Instruções – Criar uma política de catálogo de definições de Intune e comparar com o ADMX no local

Observação

Estas instruções foram criadas como um workshop técnico e atualizadas para se aplicarem ao catálogo de definições de Intune. Tem mais pré-requisitos do que as instruções típicas, pois compara a utilização e configuração de políticas de catálogo de definições no Intune e no local Política de Grupo Modelos Administrativos (ADMX).

A política de grupo e os modelos ADMX incluem definições que pode configurar em dispositivos Windows. Estas definições são utilizadas e geridas por fornecedores de Gerenciamento de Dispositivos Móvel (MDM), como Microsoft Intune, para configurar funcionalidades e definições em dispositivos Windows. Por exemplo, pode ativar as Ideias de Estrutura no PowerPoint, definir uma home page no Microsoft Edge e muito mais.

Estas definições estão incorporadas no catálogo de definições de Microsoft Intune. Num perfil de catálogo de definições, configure as definições que pretende incluir e, em seguida, atribua este perfil aos seus dispositivos.

Nestas instruções, irá:

• Introdução ao centro de administração do Microsoft Intune.
• Crie grupos de utilizadores e crie grupos de dispositivos.
• Compare as definições no Intune com as definições do ADMX no local.
• Crie políticas de catálogo de definições diferentes e configure as definições que visam os diferentes grupos.

No final deste laboratório, pode utilizar Intune para gerir os seus utilizadores e implementar políticas de catálogo de definições.

Esse recurso aplica-se a:

• Windows
• Microsoft Edge versão 77 e posteriores

Dica

• Para obter uma descrição geral do catálogo de definições do Intune, aceda a Utilizar o catálogo de definições para configurar as definições.
• Para obter mais informações sobre as políticas ADMX, aceda a Compreender as políticas apoiadas pelo ADMX.

Pré-requisitos

• Uma subscrição Microsoft 365 E3 ou E5, que inclui Intune e Microsoft Entra ID P1 ou P2. Se não tiver uma subscrição E3 ou E5, experimente-a gratuitamente.

  Para obter mais informações sobre o que obtém com as diferentes licenças do Microsoft 365, aceda a Transformar a sua Empresa com o Microsoft 365.

• Microsoft Intune está configurado como a Autoridade de MDM Intune. Para obter mais informações, aceda a Definir a autoridade de gestão de dispositivos móveis.

  

• Num controlador de domínio Active Directory local (DC):

  1. Copie os seguintes modelos do Office e do Microsoft Edge para a Loja Central (pasta sysvol):

     • Modelos administrativos do Office
     • Ficheiro de política do Microsoft Edge

  2. Crie uma política de grupo para enviar estes modelos para um computador administrador do Windows Enterprise no mesmo domínio que o DC. Nestas instruções:

     • A política de grupo que criámos com estes modelos chama-se OfficeandEdge. Verá este nome nas imagens.
     • O computador administrador do Windows Enterprise que utilizamos tem o nome Administração computador.

     Na maioria das organizações, um administrador de domínio tem duas contas:

     • Uma conta profissional de domínio típica
     • Uma conta de administrador de domínio diferente utilizada apenas para tarefas de administrador de domínio, como a política de grupo

     O objetivo deste computador Administração é que os administradores iniciem sessão com a respetiva conta de administrador de domínio e acedam a ferramentas concebidas para gerir a política de grupo.

• Neste computador Administração:

  • Inicie sessão com uma conta de Administrador de Domínio.

  • Adicione o RSAT: Política de Grupo Management Tools:

    1. Abra a aplicação >DefiniçõesSistema>Adicionar uma funcionalidade> opcionalVer funcionalidades.

    2. Selecione RSAT: Política de Grupo Ferramentas> de GestãoAdicionar.

       Aguarde enquanto o Windows adiciona a funcionalidade. Quando terminar, será eventualmente apresentado na aplicação Ferramentas Administrativas do Windows .

       

  • Certifique-se de que tem direitos de administrador e acesso à Internet para a subscrição do Microsoft 365, que inclui o centro de administração do Intune.

Abrir o centro de administração do Intune

1. Abra um browser baseado em Chromium, como o Microsoft Edge.

2. Aceda ao centro de administração do Microsoft Intune. Inicie sessão com a seguinte conta:

   Utilizador: introduza a conta de administrador da sua subscrição de inquilino do Microsoft 365. Palavra-passe: introduza a palavra-passe.

O centro de administração do Intune está focado na gestão de dispositivos e inclui serviços Azure, como Microsoft Entra ID. Poderá não ver a imagem corporativa Microsoft Entra ID e Azure, mas está a utilizá-las.

Também pode abrir o centro de administração do Intune a partir do Centro de administração do Microsoft 365:

1. Saiba mais em https://admin.microsoft.com.

2. Inicie sessão com a conta de administrador da sua subscrição de inquilino do Microsoft 365.

3. Selecione Mostrar todos>Administração centros>Microsoft Intune. É aberto o centro de administração do Intune.

   

Criar grupos e adicionar utilizadores

As políticas no local são aplicadas pela ordem LSDOU – local, site, domínio e unidade organizacional (UO). Nesta hierarquia, as políticas de UO substituem as políticas locais, as políticas de domínio substituem as políticas de site, etc.

No Intune, as políticas são aplicadas aos usuários e grupos que você criar. Não há uma hierarquia. Por exemplo:

• Se duas políticas atualizarem a mesma configuração, a configuração aparecerá como um conflito.
• Se duas políticas de conformidade estiverem em conflito, aplica-se a política mais restritiva.
• Se dois perfis de configuração estiverem em conflito, a definição não é aplicada.

Para obter mais informações, aceda a Perguntas comuns, problemas e resoluções com políticas e perfis de dispositivos.

Nestes passos seguintes, vai criar grupos de segurança e adicionar utilizadores a estes grupos. Pode adicionar um utilizador a vários grupos. Por exemplo, é normal um utilizador ter vários dispositivos, como um Surface Pro de trabalho e um dispositivo móvel Android para pessoal. Além disso, é normal que uma pessoa aceda a recursos organizacionais a partir destes múltiplos dispositivos.

1. No Intune centro de administração, selecione Grupos>Novo grupo.

2. Insira as seguintes configurações:

   • Tipo de grupo: Selecione Segurança.
   • Nome do grupo: introduza Todos os dispositivos de estudantes do Windows.
   • Tipo de associação: selecione Atribuído.

3. Selecione Membros e adicione alguns dispositivos.

   Adicionar dispositivos é opcional. O objetivo é praticar a criação de grupos e saber como adicionar dispositivos. Se estiver a utilizar estas instruções num ambiente de produção, tenha em atenção o que está a fazer.

4. Selecionar>Crie para guardar as alterações.

   Não vê o seu grupo? Selecione Atualizar.

5. Selecione Novo grupo e introduza as seguintes definições:

   • Tipo de grupo: Selecione Segurança.

   • Nome do grupo: introduza Todos os dispositivos Windows.

   • Tipo de associação: selecione Dispositivo Dinâmico.

   • Membros do dispositivo dinâmico: selecione Adicionar consulta dinâmica e configure a consulta:

     • Propriedade: selecione deviceOSType.
     • Operador: selecione Igual a.
     • Valor: introduza Windows.

     1. Selecione Adicionar expressão. A expressão é apresentada na sintaxe Regra:

        

        Quando os utilizadores ou dispositivos cumprem os critérios introduzidos, estes são automaticamente adicionados aos grupos dinâmicos. Neste exemplo, os dispositivos são automaticamente adicionados a este grupo quando o sistema operativo é o Windows. Se estiver a utilizar estas instruções num ambiente de produção, tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

     2. Guardar>Crie para guardar as alterações.

6. Crie o grupo Todos os Professores com as seguintes definições:

   • Tipo de grupo: Selecione Segurança.

   • Nome do grupo: introduza Todos os Professores.

   • Tipo de associação: selecione Utilizador Dinâmico.

   • Membros de utilizador dinâmicos: selecione Adicionar consulta dinâmica e configure a consulta:

     • Propriedade: selecione departamento.

     • Operador: selecione Igual a.

     • Valor: introduza Professores.

       1. Selecione Adicionar expressão. A expressão é apresentada na sintaxe Regra.

          Quando os utilizadores ou dispositivos cumprem os critérios introduzidos, estes são automaticamente adicionados aos grupos dinâmicos. Neste exemplo, os utilizadores são adicionados automaticamente a este grupo quando o respetivo departamento é Professores. Pode introduzir o departamento e outras propriedades quando os utilizadores são adicionados à sua organização. Se estiver a utilizar estas instruções num ambiente de produção, tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

       2. Guardar>Crie para guardar as alterações.

Pontos de conversa

• Os grupos dinâmicos são uma funcionalidade em algumas licenças Microsoft Entra ID. Se não tiver a licença de Microsoft Entra ID correta, só tem licença para criar grupos atribuídos. Para obter mais informações sobre grupos dinâmicos, acesse:

  • Compreender e gerir o processamento de grupos dinâmicos no Microsoft Entra ID
  • Gerir regras para grupos de membros dinâmicos no Microsoft Entra ID

• A licença do Microsoft Entra ID pode incluir outros serviços que são normalmente utilizados na gestão de aplicações e dispositivos, incluindo a autenticação multifator (MFA) e o Acesso Condicional.

• Muitos administradores perguntam quando utilizar grupos de utilizadores e quando utilizar grupos de dispositivos. Para obter orientações, aceda a Grupos de utilizadores vs. grupos de dispositivos.

• Lembre-se de que um utilizador pode pertencer a vários grupos. Considere alguns dos outros grupos de utilizadores e dispositivos dinâmicos que pode criar, como:

  • Todos os Estudantes
  • Todos os dispositivos Android
  • Todos os dispositivos iOS/iPadOS
  • Marketing
  • Recursos Humanos
  • Todos os funcionários da Alice
  • Todos os funcionários da Redmond
  • Administradores de TI da costa oeste
  • Administradores de TI da costa leste

Os utilizadores e grupos criados também são vistos no Centro de administração do Microsoft 365 e centro de administração do Microsoft Entra. Pode criar e gerir grupos em todas estas áreas para a sua subscrição de inquilino. Se o seu objetivo for a gestão de dispositivos, utilize o centro de administração do Microsoft Intune.

Rever a associação ao grupo

1. No Intune centro de administração, selecione Utilizadores>Todos os utilizadores> selecione o nome de qualquer utilizador existente.
2. Reveja algumas das informações que pode adicionar ou alterar. Por exemplo, observe as Propriedades que pode configurar, como Cargo, Departamento, Cidade, localização do Office e muito mais. Pode utilizar estas propriedades nas suas consultas dinâmicas quando cria grupos dinâmicos.
3. Selecione Grupos para ver a associação deste utilizador. Também pode remover o utilizador de um grupo.
4. Selecione algumas das outras opções para ver mais informações e o que pode fazer. Por exemplo, observe a licença atribuída, os dispositivos do utilizador e muito mais.

O que acabei de fazer?

No centro de administração do Intune, criou novos grupos de segurança e adicionou utilizadores e dispositivos existentes a estes grupos. Utilizamos estes grupos em passos posteriores neste tutorial.

Criar uma política de catálogo de definições no Intune

Nesta secção, criamos uma política de catálogo de definições no Intune, analisamos algumas definições na Gestão de Política de Grupo no local e comparamos a mesma definição no Intune. O objetivo é mostrar uma definição na política de grupo e mostrar a mesma definição no Intune.

1. No centro de administração do Intune, selecione Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política.

2. Insira as seguintes propriedades:

   • Plataforma: selecione Windows 10 e posteriores.
   • Tipo de perfil: selecione Catálogo de definições.

3. Selecionar Criar.

4. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, introduza dispositivos de estudantes do Windows.
   • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

5. Selecione Avançar.

6. Em Definições de configuração, selecione Adicionar configurações. Verá uma lista de todas as definições.

   

   Também pode filtrar definições que se aplicam a dispositivos e definições que se aplicam aos utilizadores e Procurar definições:

   

7. Na pesquisa, introduza download. Todas as definições de política com "download" no respetivo nome são filtradas e apresentadas na lista:

   

8. Aceda à categoria >Microsoft Edge, selecione Definições do SmartScreen. Repare que as definições de política SmartScreen com "download" no respetivo nome são filtradas e apresentadas:

   

Comparar uma política na Gestão de Política de Grupo e Intune

Nesta secção, mostramos uma política no Intune e a respetiva política correspondente no Editor de Gestão de Política de Grupo.

1. No computador Administração, abra a aplicação gestão de Política de Grupo.

   Esta aplicação é instalada com RSAT: Política de Grupo Management Tools, que é uma funcionalidade opcional que adiciona no Windows. Os pré-requisitos (neste artigo) listam os passos para instalá-lo.

2. Expanda Domínios> selecione o seu domínio. Por exemplo, selecione contoso.net.

3. Clique com o botão direito do rato na política >OfficeandEdgeEditar. É aberta a aplicação Editor de Gestão de Política de Grupo.

   

   O OfficeandEdge é uma política de grupo que inclui os modelos office e Microsoft Edge ADMX. Esta política está descrita nos pré-requisitos (neste artigo).

4. ExpandaPolíticasde configuração>do computador Modelos> Administrativos >Painel de Controle>Personalização. Repare nas definições disponíveis.

   

   Faça duplo clique em Impedir a ativação da câmara do ecrã de bloqueio e veja as opções disponíveis:

   

5. No centro de administração do Intune, aceda à política de catálogo de definições de dispositivos de estudantes do Windows.

6. Selecione Definições >de configuraçãoEditar>Adicionar definições. Procure Personalização e selecione a Administrative templates\Painel de Controle\Personalization categoria. Repare nas definições disponíveis:

   

   Este caminho e as definições disponíveis são semelhantes ao que vê no Editor de Gestão de Política de Grupo. Se selecionar a definição Impedir a ativação da câmara do ecrã de bloqueio, verá opções semelhantes disponíveis no Editor de Gestão Política de Grupo.

   

Comparar uma política de utilizador na Gestão de Política de Grupo e Intune

1. Na sua política de catálogo de definições de dispositivos windows, selecione Definições> de configuraçãoEditar>Adicionar definições. Pesquise por inprivate browsing. Repare nas opções de definições. A (User) definição aplica-se às configurações do utilizador. A outra definição aplica-se às configurações do dispositivo.

   

2. No Editor de Gestão Política de Grupo, localize as definições de utilizador e dispositivo correspondentes:

   • Dispositivo: expandaPolíticas> de configuração> do computadorModelos Administrativos>Componentes> do WindowsExplorer>Privação Desativar>Navegação InPrivate.
   • Utilizador: ExpandaPolíticas> de configuração> do utilizadorModelos Administrativos>Componentes> do WindowsExplorer>Privação Desativar>Navegação InPrivate.

   

Dica

Para ver as políticas incorporadas do Windows, também pode utilizar GPEdit (Editar aplicação de política de grupo).

O que acabei de fazer?

Criou uma política de catálogo de definições no Intune. Nesta política, analisámos algumas definições e analisámos as mesmas definições do ADMX na Gestão de Política de Grupo no local.

Criar uma política de catálogo de definições do OneDrive

Nesta secção, vai criar uma política de catálogo de definições do OneDrive no Intune para controlar algumas definições. Estas definições específicas são escolhidas porque são frequentemente utilizadas por organizações.

1. Crie outra política de Intune (Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política).

2. Insira as seguintes propriedades:

   • Plataforma: selecione Windows 10 e posteriores.
   • Tipo de perfil: selecione Catálogo de definições.

3. Selecionar Criar.

4. Em Noções básicas, insira as seguintes propriedades:

   • Nome: introduza políticas do OneDrive para todos os utilizadores do Windows.
   • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

5. Selecione Avançar.

6. Em Definições de configuração, selecione Adicionar configurações. Na lista de categorias, procure ou aceda a OneDrive. Selecione as seguintes definições e, em seguida, feche o seletor de definições:

   • Impedir que os utilizadores sincronizem contas pessoais do OneDrive (Utilizador)
   • Conectar os usuários silenciosamente ao aplicativo de sincronização do OneDrive com as credenciais do Windows
   • Usar Arquivos do OneDrive Sob Demanda

7. Configure estas definições:

   Configuração	Valor
   Impedir que os utilizadores sincronizem contas pessoais do OneDrive (Utilizador)	Habilitado
   Conectar os usuários silenciosamente ao aplicativo de sincronização do OneDrive com as respectivas credenciais do Windows	Habilitado
   Usar Arquivos do OneDrive Sob Demanda	Habilitado

Suas configurações serão semelhantes às seguintes:

Para obter mais informações sobre as definições de cliente do OneDrive, aceda a Utilizar Política de Grupo para controlar Sincronização do OneDrive definições do cliente.

Atribuir a sua política

1. Na sua política, selecione Seguinte até chegar às Tarefas. Selecione Adicionar grupos:

2. É apresentada uma lista de utilizadores e grupos existentes. Selecione o grupo Todos os dispositivos Windows que criou anteriormente >Selecionar.

   Se estiver a utilizar estas instruções num ambiente de produção, considere adicionar grupos vazios. O objetivo é praticar a atribuição da política.

3. Selecione Avançar. Em Rever + criar, selecione Criar para guardar as alterações.

Nesta secção, criou algumas políticas de catálogo de definições e atribuiu-as a grupos que criou.

Melhores práticas de políticas

Quando cria políticas e perfis no Intune, existem algumas recomendações e melhores práticas a considerar. Para obter mais informações, aceda às melhores práticas de política e perfil.

Limpe os recursos

Quando já não for necessário, pode:

• Elimine os grupos que criou:

  • Todos os dispositivos de estudantes do Windows
  • Todos os dispositivos Windows
  • Todos os Professores

• Elimine as políticas de catálogo de definições que criou:

  • Dispositivos de estudantes do Windows
  • Políticas do OneDrive que se aplicam a todos os utilizadores do Windows

Resumo

Neste tutorial, ficou mais familiarizado com o centro de administração do Microsoft Intune, utilizou o construtor de consultas para criar grupos dinâmicos e criou políticas de catálogo de definições no Intune para configurar definições diferentes. Também comparou a utilização de modelos ADMX no local e na cloud com Intune.