Share via

Windows 10/11 no guia de configuração de nuvem passo a passo

  • Artigo

Windows 10/11 na configuração de nuvem (configuração de nuvem) é uma configuração de dispositivo para dispositivos cliente Windows. Ele foi projetado para simplificar a experiência do usuário final. Para obter mais informações sobre qual configuração de nuvem é, incluindo os requisitos mínimos, acesse a visão geral do cenário guiado de configuração de nuvem do Windows.

Com a configuração de nuvem, você usa Microsoft Intune políticas para transformar um dispositivo cliente Windows em um dispositivo com otimização de nuvem. Windows 10/11 na configuração da nuvem:

  • Otimiza dispositivos para a nuvem configurando-os para se registrar no gerenciamento do Intune com Microsoft Entra. Os dados do usuário são armazenados no OneDrive automaticamente com o Movimento de Pasta Conhecida configurado.

  • Instala o Microsoft Teams e o Microsoft Edge em dispositivos.

  • Configura os usuários finais para serem usuários padrão em dispositivos, dando à TI mais controle sobre os aplicativos instalados em dispositivos.

  • Remove aplicativos internos e o aplicativo da Microsoft Store, simplificando a experiência do usuário final.

  • Aplica configurações de segurança do ponto de extremidade e uma política de conformidade. Essas políticas ajudam a manter os dispositivos seguros e ajudar a TI a monitorar a integridade do dispositivo.

  • Garante que os dispositivos sejam atualizados automaticamente por meio do Windows Update for Business.

  • Opcionalmente, você também pode:

    • Adicione outros aplicativos do Microsoft 365, como Outlook, Word, Excel, PowerPoint.
    • Adicione aplicativos LOB (linha de negócios) essenciais que os usuários finais precisam ter êxito. A Microsoft recomenda manter esses aplicativos no mínimo para manter a configuração simples.
    • Adicione recursos essenciais, como perfis Wi-Fi, conexões VPN, certificados e drivers de impressora necessários para fluxos de trabalho do usuário.

Dica

Para obter uma visão geral sobre Windows 10/11 na configuração de nuvem e seus usos, acesse Windows 10/11 na configuração de nuvem.

Há duas maneiras de implantar a configuração de nuvem:

  • Opção 1 – Automático: use o cenário guiado para criar automaticamente todos os grupos e políticas com seus valores configurados. Para obter mais informações sobre essa opção, acesse a visão geral do cenário guiado de configuração de nuvem do Windows.
  • Opção 2 – Manual (este artigo): Use as etapas neste artigo para implantar a configuração de nuvem por conta própria.

Este guia ajuda você a criar sua própria implantação de configuração de nuvem. As seções a seguir descrevem como usar Microsoft Intune para configurar a configuração da configuração da nuvem:

  1. Criar um grupo de Microsoft Entra
  2. Configurar o registro de dispositivo
  3. Implantar um script para configurar o Movimento de Pasta Conhecida e remover aplicativos internos
  4. Implantar aplicativos
  5. Implantar configurações de segurança do ponto de extremidade
  6. Configurar configurações de Windows Update
  7. Implantar uma política de conformidade do Windows
  8. Configurações opcionais

Etapa 1 – Criar um grupo de Microsoft Entra

A primeira etapa é criar um grupo de segurança Microsoft Entra que receba as configurações implantadas.

Esse grupo dedicado ajuda você a organizar dispositivos e gerenciar seus recursos de configuração de nuvem no Intune. A Microsoft recomenda que você implante apenas as configurações neste guia. Em seguida, conforme necessário, adicione aplicativos mais essenciais e outras configurações de dispositivo.

Use as seguintes etapas para criar o grupo:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Grupos>Todos os grupos>Novo grupo.

  3. Para Tipo de grupo, selecione Segurança.

  4. Insira um nome de grupo, como Cloud config PCs.

  5. Para tipo de associação, selecione Atribuído.

  6. Se desejar, você pode adicionar dispositivos ao novo grupo agora. Selecione Nenhum membro selecionado e adicione membros ao seu grupo.

    Você também pode começar com um grupo vazio e adicionar dispositivos posteriormente.

  7. Selecione Criar.

Dica

Quando o grupo é criado, você pode adicionar dispositivos Windows Autopilot pré-registrados a esse grupo.

Dispositivos existentes

Se você tiver dispositivos existentes registrados no Intune que deseja usar com configuração de nuvem, é recomendável começar de novo com esses dispositivos. Especificamente:

  • Remova aplicativos e perfis existentes implantados nesses dispositivos.
  • Redefinir esses dispositivos.
  • Registre novamente o dispositivo no Intune e implante sua configuração de nuvem.

Essas etapas extras são recomendadas para dispositivos existentes porque fornecem uma experiência simplificada do usuário. Em seguida, você pode adicionar outros aplicativos essenciais e garantir que os dispositivos tenham apenas o que os usuários precisam.

Etapa 2 – Configurar o registro do dispositivo

Nesta etapa, você habilita o registro automático do MDM no Intune e configura como os dispositivos se registram no Intune.

Se você já usar o Windows Autopilot, ignore esta etapa e vá para a Etapa 3 – Implantar um script para configurar o Movimento de Pasta Conhecida e remover aplicativos internos (neste artigo).

✔️ 1 – Habilitar o registro automático

Habilite o registro automático para os usuários da organização que você deseja usar a configuração de nuvem. O registro automático é necessário para configuração de nuvem. Para obter mais informações sobre o registro automático, acesse Guia de registro – Registro automático do Windows.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Windows Registro automático de registro>doWindows>.

  3. No escopo do usuário do MDM, selecione um dos seguintes:

    • Selecione Todos para aplicar a configuração de nuvem a todos os dispositivos Windows que os usuários da sua organização usam. Na maioria dos cenários de configuração de nuvem, Tudo está selecionado.
    • Selecione Alguns para aplicar a configuração de nuvem a dispositivos usados por um subconjunto de usuários em sua organização. Se você quiser aplicar sua configuração de nuvem em uma abordagem encenada, alguns podem ser uma boa opção.

  4. Não configure o escopo do usuário do MAM, os termos MAM da URL do usuário, a URL de descoberta de MDM e as configurações de URL de conformidade do MAM. Deixe essas configurações em branco. As configurações de MAM não estão configuradas para configuração de nuvem.

  5. Selecione Salvar para salvar suas alterações.

✔️ 2 – Escolha como os dispositivos registram e configuram os usuários para serem usuários padrão em dispositivos

Depois que o registro automático do Windows estiver habilitado no Intune, a próxima etapa é determinar como os dispositivos se registram no Intune. Quando eles se registram, eles estão disponíveis para receber suas políticas de configuração de nuvem. Você também precisa configurar usuários para serem usuários padrão em seus dispositivos. Os usuários padrão só podem instalar aplicativos aprovados pela sua organização.

Para registro, você tem três opções. Selecione uma opção de registro.

  • Usar o Windows Autopilot (recomendado)
  • Registrar em massa usando um pacote de provisionamento
  • Use o Microsoft Entra ID na experiência fora de caixa (OOBE)

Esta seção fornece mais informações sobre essas opções de registro e configura os usuários como usuários padrão em seus dispositivos.

É recomendável usar o registro do Windows Autopilot e a ESP (Página de Status de Registro). Esse método de registro e o ESP fornecem uma experiência consistente do usuário final.

  • Você pré-insira os dispositivos com o serviço de implantação do Windows Autopilot. Com o Windows Autopilot, os administradores configuram como os dispositivos iniciam e se registram no gerenciamento de dispositivos.
  • A política do Windows Autopilot do Intune configura a experiência fora de caixa (OOBE). No OOBE, você seleciona usuários para serem usuários padrão.
  • A política do Intune Windows Autopilot configura a ESP (Página de Status de Registro). O ESP mostra o progresso da configuração. Os usuários permanecem no ESP até que todas as configurações de configuração de nuvem sejam aplicadas ao dispositivo.

Para configurar o registro controlado pelo usuário do Windows Autopilot, use as seguintes etapas:

  1. Adicione dispositivos ao Windows Autopilot.

    Registre seus dispositivos no Windows Autopilot usando as etapas na Etapa 3 – Registrar dispositivos no Windows Autopilot (abre um artigo do Windows Autopilot).

    Observação

    O artigo Etapa 3 – Registrar dispositivos no Windows Autopilot Windows Autopilot faz parte de uma série de etapas. Para essa configuração de nuvem, siga apenas a Etapa 3 – Registrar dispositivos no Windows Autopilot para registrar seus dispositivos. Não siga as outras etapas da série. As outras etapas dessa série do Windows Autopilot são para um cenário diferente do Windows Autopilot.

    Você também pode registrar dispositivos manualmente para usar o Windows Autopilot. O registro manual de dispositivos geralmente é usado para reutilizar o hardware existente que não foi configurado anteriormente com o Windows Autopilot.

  2. Crie e atribua um perfil de implantação do Windows Autopilot no Intune.

    1. Entre no Centro de administração do Microsoft Intune.

    2. Selecione Dispositivos>windows>registro> Windows Autopilot DeploymentPerfis de implantaçãodo programa>.

    3. Selecione Criar perfil>Computador Windows. Insira um nome para o perfil.

    4. Para a configuração Converter todos os dispositivos direcionados no Autopilot , selecione Sim. Selecione Avançar.

      Você pode aplicar configuração de nuvem a dispositivos registrados usando métodos de registro diferentes do Windows Autopilot. Quando você adiciona esses dispositivos (dispositivos não Windows Autopilot) ao seu grupo, os dispositivos são convertidos no Windows Autopilot. Na próxima vez que os dispositivos forem redefinidos e passarem pela experiência fora de caixa do Windows (OOBE), eles se registrarão por meio do Windows Autopilot.

    5. Na guia OOBE (experiência fora de caixa), insira os seguintes valores e selecione Avançar:

      Configuração Valor
      Modo de implantação Controlado pelo usuário
      Ingressar no Microsoft Entra ID como Microsoft Entra ingressado
      Termos de Licença de Software Microsoft Ocultar
      Configurações de privacidade Ocultar
      Ocultar opções de alteração de conta Ocultar
      Tipo de conta de usuário Padrão
      Permitir implantação pré-provisionada Não
      Idioma (Região) Padrão do sistema operacional
      Configurar automaticamente o teclado Sim
      Aplicar modelo de nome de dispositivo Opcional. Você pode aplicar um modelo de nome de dispositivo. Use um prefixo de nome que possa ajudá-lo a identificar seus dispositivos de configuração de nuvem, como Cloud-%SERIAL%.'

    6. Atribua o perfil ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo) e selecione Avançar.

    7. Examine o novo perfil e selecione Criar.

  3. Crie e atribua uma Página de Status de Registro no Intune.

    1. Entre no Centro de administração do Microsoft Intune.

    2. Selecione Dispositivos>Windows>Registro>Geral>Página de Status de Registro.

    3. Selecione Criar e insira um nome para a Página de Status de Registro.

    4. Na guia Configurações, insira os seguintes valores e selecione Avançar:

      Configuração Valor
      Mostrar processo de configuração de aplicativo e perfil Sim
      Mostra um erro de tempo limite quando a instalação demora mais do que os minutos especificados 60
      Mostrar mensagem personalizada quando ocorrer o erro de limite de tempo Sim – você também pode alterar a mensagem padrão.
      Permitir que os usuários coletem logs sobre erros de instalação Sim
      Bloquear o usuário do dispositivo até que todos os aplicativos e perfis sejam instalados Sim
      Permitir que os usuários redefinam o dispositivo se ocorrer um erro de instalação Sim
      Permitir que os usuários usem o dispositivo se ocorrer um erro de instalação Não
      Bloquear o usuário do dispositivo até que esses aplicativos necessários sejam instalados se eles forem atribuídos ao usuário/dispositivo Todos

      Observação

      Se ocorrer um erro de instalação, é recomendável impedir que os usuários usem o dispositivo. Bloquear usuários garante que eles só podem começar a usar o dispositivo depois que a configuração de nuvem for totalmente aplicada.

      Se ocorrer um erro de instalação, com base nas suas necessidades de implantação, você poderá permitir que o usuário use o dispositivo. Se você permitir o uso do dispositivo, quando o dispositivo fizer check-in com o Intune, o Intune continuará tentando aplicar as configurações.

    5. Em Atribuições, atribua a Página de Status de Registro ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

      Selecione Avançar.

    6. Selecione Criar para criar e atribuir a Página de Status de Registro.

Opção de registro 2: registro em massa usando um pacote de provisionamento

Você pode registrar dispositivos usando um pacote de provisionamento criado usando o Designer de Configuração do Windows ou o aplicativo Configurar computadores escolares.

Para obter mais informações sobre o registro em massa, acesse Registro em massa para dispositivos Windows.

Com registro em massa:

  • Depois que os dispositivos se registrarem no Intune, você os adicionará ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo). Quando eles são adicionados ao grupo, eles recebem sua configuração de nuvem.
  • Todos os usuários são usuários padrão automaticamente no dispositivo.
  • Não há uma Página de Status de Registro. Os usuários não podem exibir o progresso, pois todas as configurações de nuvem estão se aplicando. Os usuários podem começar a usar o dispositivo antes que a configuração de nuvem seja totalmente aplicada.
  • Antes de distribuir dispositivos aos usuários, a Microsoft recomenda que você verifique se as configurações e os aplicativos estão nos dispositivos.

Opção de registro 3: Registrar usando Microsoft Entra ID na experiência fora de caixa (OOBE)

Com o registro automático do MDM habilitado no Intune, durante o OOBE, os usuários entrarão com suas contas Microsoft Entra. Quando eles entrarem, o registro é iniciado automaticamente.

Com essa opção de registro, você:

  1. Configure um Microsoft Intune perfil personalizado para restringir os administradores locais em dispositivos. O CSP de política inclui uma definição de política de exemplo XML que você pode usar em seu perfil personalizado.

    Dica

    Neste perfil personalizado, há outra configuração que adiciona um grupo que pode ser administradores locais no dispositivo. Esse grupo de administradores local deve incluir apenas administradores de TI em seu ambiente.

  2. Atribua o perfil personalizado ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Etapa 3 – Configurar o Movimento de Pasta Conhecida do OneDrive e implantar um script para remover aplicativos internos

Quando você configura o Movimento de Pasta Conhecida do OneDrive, os arquivos e os dados do usuário são salvos automaticamente no OneDrive. Quando você remove aplicativos internos do Windows e a Microsoft Store, o menu Iniciar e a experiência do dispositivo são simplificados.

Esta etapa ajuda a simplificar a experiência do usuário do Windows.

✔️ 1 – Configurar a movimentação de pasta conhecida do OneDrive com um modelo administrativo

Com o Movimento de Pasta Conhecida, os dados dos usuários (arquivos e pastas) são salvos no OneDrive. Quando os usuários entrarem em outro dispositivo, o OneDrive sincroniza automaticamente os dados com o novo dispositivo. Os usuários não precisam mover manualmente seus arquivos.

Observação

Devido a um problema de sincronização com o OneDrive Known Folder Move e a configuração SharedPC, a Microsoft não recomenda usar o Windows na configuração de nuvem com um dispositivo que tem vários usuários entrando e saindo.

Para configurar o Movimento de Pasta Conhecida, use um modelo do ADMX no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Perfis >de configuraçãodoWindows>de dispositivos>Criar>nova política.

  3. Selecione Windows 10 e posterior para plataforma e selecione Modelos para tipo de perfil.

  4. Selecione Modelos Administrativos e selecione Criar.

  5. Insira um nome para o perfil e selecione Avançar.

  6. Nas configurações, pesquise as configurações na tabela a seguir e selecione seus valores recomendados:

    Nome da configuração Valor
    Mover silenciosamente pastas conhecidas do Windows para a ID do Locatário Habilitado para OneDrive Insira a ID do locatário da sua organização.

    A ID do locatário é mostrada naID do locatário da página> Propriedades centro de administração do Microsoft Entra>.
    Mostrar notificação aos usuários depois que as pastas tiverem sido redirecionadas Sim. Você também pode optar por ocultar a notificação.
    Conectar os usuários silenciosamente ao aplicativo de sincronização do OneDrive com as respectivas credenciais do Windows Habilitado
    Impedir que os usuários movam as pastas conhecidas do Windows para o OneDrive Habilitado
    Impedir os usuários de redirecionar pastas conhecidas do Windows para os respectivos computadores Habilitado
    Usar Arquivos do OneDrive Sob Demanda Habilitado

  7. Atribua o perfil ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

✔️ 2 – Implantar um script para remover aplicativos internos

A Microsoft criou um script Windows PowerShell que:

  • Remove aplicativos internos de dispositivos.
  • Remove o aplicativo microsoft store de dispositivos.

O script é implantado em dispositivos que usam no Intune. Para adicionar e implantar o script, use as seguintes etapas:

  1. Baixe o script de remoção do aplicativo Do PowerShell da Configuração da Nuvem. Este script remove o aplicativo da Microsoft Store e os aplicativos internos.

    Observação

    Se você quiser manter o aplicativo microsoft store em dispositivos, então você pode usar o script que remove aplicativos internos, mas mantém a Microsoft Store em vez disso. Para usar esse script, baixe-o e siga as mesmas etapas. Este script tenta remover aplicativos internos, mas pode não remover todos eles. Talvez seja necessário modificar o script para remover todos os aplicativos internos em seus dispositivos.

  2. Entre no Centro de administração do Microsoft Intune.

  3. Selecione Dispositivos Scripts> doWindows>e correções Scripts>>de plataformaAdicionar.

  4. No Básico, insira um nome para sua política de script e selecione Avançar.

  5. Nas configurações de script, carregue o script que você baixou. Deixe as outras configurações inalteradas e selecione Avançar.

  6. Atribua o script ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Aplicativo da Microsoft Store

Se você tiver removido anteriormente o aplicativo da Microsoft Store, poderá reimplantá-lo usando Microsoft Intune. Para adicionar novamente o aplicativo Microsoft Store (ou qualquer outro aplicativo que você deseja adicionar novamente), adicione o aplicativo Microsoft Store ao repositório de aplicativos de organização privada. Em seguida, implante o aplicativo em dispositivos usando o Intune. O aplicativo da Microsoft Store ajuda a manter os aplicativos atualizados.

O repositório de aplicativos de organização privada pode ser:

Usando o Intune, em dispositivos Enterprise e Education Windows 10/11, você pode impedir que os usuários finais instalem aplicativos da Microsoft Store fora do repositório de aplicativos privados da sua organização.

Para evitar esses aplicativos externos, use as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Perfis >de configuraçãodoWindows>de dispositivos>Criar>nova política.

  3. Selecione Windows 10 e posterior para a plataforma e selecione Catálogo de configurações para o tipo de perfil. Selecione Criar.

  4. No Basics, insira um nome para seu perfil.

  5. Em Definições de configuração, selecione Adicionar configurações. Depois:

    1. No seletor de configurações, pesquise por private store. Nos resultados da pesquisa na categoria Microsoft App Store, selecione Exigir Somente Armazenamento Privado.
    2. Defina a configuração Exigir Somente Loja Privada como Somente o repositório privado está habilitado.
    3. Selecione Avançar.

  6. Em Atribuições, atribua o perfil ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

  7. Em Examinar + criar revisão de seu perfil e selecione Criar.

Etapa 4 – Implantar aplicativos

Esta etapa implanta o Microsoft Edge e o Microsoft Teams. Você pode implantar outros aplicativos essenciais nesta etapa. Lembre-se de implantar apenas o que os usuários precisam.

✔️ 1 – Implantar o Microsoft Edge

  1. Adicione o Microsoft Edge ao Intune.
  2. Para configurações de aplicativo, selecione o Canal Estável.
  3. Atribua o aplicativo Microsoft Edge ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

✔️ 2- Implantar o Microsoft Teams

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Aplicativos>Windows.

  3. Selecione Adicionar para criar um novo aplicativo.

  4. Para Microsoft 365 Apps, selecione Windows 10 e, posteriormente>, Selecione.

  5. Para Nome do Suite, insira um nome ou use o nome sugerido. Selecione Avançar.

  6. Para Configurar o pacote de aplicativos, selecione apenas o Teams.

    Se você quiser implantar outros aplicativos do Microsoft 365, selecione-os nesta lista. Lembre-se de implantar apenas o que os usuários precisam.

    Dica

    Você não precisa escolher o OneDrive. O OneDrive é integrado ao Windows 10/11 Pro, Enterprise e Education.

  7. Para obter informações do pacote de aplicativos, configure as seguintes configurações:

    Configuração Valor
    Arquitetura 64 bits

    A configuração de nuvem também funciona com 32 bits. A Microsoft recomenda escolher 64 bits.
    Canal de Atualização Canal atual
    Remover outras versões Sim
    Versão para instalar Mais recente

  8. Para Propriedades, configure as seguintes configurações:

    Configuração Valor
    Usar ativação de computador compartilhado Sim
    Aceitar os Termos de Licença de Software da Microsoft em nome dos usuários Sim

  9. Selecione Avançar.

  10. Atribua o pacote ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Etapa 5 – Implantar configurações de segurança do ponto de extremidade

Esta etapa configura as configurações de segurança do ponto de extremidade para ajudar a manter os dispositivos seguros, incluindo as configurações internas de linha de base de segurança do Windows e BitLocker.

✔️ 1 – Implantar a linha de base de segurança de MDM Windows 10/11

Para o Windows na configuração de nuvem, é recomendável usar a linha de base de segurança Windows 10/11. Há alguns valores de configuração que você pode alterar com base na preferência da sua organização.

Configurar a linha de base de segurança no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneLinhas de base de segurança desegurança> de ponto deextremidade Linha de> base de segurança para Windows 10 e posterior.

  3. Selecione Criar perfil para criar uma nova linha de base de segurança.

  4. Insira um nome para sua linha de base de segurança e selecione Avançar.

  5. Aceite as configurações padrão. Ou você pode alterar as seguintes configurações com base nas necessidades da sua organização:

    Categoria de configuração Setting Motivo para alteração
    Navegador Bloquear Gerenciador de Senhas Se você quiser permitir que os usuários finais usem gerenciadores de senhas, desabilite essa configuração.
    Assistência Remota Assistência Remota solicitada Essa configuração permite que sua equipe de suporte se conecte remotamente a dispositivos. A Microsoft recomenda desabilitar essa configuração, a menos que seja necessário.
    Firewall Todas as configurações de Firewall Se você precisar permitir determinadas conexões com dispositivos com base nas necessidades da sua organização, altere as configurações padrão do Firewall.

    Selecione Avançar.

  6. Em Atribuições, selecione o grupo que você criou na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

  7. Selecione Criar para criar e atribuir a linha de base.

✔️ 2 – Implantar mais configurações do BitLocker com um perfil de segurança do ponto de extremidade de criptografia de unidade

Há mais configurações do BitLocker que ajudam a manter seus dispositivos seguros. Configure estas configurações do BitLocker no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

  3. Em Plataforma, selecione Windows 10 e posteriores.

  4. Para Perfil, selecione Criar BitLocker>.

  5. No Basics, insira um nome para seu perfil.

  6. Nas configurações, selecione as seguintes configurações:

    Categoria de configuração Configuração Valor
    BitLocker – Configurações básicas Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas Sim
         
    BitLocker – Configurações de unidade fixa Política da unidade fixa do BitLocker Configurar
      Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker Sim
      Configurar o método de criptografia para unidades de dados fixas AES 128bit XTS
         
    BitLocker – Configurações da unidade do sistema operacional Política da unidade de sistema do BitLocker Configurar
      Autenticação de inicialização necessária Sim
      Inicialização TPM compatível Permitido
      PIN de inicialização TPM compatível Permitido
      Chave de inicialização TPM compatível Obrigatório
      Chave de inicialização TPM compatível e PIN Permitido
      Desabilitar o BitLocker em dispositivos em que o TPM é incompatível Sim
      Configurar o método de criptografia para unidades do Sistema Operacional AES 128bit XTS
         
    BitLocker – Configurações de unidade removível Política da unidade removível do BitLocker Configurar
      Configurar o método de criptografia para unidades de dados removíveis AES 128bit CBC
      Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker Sim

  7. Em Atribuições, atribua o perfil ao grupo que você criou na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

  8. Selecione Criar para criar e atribuir o perfil.

Etapa 6 – Configurar configurações de Windows Update

Esta etapa usa um anel de Windows Update para manter os dispositivos atualizados automaticamente. As configurações neste guia se alinham com as configurações recomendadas na Linha de Base de Atualização do Windows.

Configurar o anel Atualizar no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Windows 10 e atualizações posteriores>Atualizar anéis>Criar perfil.

  3. No Basics, insira um nome para o anel de atualização.

  4. Em Atualizar configurações de anel, configure os seguintes valores e selecione Avançar:

    Configuração Valor
    Canal de manutenção Canal semestral
    Atualizações de produto da Microsoft Permitir
    Drivers do Windows Permitir
    Período de adiamento de atualização de qualidade (dias) 0
    Período de adiamento de atualização de recursos (dias) 0
    Definir o período de desinstalação da atualização de recursos 10
    Comportamento de atualização automática Redefinir para o padrão
    Reiniciar verificações Permitir
    Opção para pausar as atualizações do Windows Habilitar
    Opção para marcar para atualizações do Windows Habilitar
    Exigir aprovação do usuário para descartar a notificação de reinicialização Não
    Lembrar o usuário antes da reinicialização automática necessária com lembrete dispensável (horas) Deixe essa configuração não configurada
    Lembrar o usuário antes da reinicialização automática necessária com lembrete permanente (minutos) Deixe essa configuração não configurada
    Alterar o nível de atualização da notificação Usar as notificações de Windows Update padrão
    Usar configurações de prazo Permitir
    Prazo para atualizações de recursos 7
    Prazo para atualizações de qualidade 2
    Período de carência 2
    Reinicialização automática antes do prazo final Sim

  5. Atribua o anel Atualizar ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Etapa 7 – Implantar uma política de conformidade do Windows

Configure uma política de conformidade para ajudar a monitorar a conformidade e a integridade do dispositivo. A política relata o descumprimento e ainda permite que os usuários usem dispositivos. Você pode escolher como lidar com o descumprimento de outras ações com base nos processos da sua organização.

Criar a política de conformidade no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecionePolítica de Criação deConformidade> de Dispositivos>.

  3. Para Plataforma, selecione Windows 10 e criar posteriormente>.

  4. No Básico, insira um nome para a política de conformidade. Selecione Avançar.

  5. Em Configurações de conformidade, configure os seguintes valores e selecione Avançar:

    Categoria de configuração Configuração Valor
    Integridade do dispositivo Requer BitLocker Exigir
      Exigir que a Inicialização Segura seja habilitada no dispositivo Exigir
      Exigir integridade de código Exigir
         
    Segurança do Sistema Firewall Exigir
      Antivírus Exigir
      Antispyware Exigir
      Exigir uma senha para desbloquear os dispositivos móveis Exigir
      Senhas simples Bloquear
      Tipo de senha Alfanumérica
      Tamanho mínimo da senha 8
      Máximo de minutos de inatividade antes que a senha seja exigida 1 minuto
      Vencimento da senha (dias) 41
      Número de senhas anteriores para evitar a reutilização 5
         
    Defender Microsoft Defender Antimalware Exigir
      Inteligência de segurança do Microsoft Defender Antimalware atualizada Exigir
      Proteção em tempo real Exigir

  6. Em Ações por descumprimento, para a ação Marcando dispositivo não compatível , configure Agendar (dias após o descumprimento) para 1 o dia. Você pode configurar um período de carência diferente com base nas preferências da organização.

    Se você usar políticas de Acesso Condicional em sua organização, é recomendável configurar um período de carência. Os períodos de carência impedem que dispositivos não compatíveis percam imediatamente o acesso aos recursos da organização.

  7. Você pode adicionar uma ação aos usuários de email informando-os de não conformidade com as etapas para obter conformidade.

  8. Atribua a política de conformidade ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Etapa 8 – Configurações opcionais

Há políticas opcionais que você pode criar e implantar com sua configuração de nuvem. Esta seção descreve essas políticas opcionais.

✔️ Configurar um nome de domínio de locatário

Configure dispositivos para usar automaticamente o nome de domínio do locatário para entradas de usuário. Quando você adiciona um nome de domínio, os usuários não precisam digitar o UPN completo para entrar.

Adicione o nome de domínio do locatário no Intune:

  1. Entre no Centro de administração do Microsoft Intune.
  2. Selecione Perfis >de configuraçãodoWindows>de dispositivos>Criar>nova política.
  3. Para plataforma, selecione Windows 10 e posterior.
  4. Para tipo de perfil, selecione Modelos>Restrições> de dispositivoCriar.
  5. Insira um nome para o perfil e selecione Avançar.
  6. Nas configurações, para Senha, configure o domínio de locatário preferencial Microsoft Entra. Insira o Microsoft Entra nome de domínio que os usuários devem usar para entrar em dispositivos.
  7. Atribua o perfil ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

✔️ Implantar outros aplicativos LOB (produtividade e linha de negócios) essenciais

Você pode ter alguns aplicativos LOB essenciais que todos os dispositivos precisam. Escolha um número mínimo desses aplicativos para implantar. Se você entregar aplicativos usando uma solução de virtualização, implante também o aplicativo cliente de virtualização em dispositivos.

Não há restrições no número ou tamanho de outros aplicativos que possam ser implantados com os aplicativos adicionados à configuração da nuvem. Mas, a Microsoft recomenda manter esses outros aplicativos no mínimo com base no que os usuários precisam para suas funções. Atribua esses aplicativos essenciais ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Talvez você precise de aplicativos LOB específicos em alguns de seus dispositivos. Ou pode haver alguns aplicativos que têm requisitos complexos de empacotamento ou procedimento. Para esses cenários, considere mover esses aplicativos para fora da implantação de configuração de nuvem. Ou mantenha os dispositivos que precisam desses aplicativos em seu modelo de gerenciamento do Windows existente.

A configuração de nuvem é recomendada para dispositivos que precisam de apenas alguns aplicativos-chave, juntamente com colaboração e navegação.

✔️ Implantar recursos que os usuários precisam para acesso à organização

Configurar recursos essenciais que os usuários podem precisar, o que depende dos processos da sua organização. Os recursos essenciais podem incluir certificados, impressoras, conexões VPN e perfis de Wi-Fi.

No Intune, atribua esses recursos ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

✔️ Configurar as configurações recomendadas para o Movimento de Pasta Conhecida do OneDrive

Há mais configurações que melhoram a experiência do usuário para o OneDrive Known Folder Move. As configurações não são necessárias para a movimentação de pasta conhecida para funcionar, mas são úteis.

Para obter mais informações sobre essas configurações, acesse as configurações do OneDrive recomendadas para Movimentação de Pasta Conhecida.

✔️ Configurar configurações recomendadas do Microsoft Edge

Há algumas configurações de aplicativo do Microsoft Edge que podem ser configuradas para uma melhor experiência do usuário. Você pode configurar essas configurações com base em requisitos ou preferência para a experiência do usuário final.

Para configurar essas configurações recomendadas, use o Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione para dispositivos perfis>>de configuração doWindows>Criar>nova política.

  3. Selecione Windows 10 e posterior para plataforma e Modelos para tipo de perfil.

  4. Selecione Modelos Administrativos e selecione Criar.

  5. Insira um nome para o perfil e selecione Avançar.

  6. Nas configurações, pesquise as seguintes configurações e configure-as para os valores recomendados:

    Categoria de configuração Setting Valores(s)
      Configurar a integração de Explorer da Internet Modo de Explorer de Internet habilitado
       
    Configurações do SmartScreen Configurar Microsoft Defender SmartScreen Habilitado
      Forçar Microsoft Defender verificações do SmartScreen em downloads de fontes confiáveis Habilitado
      Configurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados Habilitado

    Observação

    As configurações do SmartScreen também são impostas por Microsoft Defender. Quando você configura as configurações do SmartScreen por meio do aplicativo Microsoft Edge, o Microsoft Edge impõe diretamente as configurações.

  7. Atribua o perfil ao grupo criado na Etapa 1 – Criar um grupo de Microsoft Entra (neste artigo).

Monitorar o status de configuração de nuvem

Ao aplicar a configuração de nuvem aos seus dispositivos, você pode usar o Intune para monitorar o status de aplicativos e configurações de dispositivo.

Script status

Você pode monitorar o status de instalação de seus scripts implantados:

  1. No centro de administração Microsoft Intune, acesse Scripts> doWindows>e scriptsde plataforma de correções > dedispositivos.
  2. Selecione o script implantado.
  3. Na página de detalhes do script, selecione Dispositivo status. Os detalhes da instalação do script são mostrados.

Instalações de aplicativo

Você pode monitorar o status de instalação de seus aplicativos implantados:

  1. No centro de administração Microsoft Intune, acesse Aplicativos>windows aplicativos Windows>.
  2. Selecione um aplicativo implantado, como o Microsoft 365 App Suite.
  3. Selecione Instalação de dispositivo status ou status de instalação do usuário. Os detalhes da instalação do aplicativo são mostrados.

Para obter informações sobre como solucionar problemas de aplicativo em dispositivos individuais, acesse Solucionar problemas de instalação de aplicativo do Intune.

Linha de base de segurança

Você pode monitorar o status de instalação da linha de base de segurança implantada. Para obter mais informações, acesse Monitorar linhas de base de segurança e perfis no Intune.

Perfil de criptografia de disco

Na Etapa 5 – Implantar configurações de segurança do ponto de extremidade (neste artigo), você pode ter configurado e implantado as configurações do BitLocker.

Você pode monitorar o status deste perfil do BitLocker:

  1. No centro de administração Microsoft Intune, vá para acriptografia de disco de segurança do ponto de extremidade>.
  2. Selecione o perfil de criptografia de disco implantado na configuração de nuvem.
  3. Selecione Instalação de dispositivo status ou status de instalação do usuário. Os detalhes do perfil são mostrados.

Configurações do Windows Update

Você pode monitorar a status da política de anel Windows Update:

  1. No centro de administração Microsoft Intune, acesse Dispositivos>Windows 10 e atualizações posteriores>Atualizar anéis.
  2. Selecione o anel de atualização implantado como parte da configuração de nuvem.
  3. Selecione Status de dispositivo, status de usuário ou status de atualização do usuário final. Os detalhes das configurações do anel de atualização são mostrados.

Para obter mais informações sobre relatórios de anéis de Windows Update, acesse Anéis de Relatórios para Atualização para Windows 10 e política posterior.

Política de conformidade

Você pode monitorar o status da política de conformidade:

  1. No centro de administração Microsoft Intune, acesseConformidade de dispositivos>.
  2. Selecione a política de conformidade implantada como parte da configuração de nuvem.

O modo de exibição de monitoramento de conformidade do dispositivo tem informações detalhadas sobre as falhas de atribuição status e atribuição de suas políticas de conformidade. Ele também tem exibições para localizar rapidamente dispositivos não compatíveis e agir.

Para obter informações mais detalhadas sobre políticas de conformidade de monitoramento no Intune, acesse Monitorar os resultados de suas políticas de conformidade do Dispositivo do Intune.

Conteúdo relacionado