Compartilhar via


Passo 4 – Configurar funcionalidades e definições do dispositivo para proteger dispositivos e aceder a recursos

Até agora, configurou a sua subscrição do Intune, criou políticas de proteção de aplicações e criou políticas de conformidade de dispositivos.

Neste passo, está pronto para configurar um conjunto mínimo ou de linha de base de funcionalidades de segurança e dispositivo que todos os dispositivos têm de ter.

Diagrama que mostra como começar a utilizar o Microsoft Intune com o passo 4, que está a configurar as funcionalidades dos dispositivos e as definições de segurança.

Este artigo se aplica ao:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Quando cria perfis de configuração de dispositivos, existem diferentes níveis e tipos de políticas disponíveis. Estes níveis são as políticas mínimas recomendadas pela Microsoft. Saiba que as suas necessidades de ambiente e negócio podem ser diferentes.

  • Nível 1 – Configuração mínima do dispositivo: neste nível, a Microsoft recomenda que crie políticas que:

    • Concentre-se na segurança do dispositivo, incluindo a instalação de antivírus, a criação de uma política de palavras-passe forte e a instalação regular de atualizações de software.
    • Conceder aos utilizadores acesso ao e-mail da organização e acesso seguro controlado à sua rede, onde quer que estejam.
  • Nível 2 – Configuração melhorada do dispositivo: neste nível, a Microsoft recomenda que crie políticas que:

    • Expanda a segurança do dispositivo, incluindo configurar a encriptação do disco, ativar o arranque seguro e adicionar mais regras de palavra-passe.
    • Utilize as funcionalidades e modelos incorporados para configurar mais definições importantes para a sua organização, incluindo a análise de GPOs no local.
  • Nível 3 – Configuração elevada do dispositivo: neste nível, a Microsoft recomenda que crie políticas que:

    • Passar para a autenticação sem palavra-passe, incluindo utilizar certificados, configurar o início de sessão único (SSO) para aplicações, ativar a autenticação multifator (MFA) e configurar o Microsoft Tunnel.
    • Adicione camadas adicionais de segurança com o modo de critérios comuns do Android ou crie políticas DFCI para dispositivos Windows.
    • Utilize as funcionalidades incorporadas para configurar dispositivos de quiosque, dispositivos dedicados, dispositivos partilhados e outros dispositivos especializados.
    • Implementar scripts de shell existentes.

Este artigo lista os diferentes níveis de políticas de configuração de dispositivos que as organizações devem utilizar. A maioria destas políticas neste artigo foca-se no acesso aos recursos e à segurança da organização.

Estas funcionalidades são configuradas em perfis de configuração de dispositivos no centro de administração do Microsoft Intune. Quando os perfis estiverem prontos, podem ser implementados a partir do Intune nos seus dispositivos.

Nível 1 - Criar a linha de base de segurança

Para ajudar a manter os dados e os dispositivos da sua organização seguros, crie políticas diferentes que se focam na segurança. Deve criar uma lista de funcionalidades de segurança que todos os utilizadores e/ou todos os dispositivos têm de ter. Esta lista é a sua linha de base de segurança.

No seu plano base, no mínimo, a Microsoft recomenda as seguintes políticas de segurança:

  • Instalar o antivírus (AV) e procurar regularmente software maligno
  • Utilizar a deteção e a resposta
  • Ativar a firewall
  • Instalar atualizações de software regularmente
  • Criar uma política de PIN/palavra-passe segura

Esta secção lista os serviços do Intune e da Microsoft que pode utilizar para criar estas políticas de segurança.

Para obter uma lista mais granular das definições do Windows e dos respetivos valores recomendados, aceda a Linhas de base de segurança do Windows.

Antivírus e análise

✔️ Instalar software antivírus e analisar regularmente software maligno

Todos os dispositivos devem ter software antivírus instalado e ser regularmente analisados quanto a software maligno. O Intune integra-se com serviços de defesa contra ameaças para dispositivos móveis (MTD) de terceiros que fornecem AV e análise de ameaças. Para macOS e Windows, o antivírus e a análise estão incorporados no Intune com o Microsoft Defender para Endpoint.

As suas opções de política:

Plataforma Tipo de política
Android Enterprise - Parceiro
de defesa contra ameaças para dispositivos móveis – o Microsoft Defender para Endpoint para Android pode procurar software maligno
iOS/iPadOS Parceiro de defesa contra ameaças para dispositivos móveis
macOS Perfil antivírus da Segurança do Ponto Final do Intune (Microsoft Defender para Endpoint)
Cliente Windows - Linhas de base de segurança do Intune (recomendado)
– Perfil antivírus de Segurança do Ponto Final do Intune (Microsoft Defender para Endpoint)
– Parceiro de defesa contra ameaças para dispositivos móveis

Para obter mais informações sobre esses recursos, acesse:

Deteção e resposta

✔️ Detetar ataques e agir sobre estas ameaças

Quando deteta ameaças rapidamente, pode ajudar a minimizar o impacto da ameaça. Quando combina estas políticas com o Acesso Condicional, pode impedir que os utilizadores e dispositivos acedam aos recursos da organização se for detetada uma ameaça.

As suas opções de política:

Plataforma Tipo de política
Android Enterprise - Parceiro de defesa contra ameaças para dispositivos
móveis – Microsoft Defender para Endpoint no Android
iOS/iPadOS - Parceiro de defesa contra ameaças para dispositivos
móveis – Microsoft Defender para Endpoint no iOS/iPadOS
macOS Não disponível
Cliente Windows - Linhas de base de segurança do Intune (recomendado)
– Perfil de deteção e resposta de pontos finais do Intune (Microsoft Defender para Endpoint)
– Parceiro de defesa contra ameaças para dispositivos móveis

Para obter mais informações sobre esses recursos, acesse:

Firewall

✔️ Ativar a firewall em todos os dispositivos

Algumas plataformas têm uma firewall incorporada e, noutras, poderá ter de instalar uma firewall separadamente. O Intune integra-se com serviços de defesa contra ameaças para dispositivos móveis (MTD) de terceiros que podem gerir uma firewall para dispositivos Android e iOS/iPadOS. Para macOS e Windows, a segurança da firewall está incorporada no Intune com o Microsoft Defender para Endpoint.

As suas opções de política:

Plataforma Tipo de política
Android Enterprise Parceiro de defesa contra ameaças para dispositivos móveis
iOS/iPadOS Parceiro de defesa contra ameaças para dispositivos móveis
macOS Perfil de firewall do Endpoint Security do Intune (Microsoft Defender para Endpoint)
Cliente Windows - Linhas de base de segurança do Intune (recomendado)
- Perfil de firewall do Endpoint Security do Intune (Microsoft Defender para Endpoint)
– Parceiro de defesa contra ameaças para dispositivos móveis

Para obter mais informações sobre esses recursos, acesse:

Política de palavras-passe

✔️ Criar uma política de palavra-passe/PIN segura e bloquear códigos de acesso simples

Os PINs desbloqueiam dispositivos. Nos dispositivos que acedem aos dados da organização, incluindo dispositivos pessoais, deve exigir PINs/códigos de acesso fortes e suportar biometria para desbloquear dispositivos. A utilização de biometria faz parte de uma abordagem sem palavra-passe, que é recomendada.

O Intune utiliza perfis de restrições de dispositivos para criar e configurar requisitos de palavra-passe.

As suas opções de política:

Plataforma Tipo de política
Android Enterprise Perfil de restrições de dispositivos do Intune para gerir:
- Palavra-passe do dispositivo
- Palavra-passe do perfil de trabalho
AOSP Perfil de restrições de dispositivos do Intune
iOS/iPadOS Perfil de restrições de dispositivos do Intune
macOS Perfil de restrições de dispositivos do Intune
Cliente Windows - Linhas de base de segurança do Intune (recomendado)
– Perfil de restrições de dispositivos do Intune

Para obter uma lista das definições que pode configurar, aceda a:

Atualizações de software

✔️ Instalar atualizações de software regularmente

Todos os dispositivos devem ser atualizados regularmente e devem ser criadas políticas para garantir que estas atualizações são instaladas com êxito. Para a maioria das plataformas, o Intune tem políticas dedicadas que se focam na gestão e instalação de atualizações.

As suas opções de política:

Plataforma Tipo de política
Dispositivos pertencentes à organização Android Enterprise Definições de atualização do sistema com o perfil de restrições de dispositivos do Intune
Dispositivos pessoais android Enterprise Não disponível

Pode utilizar políticas de conformidade para definir um nível mínimo de patch, versão mínima/máxima do SO e muito mais.
iOS/iPadOS Política de atualização do Intune
macOS Política de atualização do Intune
Cliente Windows - Política de atualizações de funcionalidades
do Intune – Política de atualizações acelerada do Intune

Para obter mais informações sobre estas funcionalidades e/ou as definições que pode configurar, aceda a:

Nível 1 – Aceder ao e-mail da organização, ligar à VPN ou Wi-Fi

Esta secção centra-se no acesso aos recursos na sua organização. Esses recursos incluem:

  • E-mail para contas escolares ou profissionais
  • Ligação VPN para conectividade remota
  • Wi-Fi ligação para conectividade no local

Diagrama que mostra um e-mail, VPN e perfis de Wi-Fi implementados a partir do Microsoft Intune em dispositivos de utilizador final.

Email

Muitas organizações implementam perfis de e-mail com definições pré-configuradas em dispositivos de utilizador.

✔️ Ligar automaticamente a contas de e-mail de utilizador

O perfil inclui as definições de configuração de e-mail que se ligam ao seu servidor de e-mail.

Consoante as definições que configurar, o perfil de e-mail também pode ligar automaticamente os utilizadores às definições individuais da conta de e-mail.

✔️ Utilizar aplicações de e-mail de nível empresarial

Os perfis de e-mail no Intune utilizam aplicações de e-mail comuns e populares, como o Outlook. A aplicação de e-mail é implementada em dispositivos de utilizador. Após a implementação, implemente o perfil de configuração do dispositivo de e-mail com as definições que configuram a aplicação de e-mail.

O perfil de configuração do dispositivo de e-mail inclui definições que se ligam ao seu Exchange.

✔️ Aceder ao e-mail escolar ou profissional

Criar um perfil de e-mail é uma política de linha de base mínima comum para organizações com utilizadores que utilizam e-mail nos respetivos dispositivos.

O Intune tem definições de e-mail incorporadas para dispositivos cliente Android, iOS/iPadOS e Windows. Quando os utilizadores abrem a respetiva aplicação de e-mail, podem ligar, autenticar e sincronizar automaticamente as respetivas contas de e-mail organizacionais nos respetivos dispositivos.

✔️ Implementar em qualquer altura

Em novos dispositivos, é recomendado implementar a aplicação de e-mail durante o processo de inscrição. Quando a inscrição estiver concluída, implemente a política de configuração do dispositivo de e-mail.

Se tiver dispositivos existentes, implemente a aplicação de e-mail em qualquer altura e implemente a política de configuração do dispositivo de e-mail.

Introdução aos perfis de e-mail

Para começar:

  1. Implemente uma aplicação de e-mail nos seus dispositivos. Para obter orientações, aceda a Adicionar definições de e-mail a dispositivos com o Intune.

  2. Crie um perfil de configuração de dispositivo de e-mail no Intune. Dependendo da aplicação de e-mail que a sua organização utiliza, o perfil de configuração do dispositivo de e-mail pode não ser necessário.

    Para obter orientações, aceda a Adicionar definições de e-mail a dispositivos com o Intune.

  3. No perfil de configuração do dispositivo de e-mail, configure as definições para a sua plataforma:

  4. Atribua o perfil de configuração do dispositivo de e-mail aos seus utilizadores ou grupos de utilizadores.

VPN

Muitas organizações implementam perfis VPN com definições pré-configuradas em dispositivos de utilizador. A VPN liga os seus dispositivos à rede interna da organização.

Se a sua organização utilizar serviços cloud com autenticação moderna e identidades seguras, provavelmente não precisa de um perfil VPN. Os serviços nativos da cloud não necessitam de uma ligação VPN.

Se as suas aplicações ou serviços não forem baseados na cloud ou não forem nativos da cloud, recomendamos que implemente um perfil VPN para ligar à rede interna da organização.

✔️ Trabalhar a partir de qualquer lugar

A criação de um perfil VPN é uma política de linha de base mínima comum para organizações com trabalhadores remotos e funções de trabalho híbridas.

À medida que os utilizadores trabalham em qualquer lugar, podem utilizar o perfil VPN para se ligarem de forma segura à rede da sua organização para aceder aos recursos.

O Intune tem definições de VPN incorporadas para dispositivos cliente Android, iOS/iPadOS, macOS e Windows. Em dispositivos de utilizador, a ligação VPN é apresentada como uma ligação disponível. Os utilizadores selecionam-na. Consoante as definições no seu perfil VPN, os utilizadores podem autenticar e ligar automaticamente à VPN nos respetivos dispositivos.

✔️ Utilizar aplicações VPN de nível empresarial

Os perfis de VPN no Intune utilizam aplicações VPN empresariais comuns, como o Check Point, Cisco, Microsoft Tunnel e muito mais. A aplicação VPN é implementada em dispositivos de utilizador. Depois de a aplicação ser implementada, implemente o perfil de ligação VPN com definições que configuram a aplicação VPN.

O perfil de configuração do dispositivo VPN inclui definições que se ligam ao servidor VPN.

✔️ Implementar em qualquer altura

Em novos dispositivos, é recomendado implementar a aplicação VPN durante o processo de inscrição. Quando a inscrição estiver concluída, implemente a política de configuração do dispositivo VPN.

Se tiver dispositivos existentes, implemente a aplicação VPN em qualquer altura e, em seguida, implemente a política de configuração do dispositivo VPN.

Introdução aos perfis VPN

Para começar:

  1. Implemente uma aplicação VPN nos seus dispositivos.

  2. Crie um perfil de configuração de VPN no Intune.

  3. No perfil de configuração do dispositivo VPN, configure as definições para a sua plataforma:

  4. Atribua o perfil de configuração do dispositivo VPN aos seus utilizadores ou grupos de utilizadores.

Wi-Fi

Muitas organizações implementam perfis Wi-Fi com definições pré-configuradas em dispositivos de utilizador. Se a sua organização tiver uma força de trabalho apenas remota, não precisa de implementar Wi-Fi perfis de ligação. Wi-Fi perfis são opcionais e são utilizados para conectividade no local.

✔️ Ligar sem fios

À medida que os utilizadores trabalham a partir de diferentes dispositivos móveis, podem utilizar o perfil de Wi-Fi para estabelecer ligação sem fios e de forma segura à rede da sua organização.

O perfil inclui as definições de configuração do Wi-Fi que se ligam automaticamente à sua rede e/ou SSID (identificador do conjunto de serviços). Os utilizadores não têm de configurar manualmente as definições de Wi-Fi.

✔️ Suportar dispositivos móveis no local

Criar um perfil de Wi-Fi é uma política de linha de base mínima comum para organizações com dispositivos móveis que funcionam no local.

O Intune tem definições de Wi-Fi incorporadas para dispositivos cliente Android, iOS/iPadOS, macOS e Windows. Em dispositivos de utilizador, a ligação Wi-Fi é apresentada como uma ligação disponível. Os utilizadores selecionam-na. Consoante as definições no seu perfil de Wi-Fi, os utilizadores podem autenticar e ligar-se automaticamente ao Wi-Fi nos respetivos dispositivos.

✔️ Implementar em qualquer altura

Em novos dispositivos, é recomendado implementar a política de configuração de dispositivos Wi-Fi quando os dispositivos se inscrevem no Intune.

Se tiver dispositivos existentes, pode implementar a política de configuração Wi-Fi dispositivo em qualquer altura.

Introdução aos perfis de Wi-Fi

Para começar:

  1. Crie um Wi-Fi perfil de configuração de dispositivos no Intune.

  2. Configure as definições para a sua plataforma:

  3. Atribua o perfil de configuração Wi-Fi dispositivo aos seus utilizadores ou grupos de utilizadores.

Nível 2 – Proteção e configuração melhoradas

Este nível expande o que configurou no nível 1 e adiciona mais segurança aos seus dispositivos. Nesta secção, vai criar um conjunto de políticas de nível 2 que configuram mais definições de segurança para os seus dispositivos.

A Microsoft recomenda as seguintes políticas de segurança de nível 2:



  • O Intune inclui centenas de definições que podem gerir funcionalidades e definições de dispositivos, como desativar a câmara incorporada, controlar notificações, permitir bluetooth, bloquear jogos e muito mais.

    Pode utilizar os modelos incorporados ou o catálogo de definições para ver e configurar as definições.

    • Os modelos de restrições de dispositivos têm muitas definições incorporadas que podem controlar diferentes partes dos dispositivos, incluindo segurança, hardware, partilha de dados e muito mais.

      Pode utilizar estes modelos nas seguintes plataformas:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • Utilize o catálogo definições para ver e configurar todas as definições disponíveis. Pode utilizar o catálogo de definições nas seguintes plataformas:

      • iOS/iPadOS
      • macOS
      • Windows
    • Utilize os modelos administrativos incorporados, semelhantes à configuração de modelos ADMX no local. Pode utilizar os modelos ADMX na seguinte plataforma:

      • Windows
  • Se utilizar GPOs no local e quiser saber se estas mesmas definições estão disponíveis no Intune, utilize a análise da Política de Grupo. Esta funcionalidade analisa os GPOs e, dependendo da análise, pode importá-los para uma política de catálogo de definições do Intune.

    Para obter mais informações, aceda a Analisar os GPOs no local e importe-os no Intune.

Nível 3 – Alta proteção e configuração

Este nível expande-se sobre o que configurou nos níveis 1 e 2. Adiciona funcionalidades de segurança adicionais utilizadas em organizações de nível empresarial.


  1. Configurar o Microsoft Intune
  2. Adicionar, configurar e proteger aplicações
  3. Planear políticas de conformidade
  4. 🡺 Configurar funcionalidades do dispositivo (Está aqui)
  5. Registrar dispositivos