Compartilhar via


Etapa 4 – Configurar recursos e configurações do dispositivo para proteger dispositivos e acessar recursos

Até agora, você configurou sua assinatura Intune, criou políticas de proteção de aplicativo e criou políticas de conformidade do dispositivo.

Nesta etapa, você está pronto para configurar um conjunto mínimo ou de linha de base de recursos de segurança e dispositivo que todos os dispositivos devem ter.

Diagrama que mostra como começar a Microsoft Intune com a etapa 4, que está configurando recursos de dispositivos e configurações de segurança.

Este artigo se aplica ao:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Quando você cria perfis de configuração de dispositivo, há diferentes níveis e tipos de políticas disponíveis. Esses níveis são as políticas mínimas recomendadas pela Microsoft. Saiba que suas necessidades de ambiente e de negócios podem ser diferentes.

  • Nível 1 – Configuração mínima do dispositivo: neste nível, a Microsoft recomenda que você crie políticas que:

    • Concentre-se na segurança do dispositivo, incluindo a instalação de antivírus, a criação de uma política de senha forte e a instalação regular de atualizações de software.
    • Dê aos usuários acesso ao email da organização e acesso seguro controlado à sua rede, onde quer que estejam.
  • Nível 2 – Configuração avançada do dispositivo: neste nível, a Microsoft recomenda que você crie políticas que:

    • Expanda a segurança do dispositivo, incluindo configurar a criptografia de disco, habilitar a inicialização segura e adicionar mais regras de senha.
    • Use os recursos e modelos internos para configurar mais configurações importantes para sua organização, incluindo a análise de GPOs locais.
  • Nível 3 – Configuração de dispositivo alto: neste nível, a Microsoft recomenda que você crie políticas que:

    • Mova para a autenticação sem senha, incluindo o uso de certificados, a configuração do SSO (logon único) para aplicativos, a habilitação da MFA (autenticação multifator) e a configuração do Microsoft Tunnel.
    • Adicione camadas extras de segurança usando o modo de critérios comuns do Android ou criando políticas DFCI para dispositivos Windows.
    • Use os recursos internos para configurar dispositivos de quiosque, dispositivos dedicados, dispositivos compartilhados e outros dispositivos especializados.
    • Implantar scripts de shell existentes.

Este artigo lista os diferentes níveis de políticas de configuração de dispositivo que as organizações devem usar. A maioria dessas políticas neste artigo se concentra no acesso aos recursos e à segurança da organização.

Esses recursos são configurados em perfis de configuração de dispositivo no centro de administração Microsoft Intune. Quando os perfis estiverem prontos, eles podem ser implantados de Intune para seus dispositivos.

Nível 1 – Criar sua linha de base de segurança

Para ajudar a manter os dados e dispositivos da sua organização seguros, você cria políticas diferentes que se concentram na segurança. Você deve criar uma lista de recursos de segurança que todos os usuários e/ou todos os dispositivos devem ter. Esta lista é sua linha de base de segurança.

Em sua linha de base, no mínimo, a Microsoft recomenda as seguintes políticas de segurança:

  • Instalar antivírus (AV) e verificar regularmente o malware
  • Usar detecção e resposta
  • Ativar o firewall
  • Instalar atualizações de software regularmente
  • Criar uma política forte de PIN/senha

Esta seção lista os serviços Intune e Microsoft que você pode usar para criar essas políticas de segurança.

Para obter uma lista mais granular das configurações do Windows e seus valores recomendados, acesse linhas de base de segurança do Windows.

Antivírus e verificação

✔️ Instalar software antivírus e verificar regularmente o malware

Todos os dispositivos devem ter o software antivírus instalado e serem verificados regularmente em busca de malware. Intune integra-se aos serviços mtd (defesa contra ameaças móveis) de terceiros que fornecem AV e verificação de ameaças. Para macOS e Windows, o antivírus e a verificação são integrados para Intune com Microsoft Defender para Ponto de Extremidade.

Suas opções de política:

Plataforma Tipo de política
Android Enterprise - Parceiro
de defesa contra ameaças móveis - Microsoft Defender para Ponto de Extremidade para Android pode procurar malware
iOS/iPadOS Parceiro de defesa contra ameaças móveis
macOS Intune perfil antivírus de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade)
Cliente Windows - Intune linhas de base de segurança (recomendado)
- Intune perfil antivírus de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade)
– parceiro de defesa contra ameaças móveis

Para obter mais informações sobre esses recursos, acesse:

Detecção e resposta

✔️ Detectar ataques e agir contra essas ameaças

Ao detectar ameaças rapidamente, você pode ajudar a minimizar o impacto da ameaça. Ao combinar essas políticas com o Acesso Condicional, você pode impedir que usuários e dispositivos acessem recursos da organização se uma ameaça for detectada.

Suas opções de política:

Plataforma Tipo de política
Android Enterprise - Parceiro
de defesa contra ameaças móveis- Microsoft Defender para Ponto de Extremidade no Android
iOS/iPadOS - Parceiro
de defesa contra ameaças móveis- Microsoft Defender para Ponto de Extremidade no iOS/iPadOS
macOS Não disponível
Cliente Windows - Intune linhas de base de segurança (recomendado)
- Intune perfil de detecção e resposta de ponto de extremidade (Microsoft Defender para Ponto de Extremidade)
– Parceiro de defesa contra ameaças móveis

Para obter mais informações sobre esses recursos, acesse:

Firewall

✔️ Habilitar o firewall em todos os dispositivos

Algumas plataformas vêm com um firewall interno e em outras, talvez você precise instalar um firewall separadamente. Intune integra-se aos serviços mtd (defesa contra ameaças móveis) de terceiros que podem gerenciar um firewall para dispositivos Android e iOS/iPadOS. Para macOS e Windows, a segurança do firewall é interna para Intune com Microsoft Defender para Ponto de Extremidade.

Suas opções de política:

Plataforma Tipo de política
Android Enterprise Parceiro de defesa contra ameaças móveis
iOS/iPadOS Parceiro de defesa contra ameaças móveis
macOS Intune perfil de firewall de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade)
Cliente Windows - Intune linhas de base de segurança (recomendado)
- Intune perfil de firewall de Segurança do Ponto de Extremidade (Microsoft Defender para Ponto de Extremidade)
– Parceiro de defesa contra ameaças móveis

Para obter mais informações sobre esses recursos, acesse:

Política de senha

✔️ Criar uma política forte de senha/PIN e bloquear senhas simples

OS PINs desbloqueiam dispositivos. Em dispositivos que acessam dados da organização, incluindo dispositivos de propriedade pessoal, você deve exigir PINs/senhas fortes e dar suporte à biometria para desbloquear dispositivos. O uso da biometria faz parte de uma abordagem sem senha, que é recomendada.

Intune usa perfis de restrições de dispositivo para criar e configurar requisitos de senha.

Suas opções de política:

Plataforma Tipo de política
Android Enterprise Intune perfil de restrições de dispositivo para gerenciar o:
- Senha do dispositivo
- Senha do perfil de trabalho
AOSP Intune perfil de restrições de dispositivo
iOS/iPadOS Intune perfil de restrições de dispositivo
macOS Intune perfil de restrições de dispositivo
Cliente Windows - Intune linhas de base de segurança (recomendado)
– Intune perfil de restrições de dispositivo

Para obter uma lista das configurações que você pode configurar, acesse:

Atualizações de software

✔️ Instalar regularmente atualizações de software

Todos os dispositivos devem ser atualizados regularmente e as políticas devem ser criadas para garantir que essas atualizações sejam instaladas com êxito. Para a maioria das plataformas, Intune tem políticas dedicadas que se concentram no gerenciamento e instalação de atualizações.

Suas opções de política:

Plataforma Tipo de política
Dispositivos de propriedade da organização Android Enterprise Configurações de atualização do sistema usando Intune perfil de restrições de dispositivo
Dispositivos de propriedade pessoal do Android Enterprise Não disponível

Pode usar políticas de conformidade para definir um nível mínimo de patch, versão mínima/máxima do sistema operacional e muito mais.
iOS/iPadOS Intune política de atualização
macOS Intune política de atualização
Cliente Windows - Intune política
de atualizações de recursos - Intune política de atualizações aceleradas

Para obter mais informações sobre esses recursos e/ou as configurações que você pode configurar, acesse:

Nível 1 – Acessar email da organização, conectar-se a VPN ou Wi-Fi

Esta seção se concentra em acessar recursos em sua organização. Esses recursos incluem:

  • Email para contas de trabalho ou de estudante
  • Conexão VPN para conectividade remota
  • Wi-Fi conexão para conectividade local

Diagrama que mostra um email, VPN e perfis de Wi-Fi implantados de Microsoft Intune para dispositivos de usuário final.

Email

Muitas organizações implantam perfis de email com configurações pré-configuradas em dispositivos de usuário.

✔️ Conectar-se automaticamente às contas de email do usuário

O perfil inclui as configurações de configuração de email que se conectam ao servidor de email.

Dependendo das configurações configuradas, o perfil de email também pode conectar automaticamente os usuários às configurações de sua conta de email individual.

✔️ Usar aplicativos de email de nível empresarial

Email perfis em Intune usam aplicativos de email comuns e populares, como o Outlook. O aplicativo de email é implantado em dispositivos de usuário. Depois de implantado, você implantará o perfil de configuração do dispositivo de email com as configurações que configuram o aplicativo de email.

O perfil de configuração do dispositivo de email inclui configurações que se conectam ao Exchange.

✔️ Acessar email de trabalho ou escola

Criar um perfil de email é uma política de linha de base mínima comum para organizações com usuários que usam email em seus dispositivos.

Intune criou configurações de email para dispositivos cliente Android, iOS/iPadOS e Windows. Quando os usuários abrem seu aplicativo de email, eles podem se conectar, autenticar e sincronizar automaticamente suas contas de email organizacionais em seus dispositivos.

✔️ Implantar a qualquer momento

Em novos dispositivos, é recomendável implantar o aplicativo de email durante o processo de registro. Quando o registro for concluído, implante a política de configuração do dispositivo de email.

Se você tiver dispositivos existentes, implante o aplicativo de email a qualquer momento e implante a política de configuração do dispositivo de email.

Introdução aos perfis de email

Para começar:

  1. Implante um aplicativo de email em seus dispositivos. Para obter algumas diretrizes, acesse Adicionar configurações de email a dispositivos usando Intune.

  2. Crie um perfil de configuração de dispositivo de email no Intune. Dependendo do aplicativo de email que sua organização usa, o perfil de configuração do dispositivo de email pode não ser necessário.

    Para obter algumas diretrizes, acesse Adicionar configurações de email a dispositivos usando Intune.

  3. No perfil de configuração do dispositivo de email, configure as configurações para sua plataforma:

  4. Atribua o perfil de configuração do dispositivo de email a seus usuários ou grupos de usuários.

VPN

Muitas organizações implantam perfis VPN com configurações pré-configuradas em dispositivos de usuário. A VPN conecta seus dispositivos à sua rede de organização interna.

Se sua organização usa serviços de nuvem com autenticação moderna e identidades seguras, você provavelmente não precisa de um perfil VPN. Os serviços nativos de nuvem não exigem uma conexão VPN.

Se seus aplicativos ou serviços não são baseados em nuvem ou não são nativos de nuvem, é recomendável implantar um perfil VPN para se conectar à sua rede de organização interna.

✔️ Trabalhar de qualquer lugar

Criar um perfil VPN é uma política de linha de base mínima comum para organizações com trabalhadores remotos e trabalhadores híbridos.

À medida que os usuários trabalham de qualquer lugar, eles podem usar o perfil VPN para se conectar com segurança à rede da sua organização para acessar recursos.

Intune criou configurações de VPN para dispositivos cliente Android, iOS/iPadOS, macOS e Windows. Em dispositivos de usuário, sua conexão VPN é mostrada como uma conexão disponível. Os usuários o selecionam. E, dependendo das configurações em seu perfil VPN, os usuários podem autenticar e se conectar automaticamente à VPN em seus dispositivos.

✔️ Usar aplicativos VPN de nível empresarial

Perfis de VPN em Intune usam aplicativos VPN corporativos comuns, como Check Point, Cisco, Microsoft Tunnel e muito mais. O aplicativo VPN é implantado em dispositivos de usuário. Depois que o aplicativo for implantado, você implantará o perfil de conexão VPN com configurações que configuram o aplicativo VPN.

O perfil de configuração do dispositivo VPN inclui configurações que se conectam ao servidor VPN.

✔️ Implantar a qualquer momento

Em novos dispositivos, é recomendável implantar o aplicativo VPN durante o processo de registro. Quando o registro for concluído, implante a política de configuração do dispositivo VPN.

Se você tiver dispositivos existentes, implante o aplicativo VPN a qualquer momento e implante a política de configuração do dispositivo VPN.

Introdução aos perfis VPN

Para começar:

  1. Implante um aplicativo VPN em seus dispositivos.

  2. Crie um perfil de configuração de VPN no Intune.

  3. No perfil de configuração do dispositivo VPN, configure as configurações para sua plataforma:

  4. Atribua o perfil de configuração do dispositivo VPN a seus usuários ou grupos de usuários.

Wi-Fi

Muitas organizações implantam perfis Wi-Fi com configurações pré-configuradas em dispositivos de usuário. Se sua organização tiver uma força de trabalho somente remota, você não precisará implantar Wi-Fi perfis de conexão. Wi-Fi perfis são opcionais e são usados para conectividade local.

✔️ Conectar sem fio

À medida que os usuários trabalham de diferentes dispositivos móveis, eles podem usar o perfil Wi-Fi para se conectar sem fio e com segurança à rede da sua organização.

O perfil inclui as configurações de Wi-Fi que se conectam automaticamente à rede e/ou ao SSID (identificador do conjunto de serviços). Os usuários não precisam configurar manualmente suas configurações de Wi-Fi.

✔️ Suporte a dispositivos móveis locais

Criar um perfil de Wi-Fi é uma política de linha de base mínima comum para organizações com dispositivos móveis que funcionam localmente.

Intune criou configurações de Wi-Fi para dispositivos android, iOS/iPadOS, macOS e cliente Windows. Em dispositivos de usuário, sua conexão Wi-Fi é mostrada como uma conexão disponível. Os usuários o selecionam. E, dependendo das configurações em seu perfil Wi-Fi, os usuários podem autenticar e se conectar automaticamente ao Wi-Fi em seus dispositivos.

✔️ Implantar a qualquer momento

Em novos dispositivos, é recomendável implantar a política de configuração do dispositivo Wi-Fi quando os dispositivos se registrarem em Intune.

Se você tiver dispositivos existentes, poderá implantar a política de configuração do dispositivo Wi-Fi a qualquer momento.

Introdução aos perfis de Wi-Fi

Para começar:

  1. Crie um perfil de configuração de dispositivo Wi-Fi no Intune.

  2. Configure as configurações para sua plataforma:

  3. Atribua o perfil de configuração do dispositivo Wi-Fi aos usuários ou grupos de usuários.

Nível 2 – Proteção e configuração aprimoradas

Esse nível se expande no que você configurou no nível 1 e adiciona mais segurança para seus dispositivos. Nesta seção, você cria um conjunto de políticas de nível 2 que configuram mais configurações de segurança para seus dispositivos.

A Microsoft recomenda as seguintes políticas de segurança de nível 2:



  • Intune inclui centenas de configurações que podem gerenciar recursos e configurações de dispositivos, como desabilitar a câmera interna, controlar notificações, permitir bluetooth, bloquear jogos e muito mais.

    Você pode usar os modelos internos ou o catálogo de configurações para ver e configurar as configurações.

    • Os modelos de restrições de dispositivo têm muitas configurações internas que podem controlar diferentes partes dos dispositivos, incluindo segurança, hardware, compartilhamento de dados e muito mais.

      Você pode usar esses modelos nas seguintes plataformas:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • Use o catálogo Configurações para ver e configurar todas as configurações disponíveis. Você pode usar o catálogo de configurações nas seguintes plataformas:

      • iOS/iPadOS
      • macOS
      • Windows
    • Use os modelos administrativos internos, semelhantes à configuração de modelos do ADMX local. Você pode usar os modelos do ADMX na seguinte plataforma:

      • Windows
  • Se você usar GPOs locais e quiser saber se essas mesmas configurações estão disponíveis no Intune, use Política de Grupo análise. Esse recurso analisa seus GPOs e, dependendo da análise, pode importá-los para uma política de catálogo de configurações Intune.

    Para obter mais informações, acesse Analisar seus GPOs locais e importá-los em Intune.

Nível 3 – Alta proteção e configuração

Esse nível se expande no que você configurou nos níveis 1 e 2. Ele adiciona recursos de segurança extras usados em organizações de nível empresarial.


  1. Configurar o Microsoft Intune
  2. Adicionar, configurar e proteger aplicativos
  3. Planejar políticas de conformidade
  4. 🡺 Configurar recursos do dispositivo (Você está aqui)
  5. Registrar dispositivos