Etapa 4 – Configurar recursos e configurações do dispositivo para proteger dispositivos e acessar recursos
Até agora, você configurou sua assinatura Intune, criou políticas de proteção de aplicativo e criou políticas de conformidade do dispositivo.
Nesta etapa, você está pronto para configurar um conjunto mínimo ou de linha de base de recursos de segurança e dispositivo que todos os dispositivos devem ter.
Este artigo se aplica ao:
- Android
- iOS/iPadOS
- macOS
- Windows
Quando você cria perfis de configuração de dispositivo, há diferentes níveis e tipos de políticas disponíveis. Esses níveis são as políticas mínimas recomendadas pela Microsoft. Saiba que suas necessidades de ambiente e de negócios podem ser diferentes.
Nível 1 – Configuração mínima do dispositivo: neste nível, a Microsoft recomenda que você crie políticas que:
- Concentre-se na segurança do dispositivo, incluindo a instalação de antivírus, a criação de uma política de senha forte e a instalação regular de atualizações de software.
- Dê aos usuários acesso ao email da organização e acesso seguro controlado à sua rede, onde quer que estejam.
Nível 2 – Configuração avançada do dispositivo: neste nível, a Microsoft recomenda que você crie políticas que:
- Expanda a segurança do dispositivo, incluindo configurar a criptografia de disco, habilitar a inicialização segura e adicionar mais regras de senha.
- Use os recursos e modelos internos para configurar mais configurações importantes para sua organização, incluindo a análise de GPOs locais.
Nível 3 – Configuração de dispositivo alto: neste nível, a Microsoft recomenda que você crie políticas que:
- Mova para a autenticação sem senha, incluindo o uso de certificados, a configuração do SSO (logon único) para aplicativos, a habilitação da MFA (autenticação multifator) e a configuração do Microsoft Tunnel.
- Adicione camadas extras de segurança usando o modo de critérios comuns do Android ou criando políticas DFCI para dispositivos Windows.
- Use os recursos internos para configurar dispositivos de quiosque, dispositivos dedicados, dispositivos compartilhados e outros dispositivos especializados.
- Implantar scripts de shell existentes.
Este artigo lista os diferentes níveis de políticas de configuração de dispositivo que as organizações devem usar. A maioria dessas políticas neste artigo se concentra no acesso aos recursos e à segurança da organização.
Esses recursos são configurados em perfis de configuração de dispositivo no centro de administração Microsoft Intune. Quando os perfis estiverem prontos, eles podem ser implantados de Intune para seus dispositivos.
Nível 1 – Criar sua linha de base de segurança
Para ajudar a manter os dados e dispositivos da sua organização seguros, você cria políticas diferentes que se concentram na segurança. Você deve criar uma lista de recursos de segurança que todos os usuários e/ou todos os dispositivos devem ter. Esta lista é sua linha de base de segurança.
Em sua linha de base, no mínimo, a Microsoft recomenda as seguintes políticas de segurança:
- Instalar antivírus (AV) e verificar regularmente o malware
- Usar detecção e resposta
- Ativar o firewall
- Instalar atualizações de software regularmente
- Criar uma política forte de PIN/senha
Esta seção lista os serviços Intune e Microsoft que você pode usar para criar essas políticas de segurança.
Para obter uma lista mais granular das configurações do Windows e seus valores recomendados, acesse linhas de base de segurança do Windows.
Antivírus e verificação
✔️ Instalar software antivírus e verificar regularmente o malware
Todos os dispositivos devem ter o software antivírus instalado e serem verificados regularmente em busca de malware. Intune integra-se aos serviços mtd (defesa contra ameaças móveis) de terceiros que fornecem AV e verificação de ameaças. Para macOS e Windows, o antivírus e a verificação são integrados para Intune com Microsoft Defender para Ponto de Extremidade.
Suas opções de política:
Plataforma | Tipo de política |
---|---|
Android Enterprise | - Parceiro de defesa contra ameaças móveis - Microsoft Defender para Ponto de Extremidade para Android pode procurar malware |
iOS/iPadOS | Parceiro de defesa contra ameaças móveis |
macOS | Intune perfil antivírus de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade) |
Cliente Windows | - Intune linhas de base de segurança (recomendado)- Intune perfil antivírus de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade) – parceiro de defesa contra ameaças móveis |
Para obter mais informações sobre esses recursos, acesse:
- Android Enterprise:
- Integração de defesa contra ameaçasdo iOS/iPadOS Mobile
- Política do macOS Antivírus
- Windows:
Detecção e resposta
✔️ Detectar ataques e agir contra essas ameaças
Ao detectar ameaças rapidamente, você pode ajudar a minimizar o impacto da ameaça. Ao combinar essas políticas com o Acesso Condicional, você pode impedir que usuários e dispositivos acessem recursos da organização se uma ameaça for detectada.
Suas opções de política:
Plataforma | Tipo de política |
---|---|
Android Enterprise | - Parceiro de defesa contra ameaças móveis- Microsoft Defender para Ponto de Extremidade no Android |
iOS/iPadOS | - Parceiro de defesa contra ameaças móveis- Microsoft Defender para Ponto de Extremidade no iOS/iPadOS |
macOS | Não disponível |
Cliente Windows | - Intune linhas de base de segurança (recomendado)- Intune perfil de detecção e resposta de ponto de extremidade (Microsoft Defender para Ponto de Extremidade) – Parceiro de defesa contra ameaças móveis |
Para obter mais informações sobre esses recursos, acesse:
- Android Enterprise:
- iOS/iPadOS:
- Windows:
Firewall
✔️ Habilitar o firewall em todos os dispositivos
Algumas plataformas vêm com um firewall interno e em outras, talvez você precise instalar um firewall separadamente. Intune integra-se aos serviços mtd (defesa contra ameaças móveis) de terceiros que podem gerenciar um firewall para dispositivos Android e iOS/iPadOS. Para macOS e Windows, a segurança do firewall é interna para Intune com Microsoft Defender para Ponto de Extremidade.
Suas opções de política:
Plataforma | Tipo de política |
---|---|
Android Enterprise | Parceiro de defesa contra ameaças móveis |
iOS/iPadOS | Parceiro de defesa contra ameaças móveis |
macOS | Intune perfil de firewall de segurança do ponto de extremidade (Microsoft Defender para Ponto de Extremidade) |
Cliente Windows | - Intune linhas de base de segurança (recomendado)- Intune perfil de firewall de Segurança do Ponto de Extremidade (Microsoft Defender para Ponto de Extremidade) – Parceiro de defesa contra ameaças móveis |
Para obter mais informações sobre esses recursos, acesse:
- Integração dedefesa contra ameaças do Android Enterprise Mobile
- Integração de defesa contra ameaçasdo iOS/iPadOS Mobile
- Política de firewalldo macOS
- Windows:
Política de senha
✔️ Criar uma política forte de senha/PIN e bloquear senhas simples
OS PINs desbloqueiam dispositivos. Em dispositivos que acessam dados da organização, incluindo dispositivos de propriedade pessoal, você deve exigir PINs/senhas fortes e dar suporte à biometria para desbloquear dispositivos. O uso da biometria faz parte de uma abordagem sem senha, que é recomendada.
Intune usa perfis de restrições de dispositivo para criar e configurar requisitos de senha.
Suas opções de política:
Plataforma | Tipo de política |
---|---|
Android Enterprise | Intune perfil de restrições de dispositivo para gerenciar o: - Senha do dispositivo - Senha do perfil de trabalho |
AOSP | Intune perfil de restrições de dispositivo |
iOS/iPadOS | Intune perfil de restrições de dispositivo |
macOS | Intune perfil de restrições de dispositivo |
Cliente Windows | - Intune linhas de base de segurança (recomendado) – Intune perfil de restrições de dispositivo |
Para obter uma lista das configurações que você pode configurar, acesse:
- Perfil de restrições de dispositivo Android Enterprise:
- Perfil de restrições > de dispositivo ANDROID AOSP Senha do dispositivo
- Perfil de restrições > de dispositivoiOS/iPadOS Senha
- MacOS Device restrictions profile > Password
- Windows:
Atualizações de software
✔️ Instalar regularmente atualizações de software
Todos os dispositivos devem ser atualizados regularmente e as políticas devem ser criadas para garantir que essas atualizações sejam instaladas com êxito. Para a maioria das plataformas, Intune tem políticas dedicadas que se concentram no gerenciamento e instalação de atualizações.
Suas opções de política:
Plataforma | Tipo de política |
---|---|
Dispositivos de propriedade da organização Android Enterprise | Configurações de atualização do sistema usando Intune perfil de restrições de dispositivo |
Dispositivos de propriedade pessoal do Android Enterprise | Não disponível Pode usar políticas de conformidade para definir um nível mínimo de patch, versão mínima/máxima do sistema operacional e muito mais. |
iOS/iPadOS | Intune política de atualização |
macOS | Intune política de atualização |
Cliente Windows | - Intune política de atualizações de recursos - Intune política de atualizações aceleradas |
Para obter mais informações sobre esses recursos e/ou as configurações que você pode configurar, acesse:
- Perfil de restrições > do dispositivo Android Enterprise Atualização do sistema
- Políticas de atualização de softwareiOS/iPadOS
- políticas de atualização de softwaredo macOS
- Windows:
Nível 1 – Acessar email da organização, conectar-se a VPN ou Wi-Fi
Esta seção se concentra em acessar recursos em sua organização. Esses recursos incluem:
- Email para contas de trabalho ou de estudante
- Conexão VPN para conectividade remota
- Wi-Fi conexão para conectividade local
Muitas organizações implantam perfis de email com configurações pré-configuradas em dispositivos de usuário.
✔️ Conectar-se automaticamente às contas de email do usuário
O perfil inclui as configurações de configuração de email que se conectam ao servidor de email.
Dependendo das configurações configuradas, o perfil de email também pode conectar automaticamente os usuários às configurações de sua conta de email individual.
✔️ Usar aplicativos de email de nível empresarial
Email perfis em Intune usam aplicativos de email comuns e populares, como o Outlook. O aplicativo de email é implantado em dispositivos de usuário. Depois de implantado, você implantará o perfil de configuração do dispositivo de email com as configurações que configuram o aplicativo de email.
O perfil de configuração do dispositivo de email inclui configurações que se conectam ao Exchange.
✔️ Acessar email de trabalho ou escola
Criar um perfil de email é uma política de linha de base mínima comum para organizações com usuários que usam email em seus dispositivos.
Intune criou configurações de email para dispositivos cliente Android, iOS/iPadOS e Windows. Quando os usuários abrem seu aplicativo de email, eles podem se conectar, autenticar e sincronizar automaticamente suas contas de email organizacionais em seus dispositivos.
✔️ Implantar a qualquer momento
Em novos dispositivos, é recomendável implantar o aplicativo de email durante o processo de registro. Quando o registro for concluído, implante a política de configuração do dispositivo de email.
Se você tiver dispositivos existentes, implante o aplicativo de email a qualquer momento e implante a política de configuração do dispositivo de email.
Introdução aos perfis de email
Para começar:
Implante um aplicativo de email em seus dispositivos. Para obter algumas diretrizes, acesse Adicionar configurações de email a dispositivos usando Intune.
Crie um perfil de configuração de dispositivo de email no Intune. Dependendo do aplicativo de email que sua organização usa, o perfil de configuração do dispositivo de email pode não ser necessário.
Para obter algumas diretrizes, acesse Adicionar configurações de email a dispositivos usando Intune.
No perfil de configuração do dispositivo de email, configure as configurações para sua plataforma:
-
Dispositivos de propriedade da organização Android Enterprise não usam perfis de configuração de dispositivo de email.
-
Atribua o perfil de configuração do dispositivo de email a seus usuários ou grupos de usuários.
VPN
Muitas organizações implantam perfis VPN com configurações pré-configuradas em dispositivos de usuário. A VPN conecta seus dispositivos à sua rede de organização interna.
Se sua organização usa serviços de nuvem com autenticação moderna e identidades seguras, você provavelmente não precisa de um perfil VPN. Os serviços nativos de nuvem não exigem uma conexão VPN.
Se seus aplicativos ou serviços não são baseados em nuvem ou não são nativos de nuvem, é recomendável implantar um perfil VPN para se conectar à sua rede de organização interna.
✔️ Trabalhar de qualquer lugar
Criar um perfil VPN é uma política de linha de base mínima comum para organizações com trabalhadores remotos e trabalhadores híbridos.
À medida que os usuários trabalham de qualquer lugar, eles podem usar o perfil VPN para se conectar com segurança à rede da sua organização para acessar recursos.
Intune criou configurações de VPN para dispositivos cliente Android, iOS/iPadOS, macOS e Windows. Em dispositivos de usuário, sua conexão VPN é mostrada como uma conexão disponível. Os usuários o selecionam. E, dependendo das configurações em seu perfil VPN, os usuários podem autenticar e se conectar automaticamente à VPN em seus dispositivos.
✔️ Usar aplicativos VPN de nível empresarial
Perfis de VPN em Intune usam aplicativos VPN corporativos comuns, como Check Point, Cisco, Microsoft Tunnel e muito mais. O aplicativo VPN é implantado em dispositivos de usuário. Depois que o aplicativo for implantado, você implantará o perfil de conexão VPN com configurações que configuram o aplicativo VPN.
O perfil de configuração do dispositivo VPN inclui configurações que se conectam ao servidor VPN.
✔️ Implantar a qualquer momento
Em novos dispositivos, é recomendável implantar o aplicativo VPN durante o processo de registro. Quando o registro for concluído, implante a política de configuração do dispositivo VPN.
Se você tiver dispositivos existentes, implante o aplicativo VPN a qualquer momento e implante a política de configuração do dispositivo VPN.
Introdução aos perfis VPN
Para começar:
Implante um aplicativo VPN em seus dispositivos.
- Para obter uma lista de aplicativos VPN com suporte, acesse Aplicativos de conexão VPN com suporte em Intune.
- Para obter as etapas para adicionar aplicativos a Intune, acesse Adicionar aplicativos a Microsoft Intune.
No perfil de configuração do dispositivo VPN, configure as configurações para sua plataforma:
Atribua o perfil de configuração do dispositivo VPN a seus usuários ou grupos de usuários.
Wi-Fi
Muitas organizações implantam perfis Wi-Fi com configurações pré-configuradas em dispositivos de usuário. Se sua organização tiver uma força de trabalho somente remota, você não precisará implantar Wi-Fi perfis de conexão. Wi-Fi perfis são opcionais e são usados para conectividade local.
✔️ Conectar sem fio
À medida que os usuários trabalham de diferentes dispositivos móveis, eles podem usar o perfil Wi-Fi para se conectar sem fio e com segurança à rede da sua organização.
O perfil inclui as configurações de Wi-Fi que se conectam automaticamente à rede e/ou ao SSID (identificador do conjunto de serviços). Os usuários não precisam configurar manualmente suas configurações de Wi-Fi.
✔️ Suporte a dispositivos móveis locais
Criar um perfil de Wi-Fi é uma política de linha de base mínima comum para organizações com dispositivos móveis que funcionam localmente.
Intune criou configurações de Wi-Fi para dispositivos android, iOS/iPadOS, macOS e cliente Windows. Em dispositivos de usuário, sua conexão Wi-Fi é mostrada como uma conexão disponível. Os usuários o selecionam. E, dependendo das configurações em seu perfil Wi-Fi, os usuários podem autenticar e se conectar automaticamente ao Wi-Fi em seus dispositivos.
✔️ Implantar a qualquer momento
Em novos dispositivos, é recomendável implantar a política de configuração do dispositivo Wi-Fi quando os dispositivos se registrarem em Intune.
Se você tiver dispositivos existentes, poderá implantar a política de configuração do dispositivo Wi-Fi a qualquer momento.
Introdução aos perfis de Wi-Fi
Para começar:
Crie um perfil de configuração de dispositivo Wi-Fi no Intune.
Configure as configurações para sua plataforma:
Atribua o perfil de configuração do dispositivo Wi-Fi aos usuários ou grupos de usuários.
Nível 2 – Proteção e configuração aprimoradas
Esse nível se expande no que você configurou no nível 1 e adiciona mais segurança para seus dispositivos. Nesta seção, você cria um conjunto de políticas de nível 2 que configuram mais configurações de segurança para seus dispositivos.
A Microsoft recomenda as seguintes políticas de segurança de nível 2:
Habilite a criptografia de disco, a inicialização segura e o TPM em seus dispositivos. Esses recursos combinados com uma política PIN forte ou desbloqueio biométrico são recomendados nesse nível.
Em dispositivos Android, a criptografia de disco e o Samsung Knox podem ser incorporados ao sistema operacional. A criptografia de disco pode ser habilitada automaticamente quando você configura as configurações da tela de bloqueio. Em Intune, você pode criar uma política de restrições de dispositivo que configura configurações de tela de bloqueio.
Para obter uma lista das configurações de senha e tela de bloqueio que você pode configurar, acesse os seguintes artigos:
Expire senhas e regular o reutilização de senhas antigas. No Nível 1, você criou uma política forte de PIN ou senha. Se você ainda não tiver, certifique-se de configurar seus PINs & senhas expirarem e definir algumas regras de reutilização de senha.
Você pode usar Intune para criar uma política de restrições de dispositivo ou uma política de catálogo de configurações que configure essas configurações. Para obter mais informações sobre as configurações de senha que você pode configurar, acesse os seguintes artigos:
Em dispositivos Android, você pode usar políticas de restrições de dispositivo para definir regras de senha:
- Dispositivos de propriedade da organização – Configurações de senha do dispositivo
- Dispositivos de propriedade da organização – Configurações de senha de perfil de trabalho
- Dispositivos de propriedade pessoal – Configurações de senha de perfil de trabalho
- Dispositivos de propriedade pessoal – Configurações de senha do dispositivo
Intune inclui centenas de configurações que podem gerenciar recursos e configurações de dispositivos, como desabilitar a câmera interna, controlar notificações, permitir bluetooth, bloquear jogos e muito mais.
Você pode usar os modelos internos ou o catálogo de configurações para ver e configurar as configurações.
Os modelos de restrições de dispositivo têm muitas configurações internas que podem controlar diferentes partes dos dispositivos, incluindo segurança, hardware, compartilhamento de dados e muito mais.
Você pode usar esses modelos nas seguintes plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows
Use o catálogo Configurações para ver e configurar todas as configurações disponíveis. Você pode usar o catálogo de configurações nas seguintes plataformas:
- iOS/iPadOS
- macOS
- Windows
Use os modelos administrativos internos, semelhantes à configuração de modelos do ADMX local. Você pode usar os modelos do ADMX na seguinte plataforma:
- Windows
Se você usar GPOs locais e quiser saber se essas mesmas configurações estão disponíveis no Intune, use Política de Grupo análise. Esse recurso analisa seus GPOs e, dependendo da análise, pode importá-los para uma política de catálogo de configurações Intune.
Para obter mais informações, acesse Analisar seus GPOs locais e importá-los em Intune.
Nível 3 – Alta proteção e configuração
Esse nível se expande no que você configurou nos níveis 1 e 2. Ele adiciona recursos de segurança extras usados em organizações de nível empresarial.
Expanda a autenticação sem senha para outros serviços usados pela sua força de trabalho. No nível 1, você habilitou a biometria para que os usuários possam entrar em seus dispositivos com uma impressão digital ou reconhecimento facial. Nesse nível, expanda sem senha para outras partes da organização.
Use certificados para autenticar conexões de email, VPN e Wi-Fi. Os certificados são implantados em usuários e dispositivos e, em seguida, são usados pelos usuários para obter acesso aos recursos em sua organização por meio dessas conexões de email, VPN e Wi-Fi.
Para saber mais sobre como usar certificados no Intune, acesse:
Configure o SSO (logon único) para uma experiência mais perfeita quando os usuários abrem aplicativos empresariais, como aplicativos do Microsoft 365. Os usuários fazem logon uma vez e depois são conectados automaticamente a todos os aplicativos que dão suporte à configuração do SSO.
Para saber mais sobre como usar o SSO em Intune e Microsoft Entra ID, acesse:
Use a MFA (autenticação multifator). Quando você passa para sem senha, a MFA adiciona uma camada extra de segurança e pode ajudar a proteger sua organização contra ataques de phishing. Você pode usar o MFA com aplicativos autenticadores, como o Microsoft Authenticator ou com uma chamada telefônica ou mensagem de texto. Você também pode usar o MFA quando os usuários registram seus dispositivos em Intune.
A autenticação multifator é um recurso de Microsoft Entra ID e pode ser usada com contas Microsoft Entra. Para obter mais informações, confira:
Configure o Microsoft Tunnel para seus dispositivos Android e iOS/iPadOS. O Microsoft Tunnel usa o Linux para permitir que esses dispositivos acessem recursos locais usando autenticação moderna e acesso condicional.
O Microsoft Tunnel usa Intune, Microsoft Entra ID e Serviços de Federação do Active Directory (AD FS) (AD FS). Para obter mais informações, acesse Microsoft Tunnel para Microsoft Intune.
Além do Microsoft Tunnel para dispositivos registrados com Intune, você pode usar o Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) para estender recursos de túnel para dispositivos Android e iOS/iPad que não estão registrados com Intune. O túnel para MAM está disponível como um complemento Intune que requer uma licença extra.
Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Use a política laps (solução de senha do administrador local do Windows) para gerenciar e fazer backup da conta de administrador local interna em seus dispositivos Windows. Como a conta de administrador local não pode ser excluída e tem permissões completas para o dispositivo, o gerenciamento da conta de administrador interna do Windows é uma etapa importante para proteger sua organização. Intune política do Windows LAPS usa os recursos disponíveis para dispositivos Windows que executam a versão 21h2 ou posterior.
Para obter mais informações, consulte Intune suporte para o Windows LAPS.
Use Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune (EPM) para reduzir a superfície de ataque de seus dispositivos Windows. O EPM permite que você tenha usuários executados como usuários padrão (sem direitos de administrador) mas que permaneçam produtivos determinando quando esses usuários podem executar aplicativos em um contexto elevado.
As regras de elevação do EPM podem ser baseadas em hashes de arquivo, regras de certificado e muito mais. As regras que você configura ajudam a garantir que apenas os aplicativos esperados e confiáveis permitidos possam ser executados como elevados. As regras podem gerenciar os processos filho que um aplicativo cria, dar suporte a solicitações dos usuários para elevar um processo gerenciado e permitir elevações automáticas de arquivos que só precisam ser executados sem qualquer interrupção do usuário.
O Endpoint Privilege Management está disponível como um complemento Intune que requer uma licença extra. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Use o modo Critérios Comuns do Android em dispositivos Android que são usados por organizações altamente sensíveis, como estabelecimentos governamentais.
Para obter mais informações sobre esse recurso, acesse o modo Critérios Comuns do Android.
Crie políticas que se aplicam à camada de firmware do Windows. Essas políticas podem ajudar a impedir que o malware se comunique com os processos do sistema operacional Windows.
Para obter mais informações sobre esse recurso, acesse Usar perfis de DFCI (Interface de Configuração de Firmware de Dispositivo) em dispositivos Windows.
Configurar quiosques, dispositivos compartilhados e outros dispositivos especializados:
Android Enterprise:
Administrador de dispositivo Android
- Usar e gerenciar dispositivos Zebra com extensões de mobilidade zebra
- Configurações do dispositivo a serem executadas como um quiosque
Importante
Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento do Android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.
Implantar scripts de shell:
Siga as políticas mínimas de linha de base recomendadas
- Configurar o Microsoft Intune
- Adicionar, configurar e proteger aplicativos
- Planejar políticas de conformidade
- 🡺 Configurar recursos do dispositivo (Você está aqui)
- Registrar dispositivos
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de