Configurações de conformidade do dispositivo para Windows 10/11 no Intune

Este artigo lista e descreve as diferentes configurações de conformidade que você pode configurar em dispositivos Windows no Intune. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para exigir o BitLocker, definir um sistema operacional mínimo e máximo, definir um nível de risco usando Microsoft Defender para Ponto de Extremidade e muito mais.

Esse recurso aplica-se a:

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

Como administrador do Intune, use essas configurações de conformidade para ajudar a proteger seus recursos organizacionais. Para saber mais sobre políticas de conformidade e o que elas fazem, confira Introdução à conformidade do dispositivo.

Antes de começar

Crie uma política de conformidade. Em Plataforma, selecione Windows 10 e posteriores.

Integridade do dispositivo

Regras de avaliação do Serviço de Atestado de Integridade do Windows

• Exigir BitLocker:
  O Windows BitLocker Drive Encryption criptografa todos os dados armazenados no volume do sistema operacional Windows. O BitLocker usa o TPM (Trusted Platform Module) para ajudar a proteger o sistema operacional Windows e os dados do usuário. Ele também ajuda a confirmar que um computador não é adulterado, mesmo que ele fique autônomo, perdido ou roubado. Se o computador estiver equipado com um TPM compatível, o BitLocker usará o TPM para bloquear as chaves de criptografia que protegem os dados. Como resultado, as chaves não podem ser acessadas até que o TPM verifique o estado do computador.

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – o dispositivo pode proteger os dados armazenados na unidade contra acesso não autorizado quando o sistema está desativado ou hiberna.

  Dispositivo HealthAttestation CSP – BitLockerStatus

  Observação

  Se estiver usando uma política de conformidade de dispositivo no Intune, esteja ciente de que o estado dessa configuração só será medido na hora da inicialização. Portanto, mesmo que a criptografia BitLocker possa ter sido concluída - uma reinicialização será necessária para que o dispositivo detecte isso e se torne compatível. Para obter mais informações, confira o blog de suporte da Microsoft a seguir no Atestado de Integridade do Dispositivo.

• Exigir que a Inicialização Segura seja habilitada no dispositivo:

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Obrigatório – o sistema é forçado a inicializar em um estado confiável de fábrica. Os principais componentes usados para inicializar o computador devem ter assinaturas criptográficas corretas confiáveis pela organização que fabricou o dispositivo. O firmware UEFI verifica a assinatura antes de permitir que o computador comece. Se algum arquivo for adulterado, o que interromperá sua assinatura, o sistema não será inicializado.

  Observação

  A Inicialização Segura necessária para ser habilitada na configuração do dispositivo tem suporte em alguns dispositivos TPM 1.2 e 2.0. Para dispositivos que não dão suporte ao TPM 2.0 ou posterior, o status de política no Intune mostra como Não Compatível. Para obter mais informações sobre versões com suporte, consulte Atestado de Integridade do Dispositivo.

• Exigir integridade de código:
  A integridade do código é um recurso que valida a integridade de um driver ou arquivo do sistema sempre que ele é carregado na memória.

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir - Exigir integridade de código, que detecta se um driver ou arquivo do sistema não assinado está sendo carregado no kernel. Ele também detecta se um arquivo do sistema é alterado por software mal-intencionado ou executado por uma conta de usuário com privilégios de administrador.

Mais recursos:

• Para obter detalhes sobre como funciona o serviço de Atestado de Integridade, confira Atestado de Integridade CSP.
• Dica de suporte: usando configurações de atestado de integridade do dispositivo como parte da política de conformidade do Intune.

Propriedades do Dispositivo

Versão do sistema operacional

Para descobrir versões de build para todas as Windows 10/11 Atualizações de recursos e Atualizações Cumulativo (a serem usadas em alguns dos campos abaixo), consulte Informações de versão do Windows. Certifique-se de incluir o prefixo de versão apropriado antes dos números de build, como 10.0 para Windows 10 como ilustram os exemplos a seguir.

• Versão mínima do sistema operacional:
  Insira a versão mínima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra um prompt de comando e digite ver. O ver comando retorna a versão no seguinte formato:

  Microsoft Windows [Version 10.0.17134.1]

  Quando um dispositivo tem uma versão anterior da versão do sistema operacional inserida, ele é relatado como não compatível. Um link com informações sobre como atualizar é mostrado. O usuário final pode optar por atualizar seu dispositivo. Após a atualização, eles podem acessar os recursos da empresa.

• Versão máxima do sistema operacional:
  Insira a versão máxima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra um prompt de comando e digite ver. O ver comando retorna a versão no seguinte formato:

  Microsoft Windows [Version 10.0.17134.1]

  Quando um dispositivo está usando uma versão do sistema operacional mais tarde do que a versão inserida, o acesso aos recursos da organização é bloqueado. O usuário final é solicitado a entrar em contato com o administrador de TI. O dispositivo não pode acessar recursos da organização até que a regra seja alterada para permitir a versão do sistema operacional.

• Sistema operacional mínimo necessário para dispositivos móveis:
  Insira a versão mínima permitida no formato principal.minor.build number.

  Quando um dispositivo tem uma versão anterior da versão do sistema operacional inserida, ele é relatado como não compatível. Um link com informações sobre como atualizar é mostrado. O usuário final pode optar por atualizar seu dispositivo. Após a atualização, eles podem acessar os recursos da empresa.

• Sistema operacional máximo necessário para dispositivos móveis:
  Insira a versão máxima permitida no número major.minor.build.

  Quando um dispositivo está usando uma versão do sistema operacional mais tarde do que a versão inserida, o acesso aos recursos da organização é bloqueado. O usuário final é solicitado a entrar em contato com o administrador de TI. O dispositivo não pode acessar recursos da organização até que a regra seja alterada para permitir a versão do sistema operacional.

• Builds válidos do sistema operacional:
  Especifique uma lista de builds mínimos e máximos do sistema operacional. Builds de sistema operacional válidos fornecem flexibilidade adicional quando comparados com versões mínimas e máximas do sistema operacional. Considere um cenário em que a versão mínima do sistema operacional é definida como 10.0.18362.xxx (Windows 10 1903) e a versão máxima do sistema operacional está definida como 10.0.18363.xxx (Windows 10 1909). Essa configuração pode permitir que um dispositivo Windows 10 1903 que não tenha atualizações cumulativas recentes instaladas seja identificado como compatível. Versões mínimas e máximas do sistema operacional podem ser adequadas se você tiver padronizado em uma única versão Windows 10, mas talvez não resolva seus requisitos se precisar usar vários builds, cada um com níveis de patch específicos. Nesse caso, considere aproveitar builds válidos do sistema operacional, o que permite que vários builds sejam especificados de acordo com o exemplo a seguir.

  O maior valor com suporte para cada um dos campos de versão, principal, menor e build é 65535. Por exemplo, o maior valor que você pode inserir é 65535.65535.65535.65535.65535.

  Exemplo:
  A tabela a seguir é um exemplo de um intervalo para as versões de sistemas operacionais aceitáveis para versões Windows 10 diferentes. Neste exemplo, três Atualizações de recursos diferentes foram permitidos (1809, 1909 e 2004). Especificamente, somente essas versões do Windows e que aplicaram atualizações cumulativas de junho a setembro de 2020 serão consideradas em conformidade. São apenas dados de exemplo. A tabela inclui uma primeira coluna que inclui qualquer texto que você deseja descrever a entrada, seguido pela versão mínima e máxima do sistema operacional para essa entrada. A segunda e a terceira colunas devem aderir a versões válidas de build do sistema operacional no formato major.minor.build.revision number . Depois de definir uma ou mais entradas, você pode exportar a lista como um arquivo CSV (valores separados por vírgulas).

  Descrição	Versão mínima do sistema operacional	Versão máxima do sistema operacional
  Vitória 10 2004 (jun-sept 2020)	10.0.19041.329	10.0.19041.508
  Vitória 10 1909 (jun-sept 2020)	10.0.18363.900	10.0.18363.1110
  Vitória 10 1809 (jun-sept 2020)	10.0.17763.1282	10.0.17763.1490

  Observação

  Se você especificar vários intervalos de builds de versão do sistema operacional em sua política e um dispositivo tiver um build fora dos intervalos em conformidade, Portal da Empresa notificará o usuário do dispositivo de que o dispositivo não está compatível com essa configuração. No entanto, esteja ciente de que, devido a limitações técnicas, a mensagem de correção de conformidade mostra apenas o primeiro intervalo de versão do sistema operacional especificado na política. Recomendamos que você documente os intervalos de versões aceitáveis do sistema operacional para dispositivos gerenciados em sua organização.

Conformidade Configuration Manager

Aplica-se apenas a dispositivos cogerenciados que executam Windows 10/11. Os dispositivos somente intune retornam um status não disponível.

• Exigir a conformidade do dispositivo de Configuration Manager:
  • Não configurado (padrão) – o Intune não marcar para nenhuma das configurações de Configuration Manager para conformidade.
  • Exigir – exigir que todas as configurações (itens de configuração) no Configuration Manager estejam em conformidade.

Segurança do Sistema

Senha

• Exigir uma senha para desbloquear dispositivos móveis:

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – os usuários devem inserir uma senha antes de poderem acessar seu dispositivo.

• Senhas simples:

  • Não configurado (padrão) – os usuários podem criar senhas simples, como 1234 ou 1111.
  • Bloquear – os usuários não podem criar senhas simples, como 1234 ou 1111.

• Tipo de senha:
  Escolha o tipo de senha ou PIN necessário. Suas opções:

  • Padrão do dispositivo (padrão) – Exigir uma senha, PIN numérico ou PIN alfanumérico
  • Numérico – Exigir uma senha ou PIN numérico
  • Alfanumérico – Exigir uma senha ou PIN alfanumérico.

  Quando definido como Alphanumeric, as seguintes configurações estão disponíveis:

  • Complexidade de senha:
    Suas opções:

    • Exigir dígitos e letras minúsculas (padrão)
    • Exigir dígitos, letras minúsculas e letras maiúsculas
    • Exigir dígitos, letras minúsculas, letras maiúsculas e caracteres especiais

    Dica

    As políticas de senha alfanuméricas podem ser complexas. Incentivamos os administradores a ler os CSPs para obter mais informações:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Comprimento mínimo da senha:
  Insira o número mínimo de dígitos ou caracteres que a senha deve ter.

• Minutos máximos de inatividade antes que a senha seja necessária:
  Insira o tempo ocioso antes que o usuário precise reentrar sua senha.

• Expiração de senha (dias):
  Insira o número de dias antes da expiração da senha e eles devem criar um novo, de 1 a 730.

• Número de senhas anteriores para impedir a reutilização:
  Insira o número de senhas usadas anteriormente que não podem ser usadas.

• Exigir senha quando o dispositivo retornar do estado ocioso (Móvel e Holográfico):

  • Não configurado (padrão)
  • Exigir – exigir que os usuários do dispositivo insiram a senha sempre que o dispositivo retornar de um estado ocioso.

  Importante

  Quando o requisito de senha é alterado em uma área de trabalho do Windows, os usuários são afetados na próxima vez que entrarem, pois é quando o dispositivo passa de ocioso para ativo. Os usuários com senhas que atendem ao requisito ainda são solicitados a alterar suas senhas.

Criptografia

• Criptografia do armazenamento de dados em um dispositivo:
  Essa configuração se aplica a todas as unidades em um dispositivo.

  • Não configurado (padrão)
  • Exigir – Use Exigir para criptografar o armazenamento de dados em seus dispositivos.

  DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

  Observação

  A criptografia do armazenamento de dados em uma configuração de dispositivo verifica genericamente a presença de criptografia no dispositivo, mais especificamente no nível da unidade do sistema operacional. Atualmente, o Intune dá suporte apenas ao marcar de criptografia com o BitLocker. Para uma configuração de criptografia mais robusta, considere usar o Require BitLocker, que aproveita o Atestado de Integridade do Dispositivo Windows para validar o BitLocker status no nível do TPM. No entanto, ao aproveitar essa configuração, esteja ciente de que uma reinicialização pode ser necessária antes que o dispositivo reflita como compatível.

Segurança do dispositivo

• Firewall:

  • Não configurado (padrão) – o Intune não controla o Firewall do Windows nem altera as configurações existentes.
  • Exigir – ative o Firewall do Windows e impeça que os usuários o desativem.

  CSP do Firewall

  Observação

  • Se o dispositivo sincronizar imediatamente após uma reinicialização ou sincronizar imediatamente o despertar do sono, essa configuração poderá relatar como um erro. Esse cenário pode não afetar o status geral de conformidade do dispositivo. Para reavaliar o status de conformidade, sincronize manualmente o dispositivo.

  • Se uma configuração for aplicada (por exemplo, por meio de uma política de grupo) a um dispositivo que configura o Firewall do Windows para permitir todo o tráfego de entrada ou desativar o firewall, a configuração do Firewall para Exigir retornará Não em conformidade, mesmo que a política de configuração do dispositivo do Intune ative o Firewall. Isso ocorre porque o objeto de política de grupo substitui a política do Intune. Para corrigir esse problema, recomendamos remover todas as configurações de política de grupo conflitantes ou migrar as configurações de política de grupo relacionadas ao Firewall para a política de configuração do dispositivo do Intune. Em geral, recomendamos que você mantenha as configurações padrão, incluindo bloquear conexões de entrada. Para obter mais informações, confira Melhores práticas para configurar o Firewall do Windows.

• TPM (Trusted Platform Module):

  • Não configurado (padrão) – o Intune não marcar o dispositivo para uma versão do chip TPM.
  • Exigir – o Intune verifica a versão do chip TPM para conformidade. O dispositivo estará em conformidade se a versão do chip TPM for maior que 0 (zero). O dispositivo não estará em conformidade se não houver uma versão do TPM no dispositivo.

  DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

• Antivírus:

  • Não configurado (padrão) – o Intune não marcar para soluções antivírus instaladas no dispositivo.
  • Exigir – Verifique a conformidade usando soluções antivírus registradas no Centro de Segurança do Windows, como symantec e Microsoft Defender. Quando definido como Obrigatório, um dispositivo que tem seu software Antivírus desabilitado ou desatualizado não é compatível.

  DeviceStatus CSP – DeviceStatus/Antivírus/Status

• Antispyware:

  • Não configurado (padrão) – o Intune não marcar para soluções antispyware instaladas no dispositivo.
  • Exigir – Verifique a conformidade usando soluções antispyware registradas no Segurança do Windows Center, como symantec e Microsoft Defender. Quando definido como Obrigatório, um dispositivo que tem seu software antimalware desabilitado ou desatualizado não é compatível.

  DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

As seguintes configurações de conformidade têm suporte com Windows 10/11 Desktop.

• Microsoft Defender Antimalware:

  • Não configurado (padrão) – o Intune não controla o serviço nem altera as configurações existentes.
  • Exigir – ative o Microsoft Defender serviço anti-malware e impeça que os usuários o desativem.

• Microsoft Defender versão mínima do Antimalware:
  Insira a versão mínima permitida de Microsoft Defender serviço anti-malware. Por exemplo, digite 4.11.0.0. Quando deixado em branco, qualquer versão do serviço anti-malware Microsoft Defender pode ser usada.

  Por padrão, nenhuma versão está configurada.

• Microsoft Defender inteligência de segurança antimalware atualizada:
  Controla as atualizações de Segurança do Windows vírus e proteção contra ameaças nos dispositivos.

  • Não configurado (padrão) – o Intune não impõe nenhum requisito.
  • Exigir – force o Microsoft Defender a inteligência de segurança esteja atualizada.

  Defender CSP – Defender/Integridade/SignatureOutOfDate CSP

  Para obter mais informações, consulte Atualizações de inteligência de segurança para Microsoft Defender Antivírus e outros antimalware da Microsoft.

• Proteção em tempo real:

  • Não configurado (padrão) – o Intune não controla esse recurso nem altera as configurações existentes.
  • Exigir – ativar a proteção em tempo real, que verifica malware, spyware e outros softwares indesejados.

  Política CSP – Defender/PermitirRealtimeMonitoring CSP

Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade regras

Para obter informações adicionais sobre Microsoft Defender para Ponto de Extremidade integração em cenários de acesso condicional, consulte Configurar acesso condicional em Microsoft Defender para Ponto de Extremidade.

• Exija que o dispositivo esteja em ou sob a pontuação de risco do computador:
  Use essa configuração para fazer a avaliação de risco de seus serviços de ameaças de defesa como condição para conformidade. Escolha o nível máximo de ameaça permitido:

  • Não configurado (padrão)
  • Limpar -Essa opção é a mais segura, pois o dispositivo não pode ter ameaças. Se o dispositivo for detectado como tendo qualquer nível de ameaças, ele será avaliado como não compatível.
  • Baixo – o dispositivo é avaliado como compatível se apenas ameaças de baixo nível estiverem presentes. Qualquer coisa mais alta coloca o dispositivo em um status não compatível.
  • Médio – o dispositivo é avaliado como compatível se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se o dispositivo for detectado com ameaças de alto nível, ele será determinado como não compatível.
  • Alta – essa opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se você estiver usando essa solução apenas para fins de relatório.

  Para configurar Microsoft Defender para Ponto de Extremidade como seu serviço de ameaças de defesa, consulte Habilitar Microsoft Defender para Ponto de Extremidade com acesso condicional.

Windows Holographic for Business

Windows Holographic for Business usa a plataforma Windows 10 e posterior. Windows Holographic for Business dá suporte à seguinte configuração:

• Segurança do> SistemaCriptografia>Criptografia do armazenamento de dados no dispositivo.

Para verificar a criptografia do dispositivo no Microsoft HoloLens, consulte Verificar a criptografia do dispositivo.

Surface Hub

O Surface Hub usa a plataforma Windows 10 e posterior. Há suporte para hubs surface para conformidade e acesso condicional. Para habilitar esses recursos no Surface Hubs, recomendamos habilitar o registro automático do Windows no Intune (requer Microsoft Entra ID) e direcionar os dispositivos do Surface Hub como grupos de dispositivos. Os Hubs surface devem ser Microsoft Entra ingressados para que a conformidade e o Acesso Condicional funcionem.

Para obter diretrizes, consulte configurar o registro para dispositivos Windows.

Consideração especial para os Hubs surface que executam Windows 10/11 Team OS:
Os Hubs surface que executam Windows 10/11 Team OS não dão suporte às políticas de conformidade de Microsoft Defender para Ponto de Extremidade e senha no momento. Portanto, para Hubs de Surface que executam Windows 10/11 Team OS, defina as duas configurações a seguir como o padrão de Não configurado:

• Na categoria Senha, defina Exigir uma senha para desbloquear dispositivos móveis para o padrão de Não configurado.

• Na categoria Microsoft Defender para Ponto de Extremidade, defina Exigir que o dispositivo esteja em ou na pontuação de risco do computador como o padrão de Não configurado.

Próximas etapas

• Adicione ações para dispositivos não compatíveis e use marcas de escopo para filtrar políticas.
• Monitore suas políticas de conformidade.
• Consulte as configurações de política de conformidade para dispositivos Windows 8.1.