Criar uma política de conformidade no Microsoft Intune
As políticas de conformidade do dispositivo são um recurso importante ao usar o Intune para proteger recursos da sua organização. No Intune, você pode criar regras e configurações que dispositivos precisam cumprir para serem considerados em conformidade, como uma verão mínima do sistema operacional. Se o dispositivo não está em conformidade, é possível bloquear o acesso aos dados e recursos usando o Acesso Condicional.
Você também pode executar ações por descumprimento, como enviar um email de notificação para o usuário. Para ver uma visão geral do que fazem as políticas de conformidade e como elas são usadas, confira a Introdução à conformidade do dispositivo.
Este artigo:
- Lista os pré-requisitos e as etapas para criar uma política de conformidade.
- Mostra como atribuir a política aos grupos de usuários e dispositivos.
- Descreve outros recursos, incluindo marcas de escopo para "filtrar" suas políticas e etapas que você pode executar em dispositivos que não estão em conformidade.
- Lista os tempos de ciclo de atualização de check-in quando os dispositivos recebem as atualizações da política.
Antes de começar
Para usar as políticas de conformidade do dispositivo, não deixe de:
Usar as seguintes assinaturas:
- Intune
- Se você usar o Acesso Condicional, precisará Microsoft Entra ID edição P1 ou P2. Microsoft Entra preço lista o que você obtém com as diferentes edições. Intune conformidade não requer Microsoft Entra ID.
Usar uma plataforma compatível:
- Administrador de dispositivo Android
- Android AOSP
- Android Enterprise
- iOS
- Linux – Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- macOS
- Windows 10/11
Importante
Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento do Android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.
Inscrever dispositivos no Intune (obrigatório para ver o status de conformidade)
Inscrever dispositivos para um usuário, ou inscrever sem um usuário primário. Dispositivos únicos não podem ser registrados em vários usuários.
Além das configurações de conformidade criadas para Intune, as seguintes plataformas dão suporte à adição de configurações de conformidade personalizadas às políticas de conformidade:
- Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- Windows 10/11
Antes de adicionar configurações personalizadas, você deve preparar um arquivo JSON personalizado que define as configurações em que deseja basear sua conformidade personalizada e um script executado em dispositivos para detectar as configurações definidas no JSON.
Para obter mais informações sobre como usar configurações de conformidade personalizadas, incluindo plataformas com suporte, pré-requisitos e como configurar a categoria Conformidade Personalizada ao criar uma política, consulte Usar configurações de conformidade personalizadas.
Criar a política
AcesseConformidadede dispositivos> e escolha Criar política.
Selecione uma Plataforma para essa política nas seguintes opções:
- Administrador de dispositivo Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux – (Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS)
- macOS
- Windows 8.1 e posterior
- Windows 10 e posterior
Para Android Enterprise, você também seleciona um Tipo de política:
- Perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa
- Perfil de trabalho de propriedade pessoal
Em seguida, selecione Criar para abrir a página de configuração.
Na guia Noções básicas, especifique um Nome que o ajude a identificá-la mais tarde. Por exemplo, um bom nome de política seria Marcar dispositivos do iOS/iPadOS com jailbreak como fora de conformidade.
Você também pode optar por especificar uma Descrição.
Na guia Configurações de conformidade, expanda as categorias disponíveis e defina as configurações de sua política. Os artigos a seguir descrevem as configurações de conformidade disponíveis para cada plataforma:
Adicione configurações personalizadas às políticas para plataformas com suporte.
Dica
Esta é uma etapa opcional com suporte apenas para as seguintes plataformas:
- Linux – Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- Windows 10/11 Antes de adicionar configurações personalizadas a uma política, você deve ter carregado um script de detecção para Intune e ter pronto um arquivo JSON que define as configurações que você deseja usar para conformidade. Consulte Configurações de conformidade personalizadas.
Na página Configurações de conformidade , expanda a categoria Conformidade Personalizada :
Para Windows:
- Na página Configurações de conformidade , expanda Conformidade Personalizada e defina conformidade personalizada como Obrigatório.
- Para Selecionar seu script de descoberta, selecione Clicar para selecionar e especifique um script que foi adicionado anteriormente ao centro de administração Microsoft Intune. Esse script deve ser carregado antes de começar a criar a política.
- Para Carregar e validar o arquivo JSON com suas configurações de conformidade personalizadas, selecione o ícone da pasta e localize e adicione o arquivo JSON para Windows que você deseja usar com essa política. Para obter assistência com o JSON, consulte Criar um JSON para configurações de conformidade personalizadas.
Para Linux:
- Na página Configurações de conformidade , selecione Adicionar configurações para abrir o painel Seletor de Configurações .
- Selecione Conformidade Personalizada e selecione 8.
- De volta à página Configurações de conformidade , selecione o alternância para Exigir Conformidade Personalizada para alterá-la para ser True.
- Para Selecionar seu script de descoberta, selecione Definir configurações reutilizáveis e especifique um script que foi adicionado anteriormente ao centro de administração Microsoft Intune. Esse script deve ter sido carregado antes de começar a criar a política.
- Para Selecionar o arquivo de regras, selecione o ícone de pasta e localize e adicione o arquivo JSON para Linux que você deseja usar com essa política. Para obter assistência com o JSON, consulte Criar um JSON para configurações de conformidade personalizadas.
O JSON inserido é validado e todos os problemas são exibidos. Após a validação do conteúdo JSON, as regras do JSON são exibidas no formato de tabela.
Na guia Ações para não conformidade, especifique uma sequência de ações a serem aplicadas automaticamente aos dispositivos que não atendem a essa política de conformidade.
Você pode adicionar várias ações e configurar agendas e detalhes para algumas ações. Por exemplo, você pode alterar o agendamento da ação padrão Marcar o dispositivo como não compatível para ocorrer após um dia. Você pode adicionar uma ação para enviar um email ao usuário quando o dispositivo não estiver em conformidade para avisá-lo desse status. Você também pode adicionar ações que bloqueiam ou retiram dispositivos que permanecem incompatíveis.
Para obter informações sobre as ações que você pode configurar, confira Adicionar ações para dispositivos não compatíveis, incluindo como criar emails de notificação para enviar aos usuários.
Outro exemplo inclui o uso de Locais, em que você adiciona pelo menos um local a uma política de conformidade. Nesse caso, a ação padrão para não conformidade se aplica quando você seleciona pelo menos um local. Se o dispositivo não estiver conectado a nenhum dos locais selecionados, será considerado que ele não está em conformidade. Você pode configurar o agendamento para dar aos usuários um período de cortesia, como um dia.
Na guia Marcas de escopo, selecione marcas para ajudar a filtrar políticas para grupos específicos, como
US-NC IT TeamouJohnGlenn_ITDepartment. Após adicionar as configurações, você também pode adicionar uma marca de escopo às políticas de conformidade.Para obter informações sobre o uso de marcas de escopo, confira Usar marcas de escopo para filtrar políticas.
Na guia Atribuições, atribua a política aos seus grupos.
Escolha + Selecionar grupos para incluir e atribua a política a um ou mais grupos. A política será aplicada a esses grupos quando você salvá-la após a próxima etapa.
As políticas para Linux não dão suporte a atribuições baseadas no usuário e só podem ser atribuídas a grupos de dispositivos.
Na guia Examinar + criar, examine as configurações e selecione Criar quando estiver pronto para salvar a política de conformidade.
Os usuários ou dispositivos direcionados pela sua política são avaliados em relação à conformidade durante o check-in com o Intune.
Tempos de ciclo de atualização
O Intune usa ciclos de atualização diferentes para verificar se há atualizações de políticas de conformidade. Se o registro do dispositivo for recente, a frequência de execução da verificação será maior. Os ciclos de atualização de política e perfil descrevem os tempos de atualização estimados.
A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa e sincronizar o dispositivo para verificar imediatamente as atualizações de políticas.
Atribuir um status de InGracePeriod
O status InGracePeriod para uma política de conformidade é um valor. Esse valor é determinado pela combinação do período de cortesia do dispositivo e status real de um dispositivo para essa política de conformidade.
Especificamente, se um dispositivo tem um status NonCompliant para uma política de conformidade atribuída, e:
- Não há um período de cortesia atribuído ao dispositivo, de modo que o valor atribuído à política de conformidade é NonCompliant
- O dispositivo tem um período de cortesia que expirou, de modo que o valor atribuído à política de conformidade é NonCompliant
- O dispositivo tem um período de cortesia no futuro, de modo que o valor atribuído à política de conformidade é InGracePeriod
A tabela a seguir resume estes pontos:
| Status de conformidade real | Valor do período de carência atribuído | Status de conformidade efetiva |
|---|---|---|
| NonCompliant | Nenhum período de carência atribuído | NonCompliant |
| NonCompliant | Data de ontem | NonCompliant |
| NonCompliant | Data de amanhã | InGracePeriod |
Para obter mais informações sobre como monitorar políticas de conformidade de dispositivo, consulte Monitorar políticas de conformidade de dispositivo do Intune.
Atribuir um status de política de conformidade resultante
Se um dispositivo tiver várias políticas de conformidade e diferentes status de conformidade para duas ou mais das políticas de conformidade atribuídas, um único status de conformidade resultante será atribuído. Essa atribuição é baseada em um nível de gravidade conceitual atribuído a cada status de conformidade. Cada status de conformidade tem o seguinte nível de gravidade:
| Status | Severity |
|---|---|
| Desconhecido | 1 |
| NotApplicable | 2 |
| Compatível com | 3 |
| InGracePeriod | 4 |
| NonCompliant | 5 |
| Error | 6 |
Quando um dispositivo tem várias políticas de conformidade, o mais alto nível de gravidade de todas as políticas é atribuído a esse dispositivo.
Por exemplo, um dispositivo tem três políticas de conformidade atribuídas a ele: um status Unknown (Desconhecido, gravidade = 1), um status Compliant (Em Conformidade, gravidade = 3) e um status InGracePeriod (Período de tolerância, gravidade = 4). O status InGracePeriod tem o nível mais alto de gravidade. Portanto, todas as três políticas têm o status de conformidade InGracePeriod.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de