Etapa 3 – Planejar políticas de conformidade
Anteriormente, você configurou sua assinatura do Intune e criou políticas de proteção de aplicativo. Em seguida, planeje e configure as configurações e políticas de conformidade do dispositivo para ajudar a proteger os dados organizacionais, exigindo que os dispositivos atendam aos requisitos definidos.
Se você ainda não estiver familiarizado com as políticas de conformidade, consulte Visão geral de conformidade.
Este artigo se aplica ao:
- Android Enterprise (perfis de trabalho totalmente gerenciados e de propriedade pessoal)
- Projeto do Android Open-Source (AOSP)
- iOS/iPadOS
- Linux
- macOS
- Windows
Você implanta políticas de conformidade em grupos de dispositivos ou usuários. Quando implantado para usuários, qualquer dispositivo em que o usuário entrar deve atender aos requisitos de políticas. Alguns exemplos comuns de requisitos de conformidade incluem:
- Exigindo uma versão mínima do sistema operacional.
- Uso de uma senha ou PIN que atenda a determinados requisitos de complexidade e comprimento.
- Um dispositivo que está no nível ou abaixo de uma ameaça , conforme determinado pelo software de defesa contra ameaças móveis que você usa. O software de defesa contra ameaças móveis inclui Microsoft Defender para Ponto de Extremidade ou um dos outros parceiros com suporte do Intune.
Quando os dispositivos não atendem aos requisitos de uma política de conformidade, essa política pode aplicar uma ou mais ações por descumprimento. Algumas ações incluem:
- Bloquear remotamente o dispositivo não compatível.
- Envie email ou notificações para o dispositivo ou usuário sobre o problema de conformidade, para que um usuário do dispositivo possa trazê-lo de volta à conformidade.
- Identifique um dispositivo que possa estar pronto para a aposentadoria caso ele permaneça fora de conformidade por um longo tempo. Quando você está planejando e implantando suas políticas de conformidade, isso pode ajudar a abordar políticas de conformidade por meio de nossas recomendações em diferentes níveis. Recomendamos começar com as configurações mínimas de conformidade, que são comuns à maioria ou a todas as plataformas, e depois expandir adicionando configurações e integrações mais avançadas que fornecem mais recursos.
Como diferentes plataformas de dispositivo dão suporte a diferentes recursos de conformidade ou usam nomes diferentes para configurações semelhantes, listar cada opção está além desse plano de implantação. Em vez disso, fornecemos categorias e exemplos de configurações nessas categorias para cada um dos seguintes níveis:
- Nível 1 – Conformidade mínima do dispositivo. Essa categoria inclui configurações que recomendamos que todos os locatários tenham em vigor.
- Nível 2 – Configurações avançadas de conformidade do dispositivo. Elas incluem configurações comuns de dispositivo, como criptografia ou proteções de arquivo no nível do sistema.
- Nível 3 – Configurações avançadas de conformidade do dispositivo. Recomendações de alto nível incluem configurações que exigem uma integração mais profunda com outros produtos, como Microsoft Entra Acesso Condicional.
Geralmente, nossas recomendações colocam configurações consideradas configurações-chave comuns entre plataformas no nível mínimo de conformidade, fornecendo um forte retorno para seu investimento. As configurações listadas para em níveis mais altos podem envolver mais complexidade, como configurações que exigem integração de produtos de terceiros. Verifique todas as recomendações de intervalo e esteja pronto para ajustar seu próprio plano de implantação para atender às necessidades e expectativas da sua organização.
Os artigos a seguir podem ajudá-lo a entender as configurações que as políticas do Intune dão suporte nativo:
- Administrador de dispositivo Android
- Android Enterprise
- Projeto do Android Open-Source (AOSP)
- iOS
- macOS
- Windows 10/11
Nível 1 – Conformidade mínima do dispositivo
✔️ Configurar configurações de política de conformidade em todo o locatário
✔️ Configurar respostas para dispositivos de não conformidade (Ações por descumprimento)
✔️ Entender como as políticas de conformidade do dispositivo e de configuração de dispositivo interagem
✔️ Usar um conjunto principal de configurações mínimas de conformidade entre plataformas com suporte
As configurações mínimas de conformidade do dispositivo incluem os seguintes assuntos que todos os locatários que planejam usar políticas de conformidade devem entender e estar preparados para usar:
- Configurações de política de conformidade – configurações em todo o locatário que afetam como o serviço de conformidade do Intune funciona com seus dispositivos.
- Ações para não conformidade – essas configurações são comuns a todas as políticas de conformidade do dispositivo.
- Recomendações mínimas de política de conformidade de dispositivo – essa categoria inclui as configurações de conformidade de dispositivo específicas da plataforma que acreditamos que cada locatário deve implementar para ajudar a manter os recursos de suas organizações seguros.
Além disso, recomendamos que você esteja familiarizado com como as políticas de conformidade do dispositivo e as políticas de configuração do dispositivo estão relacionadas e interagem.
Configurações da política de conformidade
Todas as organizações devem examinar e definir as configurações de política de conformidade em todo o locatário. Essas configurações são fundamentais para dar suporte a políticas específicas da plataforma. Eles também podem marcar dispositivos que não avaliaram uma política de conformidade como não compatíveis, o que pode ajudá-lo a proteger sua organização contra dispositivos novos ou desconhecidos que podem não atender às suas expectativas de segurança.
- As configurações de política de conformidade são algumas configurações que você faz no nível do locatário que se aplicam a todos os dispositivos. Eles estabelecem como o serviço de conformidade do Intune funciona para seu locatário.
- Essas configurações são configuradas diretamente no centro de administração Microsoft Intune e são distintas das políticas de conformidade do dispositivo que você cria para plataformas específicas e implanta em grupos discretos de dispositivos ou usuários.
Para saber mais sobre as Configurações de Política de Conformidade no nível do locatário e como configurá-las, consulte Configurações de política de conformidade.
Ações para não conformidade
Cada política de conformidade do dispositivo inclui ações por descumprimento, que são uma ou mais ações ordenadas por tempo que são aplicadas a dispositivos que não atendem aos requisitos de conformidade da política. Por padrão, marcar um dispositivo como não compatível é uma ação imediata incluída em cada política.
Para cada ação que você adiciona, você define quanto tempo aguardar depois que um dispositivo é marcado como incompatíveis antes que essa ação seja executada.
As ações disponíveis que você pode configurar incluem o seguinte, mas nem todas estão disponíveis para cada plataforma de dispositivo:
- Marcar dispositivo sem conformidade (ação padrão para todas as políticas)
- Enviar notificação por push para o usuário final
- Enviar email para o usuário final
- Bloquear remotamente o dispositivo não compatível
- Desativar o dispositivo não compatível
Os administradores de políticas devem entender as opções disponíveis para cada ação e concluir configurações de suporte antes de implantar uma política que as exija. Por exemplo, antes de adicionar a ação enviar email , primeiro você deve criar um ou mais modelos de email com as mensagens que talvez queira enviar. Esse email pode incluir recursos para ajudar o usuário a colocar seu dispositivo em conformidade. Posteriormente, ao definir uma ação de email para uma política, você pode selecionar um de seus modelos a ser usado com uma ação específica.
Como cada ação não padrão pode ser adicionada a uma política várias vezes, cada uma com uma configuração separada, você pode personalizar como as ações se aplicam.
Por exemplo, você pode configurar várias ações relacionadas a ocorrer em uma sequência. Primeiro, imediatamente após não ser compatível, você pode fazer com que o Intune envie um email para o usuário do dispositivo e talvez um administrador também. Em seguida, alguns dias depois, uma segunda ação poderia enviar um lembrete de email diferente, com detalhes sobre um prazo para corrigir o dispositivo. Você também pode configurar uma ação final para adicionar um dispositivo a uma lista de dispositivos que talvez queira retirar, com a ação definida para ser executada somente depois que um dispositivo continuar a não ser compatível por um período excessivo.
Embora a política de conformidade possa marcar um dispositivo como não compatível, você também precisa de um plano de como corrigir dispositivos não compatíveis. Esse plano pode incluir administradores usando dispositivos não compatíveis status para solicitar que atualizações ou configurações sejam feitas em um dispositivo. Para fornecer diretrizes gerais aos usuários do dispositivo, você pode configurar a ação enviar email para o usuário final para não conformidade para incluir dicas ou contatos úteis para resolver um problema de conformidade do dispositivo.
Para saber mais, confira Ações por descumprimento.
Entender como as políticas de conformidade do dispositivo e de configuração de dispositivo interagem
Antes de mergulhar em recomendações de política de conformidade por níveis, é importante entender a relação às vezes próxima entre políticas de conformidade e políticas de configuração de dispositivo. Com a conscientização dessas interações, você pode planejar melhor e implantar políticas bem-sucedidas para ambas as áreas de recursos.
- As políticas de configuração do dispositivo configuram dispositivos para usar configurações específicas. Essas configurações podem variar em todos os aspectos do dispositivo.
- As políticas de conformidade do dispositivo se concentram em um subconjunto de configurações de dispositivo relacionadas à segurança.
Os dispositivos que recebem políticas de conformidade são avaliados em relação às configurações da política de conformidade com os resultados retornados ao Intune para possíveis ações. Algumas configurações de conformidade, como requisitos de senha, resultam em aplicação no dispositivo, mesmo quando as configurações do dispositivo são mais brandas.
Quando um dispositivo recebe configurações conflitantes para uma configuração de tipos de política diferentes ou semelhantes, podem ocorrer conflitos. Para ajudar a se preparar para esse cenário, consulte Políticas de conformidade e configuração de dispositivo que entram em conflito
Considere sincronizar todas as configurações planejadas entre as equipes de configuração do dispositivo e a conformidade do dispositivo para ajudar a identificar sobreposições de configuração. Verifique se os dois tipos de política concordam com a mesma configuração para dispositivos de destino, pois isso pode ajudar a evitar conflitos de política ou deixar um dispositivo sem a configuração ou o acesso a recursos esperados.
Configurações de conformidade mínimas
Depois de estabelecer configurações de política de conformidade em todo o locatário e estabelecer comunicações ou regras para ações para dispositivos não compatíveis, é provável que você esteja pronto para criar e implantar políticas de conformidade do dispositivo para grupos discretos de dispositivos ou usuários.
Examine as políticas específicas da plataforma no centro de administração Microsoft Intune para identificar quais configurações de conformidade estão disponíveis para cada plataforma e mais detalhes sobre seu uso. Para configurar políticas, consulte Criar uma política de conformidade.
Recomendamos usar as seguintes configurações em suas políticas mínimas de conformidade do dispositivo:
| Categorias e exemplos mínimos de conformidade do dispositivo | Informações |
|---|---|
| Antivírus, Antispyware e AntimalwareWindows: avalie dispositivos para soluções que se registram no Centro de Segurança do Windows para estar ativado e monitorando: - Antivírus - Antispyware - Microsoft Defender Antimalware Outras plataformas: As políticas de conformidade para plataformas diferentes do Windows não incluem avaliação para essas soluções. | Soluções ativas para soluções Antivírus, Antispyware e Antimalware são importantes.A política de conformidade do Windows pode avaliar o estado dessas soluções quando elas estão ativas e registradas no Segurança do Windows Center em um dispositivo. As plataformas não Windows ainda devem executar soluções para antivírus, antispyware e antimalware, embora as políticas de conformidade do Intune não tenham opções para avaliar sua presença ativa. |
| Versões do Sistema OperacionalTodos os dispositivos: avaliar configurações e valores para versões do sistema operacional, incluindo: - Sistema operacional máximo - sistema operacional mínimo - versões de build menores e principais - níveis de patch do sistema operacional | Use as configurações disponíveis que definem uma versão mínima permitida do sistema operacional ou níveis de build e patch importantes para garantir que os sistemas operacionais do dispositivo sejam atuais e seguros. As configurações máximas do sistema operacional podem ajudar a identificar resultados novos, mas não testados, e builds beta ou do sistema operacional do desenvolvedor que podem introduzir riscos desconhecidos. O Linux dá suporte a uma opção para definir o tipo de distribuição do Linux, como o Ubuntu. O Windows dá suporte a outra configuração para definir intervalos de build com suporte. |
| Configurações de senhaTodos os dispositivos: – Impor configurações que bloqueiam a tela após um período de inatividade, exigindo uma senha ou PIN para desbloquear. – Exigir senhas complexas que usam combinações de letras, números e símbolos. – Exigir uma senha ou fixar para desbloquear dispositivos. – Defina requisitos para um comprimento mínimo de senha. | Use a conformidade para avaliar dispositivos para estrutura e comprimento de senha e para identificar dispositivos que não têm senhas ou usam senhas simples. Essas configurações podem ajudar a proteger o acesso ao dispositivo. Outras opções, como reutilização de senha ou tempo para que uma senha seja alterada, são incluídas explicitamente no nível de conformidade aprimorado. |
Nível 2 – Configurações avançadas de conformidade do dispositivo
✔️ Usar políticas de configuração de dispositivo aprimoradas para tipos de plataforma com suporte
Configurações de conformidade aprimoradas
O suporte para configurações de conformidade de nível aprimorado varia muito por plataforma em comparação com as configurações encontradas nas recomendações mínimas. Algumas plataformas podem não dar suporte a configurações compatíveis com plataformas relacionadas. Por exemplo, o Android AOSP carece de opções que existem para plataformas Android Enterprise configurarem a conformidade para proteções de arquivo e inicialização no nível do sistema.
Examine as políticas específicas da plataforma no centro de administração Microsoft Intune para identificar quais configurações de conformidade estão disponíveis para cada plataforma e mais detalhes sobre seu uso. Para configurar políticas, consulte Criar uma política de conformidade.
Recomendamos usar as seguintes configurações em suas políticas avançadas de conformidade do dispositivo:
| Categorias e exemplos de conformidade de dispositivo aprimorados | Informações |
|---|---|
| AplicativosAndroid Enterprise: - Bloquear aplicativos de fontes desconhecidas - Portal da Empresa integridade do runtime do aplicativo - Gerenciar locais de origem para aplicativos - Serviços do Google Play - opções SafteyNet para atestado e avaliação iOS/iPadOS - MacOS de aplicativos restritos: - Permitir aplicativos de locais específicos - Bloquear aplicativos de fontes desconhecidas - Configurações de firewallWindows: – Bloquear aplicativos de fontes desconhecidas – Configurações de firewall | Configure os requisitos para vários aplicativos. Para Android, gerencie o uso e a operação de aplicativos como Google Play, SafteyNet e avaliação da integridade do runtime do aplicativo Portal da Empresa. Para todas as plataformas, quando houver suporte, gerencie de onde os aplicativos podem ser instalados e de quais aplicativos não devem ser permitidos em dispositivos que acessam os recursos de suas organizações. Para macOS e Windows, as configurações de conformidade dão suporte a exigir um Firewall ativo e configurado. |
| CriptografiaAndroid Enterprise: – Exigir criptografia do armazenamentode dadosAndroid AOSP: – Exigir criptografia domacOS de armazenamento de dados: – Exigir criptografia do armazenamento de dadosLinux: – Exigir criptografia do armazenamento de dadosWindows: – Exigir criptografia do armazenamento de dados – BitLocker | Adicione configurações de conformidade que exigem a criptografia do armazenamento de dados. O Windows também dá suporte à necessidade de uso do BitLocker. |
| Configurações de senhaAndroid Enterprise: – Expiração de senha e reutilizaçãodo iOS/iPadOS: – Expiração de senha e reutilizaçãodo macOS: – Expiração de senha e reutilizaçãodo Windows: – Expiração de senha e reutilização | Adicione configurações de conformidade de senha para garantir que as senhas sejam giradas periodicamente e que as senhas não sejam reutilizados com frequência. |
| Proteção de inicialização e arquivo de nível do sistemaAndroid AOSP: – Dispositivos enraizadosAndroid Enterprise: – Bloquear a depuração USB no dispositivo - Dispositivos enraizadosiOS/iPadOS - Dispositivos jailbrokenmacOS: - Exigir proteção de integridade do sistema Windows: - Exigir integridade de código - Exigir inicialização segura para ser habilitado no dispositivo - Módulo de Plataforma Confiável (TPM) | Configure as opções específicas da plataforma que avaliam dispositivos para riscos no nível do sistema ou no nível do kernel. |
Nível 3 – Configurações avançadas de conformidade do dispositivo
✔️ Adicionar dados de parceiros de Defesa contra Ameaças Móveis às políticas de conformidade do dispositivo
✔️ Integrar um parceiro de conformidade de terceiros ao Intune
✔️ Definir configurações de conformidade personalizadas para Windows e Linux
✔️ Usar dados de conformidade com o Acesso Condicional para acessar os recursos da sua organização
✔️ Usar políticas avançadas de configuração de dispositivo para tipos de plataforma com suporte
Com políticas de conformidade de dispositivo robustas em vigor, você pode implementar opções de conformidade mais avançadas que vão além de configurar apenas as configurações em políticas de conformidade do dispositivo, incluindo:
Usando dados de parceiros de Defesa contra Ameaças Móveis como parte das políticas de conformidade do dispositivo e em suas políticas de Acesso Condicional.
Integrar a conformidade do dispositivo status com o Acesso Condicional para ajudar a portar quais dispositivos podem acessar email, outros serviços de nuvem ou recursos locais.
Incluindo dados de conformidade de parceiros de conformidade de terceiros. Com essa configuração, os dados de conformidade desses dispositivos podem ser usados com suas políticas de acesso condicional.
Expandindo as políticas internas de conformidade do dispositivo definindo as configurações de conformidade personalizadas que não estão disponíveis nativamente por meio da interface do usuário da política de conformidade do Intune.
Integrar dados de um parceiro de Defesa contra Ameaças Móveis
Uma solução MTD (Defesa contra Ameaças Móveis) é um software para dispositivos móveis que ajuda a protegê-los de várias ameaças cibernéticas. Ao proteger dispositivos móveis, você ajuda a proteger sua organização e recursos. Quando integradas, as soluções MTD fornecem uma fonte de informações adicional ao Intune para suas políticas de conformidade do dispositivo. Essas informações também podem ser usadas pelas regras de Acesso Condicional que você pode usar com o Intune.
Quando integrado, o Intune dá suporte ao uso de soluções MTD com dispositivos registrados e, quando compatível com a solução MTD, os dispositivos não registrados usando Microsoft Intune aplicativos protegidos e políticas de proteção de aplicativo.
Use um parceiro MTD com suporte do Intune e que dê suporte às funcionalidades que sua organização precisa em toda a gama de plataformas que você usa.
Por exemplo, Microsoft Defender para Ponto de Extremidade é uma solução de Defesa contra Ameaças Móveis que você já pode usar que pode ser usada com as plataformas Android, iOS/iPadOS e Windows. Outras soluções, normalmente dão suporte a Android e iOS/iPadOS. Consulte Parceiros de Defesa contra Ameaças Móveis para exibir a lista de parceiros MTD com suporte.
Para saber mais sobre como usar o software de Defesa contra Ameaças Móveis com o Intune, comece com a integração da Defesa contra Ameaças Móveis ao Intune.
Usar dados de parceiros de conformidade de terceiros
O Intune dá suporte ao uso de parceiros de conformidade de terceiros em que o parceiro serve como autoridade de MDM (gerenciamento de dispositivo móvel) para um grupo de dispositivos. Quando você usa um parceiro de conformidade com suporte, usa esse parceiro para configurar a conformidade do dispositivo para os dispositivos que a solução gerencia. Você também configura essa solução de parceiro para passar os resultados de conformidade para o Intune, que armazena esses dados em Microsoft Entra ID junto com dados de conformidade do Intune. Os dados de conformidade de terceiros estão disponíveis para uso pelo Intune ao avaliar políticas de conformidade do dispositivo e para uso por políticas de Acesso Condicional.
Em alguns ambientes, o Intune pode servir como a única autoridade de MDM que você precisa usar, como por padrão, o Intune é um parceiro de conformidade registrado para as plataformas Android, iOS/iPadOS e Windows. Outras plataformas exigem que outros parceiros de conformidade sirvam como uma autoridade de MDM de dispositivos, como o uso do Jamf Pro para dispositivos macOS.
Se você usar um parceiro de conformidade de dispositivo de terceiros em seu ambiente, verifique se eles têm suporte com o Intune. Para adicionar suporte, você configura uma conexão para o parceiro de dentro do centro de administração Microsoft Intune e segue a documentação dos parceiros para concluir a integração.
Para obter mais informações sobre esse assunto, consulte Suporte a parceiros de conformidade de dispositivo de terceiros no Intune.
Usar configurações de conformidade personalizadas
Você pode expandir as opções internas de conformidade de dispositivo do Intune configurando configurações de conformidade personalizadas para dispositivos Linux e Windows gerenciados.
As configurações personalizadas oferecem flexibilidade para basear a conformidade nas configurações disponíveis em um dispositivo sem precisar esperar que o Intune adicione essas configurações.
Para usar a conformidade personalizada, você deve configurar um . Arquivo JSON que define valores no dispositivo a serem usados para conformidade e um script de descoberta que é executado no dispositivo para avaliar as configurações do JSON.
Para saber mais sobre os perquisites, as plataformas com suporte e as configurações JSON e script necessárias para conformidade personalizada, consulte [Usar políticas e configurações de conformidade personalizadas para dispositivos Linux e Windows com Microsoft Intune](.. / protect/compliance-use-custom-settings.md).
Integrar a conformidade com o Acesso Condicional
O Acesso Condicional é um recurso Microsoft Entra que funciona com o Intune para ajudar a proteger dispositivos. Para dispositivos que se registram com Microsoft Entra, as políticas de Acesso Condicional podem usar detalhes de conformidade e dispositivo do Intune para impor decisões de acesso para usuários e dispositivos.
Combinar política de Acesso Condicional com:
- As políticas de conformidade do dispositivo podem exigir que um dispositivo seja marcado como em conformidade antes que esse dispositivo possa ser usado para acessar os recursos da sua organização. A política de Acesso Condicional especifica os aplicativos ou serviços que você quer proteger, as condições sob as quais os aplicativos ou serviços podem ser acessados e os usuários aos quais a política se aplica.
- Proteção de aplicativos políticas podem adicionar uma camada de segurança que garante que apenas aplicativos cliente que dão suporte a políticas de proteção de aplicativo do Intune possam acessar seus recursos online, como o Exchange ou outros serviços do Microsoft 365.
O Acesso Condicional também funciona com os seguintes para ajudar a manter os dispositivos seguros:
- Microsoft Defender para Ponto de Extremidade e aplicativos MTD de terceiros
- Aplicativos de parceiro de conformidade do dispositivo
- Microsoft Tunnel
Para saber mais, confira Saiba mais sobre o Acesso Condicional e o Intune.
Configurações avançadas de conformidade
Examine as políticas específicas da plataforma no centro de administração Microsoft Intune para identificar quais configurações de conformidade estão disponíveis para cada plataforma e mais detalhes sobre seu uso. Para configurar políticas, consulte Criar uma política de conformidade.
Para configurar políticas, consulte Criar uma política de conformidade.
Recomendamos usar as seguintes configurações em suas políticas avançadas de conformidade do dispositivo:
| Categorias e exemplos avançados de conformidade do dispositivo | Informações |
|---|---|
| Defesas de runtimeAndroid Enterprise: – Exigir que o dispositivo esteja no ou no nível de ameaça do dispositivo - Exigir que o dispositivo esteja no ou sob a pontuação de risco do computador iOS/iPadOS: - Exigir que o dispositivo esteja no ou no nível de ameaça do dispositivo - Exigir que o dispositivo esteja no ou sob a pontuação de risco do computadorWindows: - Exigir que o dispositivo esteja no ou sob a pontuação de risco do computador | Ao integrar o Intune a um parceiro de Defesa contra Ameaças Móveis, você pode usar essa avaliação de nível de ameaça de dispositivo de parceiros como critérios em suas políticas de conformidade. Quando você integrou Microsoft Defender para Ponto de Extremidade ao Intune, pode usar a pontuação de risco do Defender como uma marcar de conformidade. |
Siga as políticas mínimas de linha de base recomendadas
- Configurar o Microsoft Intune
- Adicionar, configurar e proteger aplicativos
- 🡺 Planejar políticas de conformidade (você está aqui)
- Configurar recursos do dispositivo
- Registrar dispositivos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de