Níveis de proteção e configuração no Microsoft Intune
Artigo
O Microsoft Intune dá aos administradores a capacidade de criar políticas que são aplicadas a utilizadores, dispositivos e aplicações. Estas políticas podem variar entre um conjunto mínimo e políticas mais seguras ou controladas. Estas políticas dependem das necessidades da organização, dos dispositivos utilizados e do que os dispositivos farão.
Quando estiver pronto para criar políticas, pode utilizar os diferentes níveis de proteção e configuração:
As suas necessidades de ambiente e negócio podem ter diferentes níveis definidos. Pode utilizar estes níveis como ponto de partida e, em seguida, personalizá-los de acordo com as suas necessidades. Por exemplo, pode utilizar as políticas de configuração do dispositivo no nível 1 e as políticas de aplicações no nível 3.
Escolha os níveis adequados para a sua organização. Não há uma escolha errada.
Nível 1 – Proteção e configuração mínimas
Este nível inclui políticas que todas as organizações devem ter, no mínimo. As políticas neste nível criam uma linha de base mínima de funcionalidades de segurança e dão aos utilizadores acesso aos recursos necessários para fazerem as suas tarefas.
Aplicações (nível 1)
Este nível impõe uma quantidade razoável de requisitos de acesso e proteção de dados e minimiza a interrupção do utilizador final. Este nível garante que as aplicações estão protegidas com um PIN & encriptação básica e executa operações de eliminação seletiva. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Este nível é uma configuração de nível de entrada que fornece um controlo de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online. Também introduz políticas de proteção de aplicações e ti e utilizadores finais.
Neste nível, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:
Ativar requisitos básicos de proteção de dados
Permitir a transferência de dados básicos da aplicação
Impor encriptação de aplicações básica
Permitir funcionalidades básicas de acesso
Ativar os requisitos básicos de acesso
Exigir PIN, ID facial e acesso biométrico
Impor o suporte das definições básicas de acesso
Ativar o início da aplicação condicional básica
Configurar tentativas de acesso básico da aplicação
Bloquear o acesso à aplicação com base em dispositivos desbloqueados por jailbreak/root
Restringir o acesso à aplicação com base na integridade básica dos dispositivos
Neste nível, a conformidade do dispositivo configura as definições ao nível do inquilino que se aplicam a todos os dispositivos. Também implementa políticas de conformidade mínimas em todos os dispositivos para impor um conjunto principal de requisitos de conformidade.
A Microsoft recomenda que estas configurações estejam implementadas antes de permitir que os dispositivos acedam aos recursos da sua organização. A conformidade do dispositivo de Nível 1 inclui:
As definições de política de conformidade são algumas definições ao nível do inquilino que afetam a forma como o serviço de conformidade do Intune funciona com os seus dispositivos.
As políticas de conformidade específicas da plataforma incluem definições para temas comuns entre plataformas. O nome e a implementação da definição reais podem variar consoante as diferentes plataformas:
Exigir antivírus, antisspyware e antimalware (apenas Windows)
Versão do sistema operacional
SO Máximo
SO mínimo
Versões de criação Secundárias e Principais
Níveis de patch do SO
Configurações de palavras-passe
Impor o ecrã de bloqueio após o período de inatividade, exigir uma palavra-passe ou afixar para desbloquear
Exigir palavras-passe complexas com combinações de letras, números e símbolos
Exigir uma palavra-passe ou PIN para desbloquear dispositivos
Exigir comprimento mínimo da palavra-passe
As ações de não conformidade são incluídas automaticamente em cada política específica da plataforma. Estas ações são uma ou mais ações ordenadas pelo tempo que configurar. Aplicam-se aos dispositivos que não cumprem os requisitos de conformidade da sua política. Por predefinição, marcar um dispositivo como não conforme é uma ação imediata fornecida com cada política.
Neste nível, os perfis incluem definições que se focam na segurança e no acesso a recursos. Especificamente, neste nível, a Microsoft recomenda que configure as seguintes funcionalidades:
Este nível expande o conjunto mínimo de políticas para incluir mais segurança e expandir a gestão de dispositivos móveis. As políticas neste nível protegem mais funcionalidades, fornecem proteção de identidade e gerem mais definições de dispositivos.
Utilize as definições neste nível para adicionar o que configurou no Nível 1.
Aplicações (nível 2)
Este nível recomenda um nível padrão de proteção de aplicações para dispositivos em que os utilizadores acedem a informações mais confidenciais. Este nível introduz mecanismos de prevenção de fuga de dados da política de proteção de aplicações e requisitos mínimos do SO. Este nível é a configuração aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais.
Além das definições de Nível 1, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:
Ativar requisitos de proteção de dados melhorados
Transferir dados relacionados com a organização
Isentar requisitos de transferência de dados de aplicações selecionadas (iOS/iPadOS)
Transferir dados de telecomunicações
Restringir cortar, copiar e colar entre aplicações
Bloquear captura de ecrã (Android)
Ativar a iniciação de aplicações condicionais melhorada
Bloquear a desativação de contas de aplicação
Impor requisitos mínimos do SO do dispositivo
Exigir a versão mínima do patch (Android)
Exigir tipo de avaliação do veredicto de integridade do Play (Android)
Exigir bloqueio do dispositivo (Android)
Permitir o acesso à aplicação com base no aumento da integridade do dispositivo
A este nível, a Microsoft recomenda a adição de opções mais granulares às suas políticas de conformidade. Muitas das definições neste nível têm nomes específicos da plataforma que fornecem resultados semelhantes. Seguem-se as categorias ou tipos de definições que a Microsoft recomenda que utilize quando estiverem disponíveis:
Aplicativos
Gerir onde os dispositivos obtêm aplicações, como o Google Play para Android
Permitir aplicações de localizações específicas
Bloquear aplicativos de fontes desconhecidas
Configurações de firewall
Definições da firewall (macOS, Windows)
Criptografia
Exigir a encriptação do armazenamento de dados
BitLocker (Windows)
FileVault (macOS)
Senhas
Expiração e reutilização de palavras-passe
Proteção de arranque e ficheiro ao nível do sistema
Bloquear a depuração USB (Android)
Bloquear dispositivos desbloqueados por jailbreak ou rooting (Android, iOS)
Exigir proteção da integridade do sistema (macOS)
Exigir integridade do código (Windows)
Exigir que o arranque seguro esteja ativado (Windows)
Este nível inclui políticas de nível empresarial e pode envolver diferentes administradores na sua organização. Estas políticas continuam a ser movidas para autenticação sem palavra-passe, têm mais segurança e configuram dispositivos especializados.
Utilize as definições neste nível para adicionar o que configurou nos Níveis 1 e 2.
Aplicações (nível 3)
Este nível recomenda um nível padrão de proteção de aplicações para dispositivos em que os utilizadores acedem a informações mais confidenciais. Este nível introduz proteção de dados avançada, configuração de PIN melhorada e política de proteção de aplicações com a Defesa Contra Ameaças para Dispositivos Móveis. Esta configuração destina-se a utilizadores que acedem a dados de alto risco.
Além das definições de nível 1 e 2, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:
Ativar requisitos de proteção de dados elevados
Proteção elevada ao transferir dados de telecomunicações
Receber dados apenas de aplicações geridas por políticas
Bloquear a abertura de dados em documentos da organização
Permitir que os usuários abram dados dos serviços selecionados
Bloquear parceiros indesejados ou teclados que não sejam da Microsoft
Exigir/selecionar teclados aprovados (Android)
Bloquear a impressão de dados da organização
Ativar requisitos de acesso elevado
Bloquear PIN simples e exigir comprimento mínimo do PIN específico
Exigir a reposição do PIN após o número de dias
Exigir Biometria de classe 3 (Android 9.0+)
Exigir a substituição de Biometria com PIN após atualizações biométricas (Android)
Ativar o lançamento de aplicações condicionais elevadas
A este nível, pode expandir as funcionalidades de conformidade incorporadas do Intune através das seguintes capacidades:
Integrar dados do parceiro de Defesa Contra Ameaças para Dispositivos Móveis (MTD)
Com um parceiro mtd, as políticas de conformidade podem exigir que os dispositivos estejam ao nível ou abaixo de um nível de ameaça de dispositivo ou classificação de risco da máquina, conforme determinado por esse parceiro.
Utilize um parceiro de conformidade não microsoft com o Intune.
Utilize scripts para adicionar definições de conformidade personalizadas às suas políticas para definições que não estão disponíveis na IU do Intune. (Windows, Linux)
Utilize dados de políticas de conformidade com políticas de Acesso Condicional para controlar o acesso aos recursos da sua organização.
Este nível centra-se nos serviços e funcionalidades de nível empresarial e pode exigir um investimento na infraestrutura. Neste nível, pode criar políticas que:
Expanda a autenticação sem palavra-passe para outros serviços na sua organização, incluindo a autenticação baseada em certificados, o início de sessão único para aplicações, a autenticação multifator (MFA) e o gateway de VPN do Túnel da Microsoft.
Expanda o Microsoft Tunnel ao implementar o Microsoft Tunnel para Gestão de Aplicações Móveis (Túnel para MAM), que expande o suporte do Túnel para dispositivos iOS e Android que não estão inscritos no Intune. O túnel para MAM está disponível como um suplemento do Intune.
Configure as funcionalidades do dispositivo que se aplicam à camada de firmware do Windows. Utilize o modo de critérios comuns do Android.
Utilize a política do Intune para a Solução de Palavra-passe de Administrador Local (LAPS) do Windows para ajudar a proteger a conta de administrador local incorporada nos seus dispositivos Windows geridos.
Proteger dispositivos Windows através do Endpoint Privilege Management (EPM). O EPM ajuda-o a executar os utilizadores da sua organização como utilizadores padrão (sem direitos de administrador) e permite que esses mesmos utilizadores concluam tarefas que requerem privilégios elevados.
Configure dispositivos especializados, como quiosques e dispositivos partilhados.
Implemente scripts, se necessário.
Para obter informações mais específicas sobre as políticas de configuração de dispositivos a este nível, aceda ao Nível 3 – Alta proteção e configuração.
Este roteiro de aprendizado explora os perfis de dispositivo do Intune, os benefícios dos perfis de usuário e como sincronizar dados de perfil em vários dispositivos.
Planeje e execute uma estratégia de implantação de ponto de extremidade, usando elementos essenciais de gerenciamento moderno, abordagens de cogerenciamento e integração com o Microsoft Intune.