoft para ajudar a detectar e bloquear o tráfego mal-intencionado.

    • Habilitar: ativa a proteção de rede e o bloqueio de rede. Os usuários não podem desativá-lo. Quando habilitados, os usuários são impedidos de se conectar a vulnerabilidades conhecidas.

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa o NIS e permite que os usuários o alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/EnableNetworkProtection CSP

  • Verificar todos os downloads: habilitar ativa essa configuração e o Defender verifica todos os arquivos baixados da Internet. Os usuários não podem desativar essa configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar essa configuração e permitir que os usuários a alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/AllowIOAVProtection CSP

  • Verificar scripts carregados em Microsoft navegadores da Web: habilitar permite que o Defender examine scripts usados no Internet Explorer. Os usuários não podem desativar essa configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar essa configuração e permitir que os usuários a alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirScriptScanning CSP

  • Acesso final do usuário ao Defender: Bloquear oculta o Microsoft Defender interface do usuário dos usuários. Todas as Microsoft Defender notificações também são suprimidas. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso do usuário à interface do usuário Microsoft Defender e permitir que os usuários o alterem.

    Se você bloquear a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Quando essa configuração é alterada, ela entra em vigor na próxima vez que o dispositivo for reiniciado.

    Defender/AllowUserUIAccess CSP

  • Intervalo de atualização de inteligência de segurança (em horas): insira o intervalo em que o Defender verifica a nova inteligência de segurança, de 0 a 24. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. O padrão do sistema operacional pode verificar se há atualizações a cada 8 horas.
    • Não verifique: o Defender não verifica se há novas atualizações de inteligência de segurança.
    • 1-24: 1 verifica a cada hora, 2 verifica a cada duas horas, 24 verifica todos os dias e assim por diante.

    Defender/SignatureUpdateInterval CSP

  • Monitorar a atividade do arquivo e do programa: permite que o Defender monitore a atividade de arquivos e programas em dispositivos. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. O padrão do sistema operacional pode monitorar todos os arquivos.
    • Monitoramento desabilitado
    • Monitorar todos os arquivos
    • Monitorar somente arquivos de entrada
    • Monitorar somente arquivos de saída

    Defender/RealTimeScanDirection CSP

  • Dias antes de excluir o malware em quarentena: continue rastreando malware resolvido pelo número de dias que você insere para que você possa verificar manualmente os dispositivos afetados anteriormente.

    Se você não configurar essa configuração ou defini-la como 0 dias, o malware permanecerá na pasta Quarentena e não será removido automaticamente. Quando definido como 90, os itens de quarentena são armazenados por 90 dias no sistema e removidos.

    Defender/DiasToRetainCleanedMalware CSP

  • Limite de uso da CPU durante uma verificação: limite a quantidade de CPU que as verificações podem usar, de 0 para 100 percentual. Por padrão, o sistema operacional pode defini-lo como 50%.

  • Verificar arquivos de arquivo: habilitar ativa o Defender para que ele examine arquivos de arquivo, como arquivos Zip ou Cab. Os usuários não podem desativar essa configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar essa verificação e permitir que os usuários a alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/AllowArchiveScanning CSP

  • Verificar mensagens de email de entrada: habilitar permite que o Defender examine mensagens de email à medida que elas chegam em dispositivos. Quando habilitado, o mecanismo analisa a caixa de correio e os arquivos de email para analisar o corpo do email e os anexos. Você pode examinar os formatos .pst (Outlook), .dbx, .mbx, MIME (Outlook Express) e BinHex (Mac).

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional desativa essa verificação e permite que os usuários a alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirEmailScanning CSP

  • Verificar unidades removíveis durante uma verificação completa: habilitar ativa as verificações de unidade removíveis do Defender durante uma verificação completa. Os usuários não podem desativar essa configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o Defender examine unidades removíveis, como pendrives, e permita que os usuários alterem essa configuração.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Durante uma verificação rápida, as unidades removíveis ainda podem ser examinadas.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirFullScanRemovableDriveScanning CSP

  • Verificar unidades de rede mapeadas durante uma verificação completa: Habilitar tem arquivos de verificação do Defender em unidades de rede mapeadas. Se os arquivos na unidade forem somente leitura, o Defender não poderá remover nenhum malware encontrado neles. Os usuários não podem desativar essa configuração.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa esse recurso e permite que os usuários o alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Durante uma verificação rápida, as unidades de rede mapeadas ainda podem ser examinadas.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/PermitirFullScanOnMappedNetworkDrives CSP

  • Verificar arquivos abertos de pastas de rede: habilitar tem arquivos de verificação do Defender abertos de pastas de rede ou unidades de rede compartilhadas, como arquivos acessados de um caminho UNC. Os usuários não podem desativar essa configuração. Se os arquivos na unidade forem somente leitura, o Defender não poderá remover nenhum malware encontrado neles.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional verifica arquivos abertos de pastas de rede e permite que os usuários alterem.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    Defender/AllowScanningNetworkFiles CSP

  • Proteção contra nuvem: habilitar ativa o Microsoft Serviço de Proteção Ativa para receber informações sobre a atividade de malware de dispositivos que você gerencia. Os usuários não podem alterar essa configuração.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional permite que o Microsoft Serviço de Proteção Ativa receba informações e permite que os usuários alterem essa configuração.

    Se você habilitar a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente.

    Intune não desativa esse recurso. Para desabilitar, use um URI personalizado.

    CSP defender/permitirCloudProtection

  • Solicitar usuários antes do envio de exemplo: controla se arquivos potencialmente mal-intencionados que podem exigir análises adicionais são enviados automaticamente para Microsoft. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. O padrão do sistema operacional pode enviar amostras seguras automaticamente.
    • Sempre solicitar
    • Solicitar antes de enviar dados pessoais
    • Nunca envie dados
    • Enviar todos os dados sem solicitar: os dados são enviados automaticamente.

    Defender/EnviarSamplesConsent CSP

  • Hora de realizar uma verificação rápida diária: escolha a hora para executar uma verificação rápida diária. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode executar essa verificação às 2 da manhã.

    Se você quiser mais personalização, configure o tipo de verificação do sistema para executar a configuração.

    Defender/AgendarQuickScanTime CSP

  • Tipo de verificação do sistema a ser executada: Agende uma verificação do sistema, incluindo o nível de verificação e o dia e hora para executar a verificação. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Nenhuma configuração é forçada. Os usuários podem executar manualmente as verificações conforme necessário ou desejado em seus dispositivos.
    • Desabilitar: desabilita qualquer verificação do sistema em dispositivos. Escolha essa opção se você estiver usando uma solução antivírus de parceiro que verifica dispositivos.
    • Verificação rápida: analisa locais comuns em que pode haver malware registrado, como chaves de registro e pastas de inicialização conhecidas do Windows.
      • Dia agendado: escolha o dia para executar a verificação.
      • Hora agendada: escolha a hora para executar a verificação.
    • Verificação completa: analisa locais comuns em que pode haver malware registrado e também verifica todos os arquivos e pastas no dispositivo.
      • Dia agendado: escolha o dia para executar a verificação.
      • Hora agendada: escolha a hora para executar a verificação.

    Dica

    Essa configuração pode entrar em conflito com o Tempo para executar uma configuração de verificação rápida diária . Algumas recomendações:

    • Se você quiser agendar uma verificação rápida diária e uma verificação completa semanal, então:

      1. Configure o Tempo para executar uma configuração de verificação rápida diária .
      2. Configure o tipo de verificação do sistema para executar para fazer uma verificação completa.
    • Se você quiser apenas uma verificação rápida diariamente (sem verificação completa), use qualquer configuração: Hora de executar uma verificação rápida diária ou tipo de verificação do sistema para executar. Por exemplo, para executar uma verificação rápida todas as terças-feiras às 6 da manhã, configure o tipo de verificação do sistema para executar a configuração.

    • Não configure o Tempo para executar uma configuração de verificação rápida diária simultaneamente com o tipo de verificação do sistema para executar definido como Verificação rápida. Essas configurações podem entrar em conflito e uma verificação pode não ser executada.

    Defender/ScanParameter CSP
    CSP do Defender/AgendascanDay
    Defender/ScheduleScanTime CSP

  • Detectar aplicativos potencialmente indesejados: esse recurso identifica e impede que aplicativos potencialmente indesejados (PUA) baixem e instalem em sua rede. Esses aplicativos não são considerados vírus, malware ou outros tipos de ameaças. Mas eles podem executar ações em pontos de extremidade que podem afetar seu desempenho ou uso. Escolha o nível de proteção quando o Windows detectar PUAs. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, Microsoft Defender pode desabilitar esse recurso.
    • Desativado ou desabilitado: Proteção PUA desativada.
    • Habilitar: Microsoft Defender detecta PUAs e os itens detectados são bloqueados. Esses itens são exibidos na história junto com outras ameaças.
    • Auditoria: Microsoft Defender detecta PUAs, mas não toma nenhuma ação. Você pode examinar informações sobre os aplicativos contra os quais Microsoft Defender agiria. Por exemplo, pesquise eventos criados por Microsoft Defender no Visualizador de Eventos.

    No Endpoint Security>Antivírus>Microsoft Defender Antivírus>Remediação, essa configuração é chamada de Ação para assumir aplicativos potencialmente indesejados.

    Para obter mais informações sobre aplicativos potencialmente indesejados, consulte Detectar e bloquear aplicativos potencialmente indesejados.

    Defender/PUAProtection CSP

  • Enviar consentimento de exemplos: atualmente, essa configuração não tem impacto. Não use essa configuração. Ele pode ser removido em uma versão futura.

  • Na Proteção de Acesso: Bloquear impede a verificação de arquivos que foram acessados ou baixados. Os usuários não podem ativá-lo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar esse recurso e permite que os usuários o alterem.

    Se você bloquear a configuração e alterá-la de volta para Não configurada, Intune deixará a configuração em seu estado configurado anteriormente pelo sistema operacional.

    Intune não ativa esse recurso. Para habilitá-lo, use um URI personalizado.

    Defender/PermitirOnAccessProtection CSP

  • Ações sobre ameaças de malware detectadas: selecione Habilitar para escolher as ações que você deseja que o Defender execute para cada nível de ameaça detectado: baixo, moderado, alto e grave. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que Microsoft Defender escolha a melhor opção.

    Quando definido como Habilitar, selecione a ação:

    • Clean
    • Quarentena
    • Remove
    • Permitir
    • Usuário definido
    • Bloquear

    Se sua ação não for possível, Microsoft Defender escolherá a melhor opção para garantir que a ameaça seja corrigida.

    Defender/ThreatSeverityDefaultAction CSP

exclusões antivírus Microsoft Defender

Você pode excluir determinados arquivos de Microsoft Defender verificações antivírus modificando listas de exclusão. Geralmente, você não deve precisar aplicar exclusões. Microsoft Defender Antivírus inclui uma série de exclusões automáticas com base em comportamentos conhecidos do sistema operacional e arquivos de gerenciamento típicos, como aqueles usados no gerenciamento empresarial, gerenciamento de banco de dados e outros cenários e situações empresariais.

Aviso

Definir exclusões reduz a proteção oferecida pelo Microsoft Defender Antivírus. Sempre avalie os riscos associados à implementação de exclusões. Somente excluir arquivos que você conhece não são mal-intencionados.

  • Arquivos e pastas a serem excluídos de verificações e proteção em tempo real: adiciona um ou mais arquivos e pastas como C:\Path ou %ProgramFiles%\Path\filename.exe à lista de exclusões. Esses arquivos e pastas não estão incluídos em nenhuma verificação em tempo real ou agendada.
  • Extensões de arquivo a serem excluídas de verificações e proteção em tempo real: adicione uma ou mais extensões de arquivo como jpg ou txt à lista de exclusões. Todos os arquivos com essas extensões não estão incluídos em nenhuma verificação em tempo real ou agendada.
  • Processos a serem excluídos de verificações e proteção em tempo real: adicione um ou mais processos do tipo .exe, .com ou .scr à lista de exclusões. Esses processos não estão incluídos em nenhuma verificação em tempo real ou agendada.

Configurações da energia

Essas configurações usam o CSP da política de energia, que também lista as edições do Windows com suporte.

Bateria

  • Nível da bateria para ativar o Energy Saver: quando o dispositivo estiver usando a bateria, insira o nível de carga da bateria para ativar o Energy Saver, de 0 a 100. Insira um valor percentual que indica o nível de carga da bateria. Por exemplo, quando definido como 80, o Energy Saver é ativado quando a bateria tem 80% de carga ou menos disponível.

    Se você não inserir um valor, Intune não alterará nem atualizará essa configuração. Por padrão, o sistema operacional pode defini-lo como 70%.

    Power/EnergySaverBatteryThresholdOnBattery CSP

  • Fechamento de tampa (somente móvel): quando o dispositivo estiver usando a bateria, escolha o que acontece quando a tampa estiver fechada. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua a usar a energia da bateria.
    • Sono: o dispositivo entra no modo de sono e usa uma pequena quantidade de carga de bateria. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).
    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.
    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

    Power/SelectLidCloseActionOnBattery CSP

  • Botão de energia: quando o dispositivo estiver usando a energia da bateria, escolha o que acontece quando o botão Power for selecionado. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua a usar a energia da bateria.
    • Sono: o dispositivo entra no modo de sono e usa uma pequena quantidade de carga de bateria. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).
    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.
    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

    Power/SelectPowerButtonActionOnBattery CSP

  • Botão dormir: quando o dispositivo estiver usando a bateria, escolha o que acontece quando o botão Dormir estiver selecionado. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua a usar a energia da bateria.
    • Sono: o dispositivo entra no modo de sono e usa uma pequena quantidade de carga de bateria. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).
    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.
    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

    Power/SelectSleepButtonActionOnBattery CSP

  • Sono híbrido: quando o dispositivo estiver usando a bateria, escolha permitir ou desabilitar o modo de sono híbrido.

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários controlem essa configuração.
    • Habilitar: os dispositivos podem entrar no modo de sono híbrido. Aplicativos e arquivos abertos são armazenados na memória de acesso aleatório (RAM) e no disco rígido. Ele usa uma pequena quantidade de carga de bateria.
    • Desabilitar: impede que os dispositivos entrem no modo de sono híbrido.

    Power/TurnOffHybridSleepOnBattery CSP

PluggedIn

  • Nível da bateria para ativar o Energy Saver: quando o dispositivo estiver conectado, insira o nível de carga da bateria para ativar o Energy Saver de 0 a 100. Insira um valor percentual que indica o nível de carga da bateria. Por exemplo, quando definido como 80, o Energy Saver é ativado quando a bateria tem 80% de carga ou menos disponível.

    Se você não inserir um valor, Intune não alterará nem atualizará essa configuração. Por padrão, o sistema operacional pode defini-lo como 70%.

    Power/EnergySaverBatteryThresholdPluggedIn CSP

  • Fechamento de tampa (somente móvel): quando o dispositivo estiver conectado, escolha o que acontece quando a tampa estiver fechada. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.

    • Nenhuma ação: o dispositivo permanece ligado.

    • Sono: o dispositivo entra no modo de sono. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).

    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.

    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

      Power/SelectLidCloseActionPluggedIn CSP

  • Botão ligar: quando o dispositivo estiver conectado, escolha o que acontece quando o botão Power for selecionado. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado.
    • Sono: o dispositivo entra no modo de sono. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).
    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.
    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

    Power/SelectPowerButtonActionPluggedIn CSP

  • Botão Dormir: quando o dispositivo estiver conectado, escolha o que acontece quando o botão Dormir estiver selecionado. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado.
    • Sono: o dispositivo entra no modo de sono. O computador ainda está ativado e aplicativos e arquivos abertos são armazenados em memória de acesso aleatória (RAM).
    • Hibernar: o dispositivo entra no modo de hibernação. Aplicativos e arquivos abertos são armazenados no disco rígido e o dispositivo é desativado.
    • Desligamento: o dispositivo é desligado. Aplicativos e arquivos abertos são fechados sem salvar.

    Power/SelectSleepButtonActionPluggedIn CSP

  • Sono híbrido: quando o dispositivo estiver conectado, escolha permitir ou desabilitar o modo de sono híbrido.

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários controlem essa configuração.
    • Habilitar: os dispositivos podem entrar no modo de sono híbrido. Aplicativos e arquivos abertos são armazenados na memória de acesso aleatório (RAM) e no disco rígido.
    • Desabilitar: impede que os dispositivos entrem no modo de sono híbrido.

    Power/TurnOffHybridSleepPluggedIn CSP

Próximas etapas

Para obter detalhes técnicos adicionais sobre cada configuração e quais edições do Windows têm suporte, consulte Referência de CSP de política Windows 10/11

Atribuir o perfil e monitorar o status dele.