Gerenciar a segurança do ponto de extremidade no Microsoft Intune

Como Administração de segurança, use o nó de segurança do Ponto de Extremidade em Intune para configurar a segurança do dispositivo e gerenciar tarefas de segurança para dispositivos quando esses dispositivos estiverem em risco. As políticas de segurança do Ponto de Extremidade são projetadas para ajudar você a se concentrar na segurança de seus dispositivos e reduzir o risco. As tarefas disponíveis podem ajudá-lo a identificar dispositivos em risco, corrigir esses dispositivos e restaurá-los em um estado compatível ou mais seguro.

O nó de segurança do Ponto de Extremidade agrupa as ferramentas disponíveis por meio de Intune que você pode usar para manter os dispositivos seguros:

• Examine o status de todos os seus dispositivos gerenciados. Use a exibição Todos os dispositivos em que você pode exibir a conformidade do dispositivo de um nível alto. Em seguida, faça um detalhamento em dispositivos específicos para entender quais políticas de conformidade não são atendidas para que você possa resolve-las.

• Implante linhas de base de segurança que estabelecem configurações de segurança de prática recomendada para dispositivos. Intune inclui linhas de base de segurança para dispositivos Windows e uma lista crescente de aplicativos, como Microsoft Defender para Ponto de Extremidade e Microsoft Edge. As linhas de base de segurança são grupos pré-configurados de configurações do Windows que ajudam você a aplicar uma configuração recomendada das equipes de segurança relevantes.

• Gerenciar configurações de segurança em dispositivos por meio de políticas bem focadas. Cada política de segurança do Ponto de Extremidade se concentra em aspectos da segurança do dispositivo, como antivírus, criptografia de disco, firewalls e várias áreas disponibilizadas por meio da integração com Microsoft Defender para Ponto de Extremidade.

• Estabelecer requisitos de dispositivo e usuário por meio da política de conformidade. Com as políticas de conformidade, você define as regras que dispositivos e usuários devem atender para serem consideradas compatíveis. As regras podem incluir versões do sistema operacional, requisitos de senha, níveis de ameaça do dispositivo e muito mais.

  Ao integrar-se a Microsoft Entra políticas de Acesso Condicional para impor políticas de conformidade, você pode acessar recursos corporativos para dispositivos gerenciados e dispositivos que ainda não são gerenciados.

• Integre Intune com sua equipe de Microsoft Defender para Ponto de Extremidade. Ao integrar com Microsoft Defender para Ponto de Extremidade você obtém acesso a tarefas de segurança. As tarefas de segurança associam Microsoft Defender para Ponto de Extremidade e Intune para ajudar sua equipe de segurança a identificar dispositivos que estão em risco e distribuir etapas detalhadas de correção para Intune administradores que podem agir.

As seções a seguir deste artigo discutem as diferentes tarefas que você pode fazer a partir do nó de segurança do ponto de extremidade do centro de administração e das permissões RBAC (controle de acesso baseado em função) necessárias para usá-las.

Visão geral de segurança do ponto de extremidade

Quando você abre o nó de segurança do Ponto de Extremidade no centro de administração Microsoft Intune, ele é padrão para a página Visão geral.

A página Visão geral de segurança do ponto de extremidade apresenta uma dashboard consolidada com exibições e informações que são extraídas dos nós mais focados da segurança do ponto de extremidade, incluindo Antivírus, detecção e resposta do Ponto de Extremidade e Microsoft Defender para Ponto de Extremidade:

• Status do Conector do Defender para Ponto de Extremidade – essa exibição exibe o status atual para o Conector do Defender para Ponto de Extremidade em todo o locatário. O rótulo para essa exibição também serve como um link para abrir o portal Microsoft Defender para Ponto de Extremidade.

  Essa mesma exibição está disponível na guia Resumo do nó de política de detecção e resposta do ponto de extremidade.

• Dispositivos Windows integrados ao Defender para Ponto de Extremidade – esta tabela exibe o status em todo o locatário para integração do EDR (detecção e resposta) de ponto de extremidade, com contagens de dispositivos que estão e não estão integrados. O rótulo para essa exibição é um link que abre a guia Resumo do nó de política de detecção e resposta do Ponto de Extremidade.

  Dois links adicionais estão incluídos:

  • Implantar política pré-configurada – este link abre o nó de política para detecção e resposta de ponto de extremidade em que você pode implantar uma política para integrar dispositivos ao Defender.

  • Integrar dispositivos ao Defender para Ponto de Extremidade – um link para abrir o portal do Defender, no qual você pode tomar outras etapas para integrar dispositivos fora do fluxo de trabalho simplificado do Intune.

• Agente antivírus status – essa exibição exibe os detalhes de resumo do relatório status do agente antivírus do Intune, caso contrário, disponível no centro de administração Intune acessando Relatórios>Microsoft Defender Antivírus, onde o relatório está na guia Resumo.

• Outros relatórios de monitoramento – Esta seção inclui blocos que abrem relatórios adicionais Microsoft Defender Antivírus, incluindo o Status do Firewall de Malware Detectado. Outro bloco abre o portal do Defender onde você pode exibir dados de integridade do sensor e antivírus.

Gerenciar dispositivos

O nó de segurança do Ponto de Extremidade inclui a exibição Todos os dispositivos, em que você pode exibir uma lista de todos os dispositivos do Microsoft Entra ID disponíveis no Microsoft Intune.

Nesse modo de exibição, você pode selecionar dispositivos para detalhar para obter mais informações como com quais políticas um dispositivo não está em conformidade. Você também pode usar o acesso desse modo de exibição para corrigir problemas para um dispositivo, incluindo, reiniciar um dispositivo, iniciar uma verificação de malware ou girar chaves BitLocker em um dispositivo Windows 10.

Para obter mais informações, consulte Gerenciar dispositivos com segurança de ponto de extremidade em Microsoft Intune.

Gerenciar linhas de base de segurança

As linhas de base de segurança em Intune são grupos pré-configurados de configurações que são recomendações de melhores práticas das equipes de segurança relevantes da Microsoft para o produto. Intune dá suporte a linhas de base de segurança para configurações de dispositivo Windows 10/11, Microsoft Edge, Microsoft Defender para Ponto de Extremidade Protection e muito mais.

Você pode usar linhas de base de segurança para implantar rapidamente uma configuração de prática recomendada de configurações de dispositivo e aplicativo para proteger seus usuários e dispositivos. Há suporte para linhas de base de segurança para dispositivos que executam Windows 10 versão 1809 e posterior e Windows 11.

Para obter mais informações, confira Usar linhas de base de segurança para configurar dispositivos com Windows no Intune.

As linhas de base de segurança são um dos vários métodos em Intune para configurar configurações em dispositivos. Ao gerenciar configurações, é importante entender quais outros métodos estão em uso em seu ambiente que podem configurar seus dispositivos para que você possa evitar conflitos. Consulte Evitar conflitos de política posteriormente neste artigo.

Examinar tarefas de segurança de Microsoft Defender para Ponto de Extremidade

Ao integrar Intune com Microsoft Defender para Ponto de Extremidade, você pode examinar tarefas de segurança em Intune que identificam dispositivos em risco e fornecem etapas para mitigar esse risco. Em seguida, você pode usar as tarefas para relatar a Microsoft Defender para Ponto de Extremidade quando esses riscos forem mitigados com êxito.

• Sua equipe Microsoft Defender para Ponto de Extremidade determina quais dispositivos estão em risco e passa essas informações para sua equipe Intune como uma tarefa de segurança. Com alguns cliques, eles criam uma tarefa de segurança para Intune que identifica os dispositivos em risco, a vulnerabilidade e fornece diretrizes sobre como mitigar esse risco.

• Os administradores do Intune revisam as tarefas de segurança e, em seguida, atuam dentro de Intune para corrigir essas tarefas. Depois de atenuada, ela define a tarefa para ser concluída, que comunica que status de volta à equipe Microsoft Defender para Ponto de Extremidade.

Por meio de tarefas de segurança, ambas as equipes permanecem em sincronização sobre quais dispositivos estão em risco e como e quando esses riscos são corrigidos.

Para saber mais sobre como usar tarefas de segurança, consulte Usar Intune para corrigir vulnerabilidades identificadas por Microsoft Defender para Ponto de Extremidade.

Usar políticas para gerenciar a segurança do dispositivo

Como administrador de segurança, use as políticas de segurança encontradas em Gerenciar no nó de segurança do Ponto de Extremidade. Com essas políticas, você pode configurar a segurança do dispositivo sem precisar navegar pelo corpo maior e pelo intervalo de configurações em perfis de configuração de dispositivo ou linhas de base de segurança.

Para saber mais sobre como usar essas políticas de segurança, consulte Gerenciar a segurança do dispositivo com políticas de segurança de ponto de extremidade.

As políticas de segurança do ponto de extremidade são um dos vários métodos em Intune para configurar configurações em dispositivos. Ao gerenciar configurações, é importante entender quais outros métodos estão em uso em seu ambiente que podem configurar seus dispositivos e evitar conflitos. Consulte Evitar conflitos de política posteriormente neste artigo.

Também são encontradas em Gerenciar as políticas de conformidade do dispositivo e de acesso condicional . Esses tipos de políticas não são políticas de segurança focadas para configurar pontos de extremidade, mas são ferramentas importantes para gerenciar dispositivos e acessar seus recursos corporativos.

Usar a política de conformidade do dispositivo

Use a política de conformidade do dispositivo para estabelecer as condições pelas quais dispositivos e usuários têm permissão para acessar a rede e os recursos da empresa.

As configurações de conformidade disponíveis dependem da plataforma que você usa, mas as regras de política comuns incluem:

• Exigir que os dispositivos executem uma versão mínima ou específica do sistema operacional
• Configurando requisitos de senha
• Especificando um nível máximo permitido de ameaça de dispositivo, conforme determinado por Microsoft Defender para Ponto de Extremidade ou outro parceiro de Defesa contra Ameaças Móveis

Além das regras de política, as políticas de conformidade dão suporte a Ações por descumprimento. Essas ações são uma sequência de ações ordenadas pelo tempo a serem aplicadas a dispositivos não compatíveis. As ações incluem o envio de email ou notificações para alertar os usuários do dispositivo sobre a não conformidade, bloquear dispositivos remotamente ou até mesmo retirar dispositivos não compatíveis e remover todos os dados da empresa que possam estar nele.

Quando você integra Intune Microsoft Entra políticas de Acesso Condicional para impor políticas de conformidade, o acesso condicional pode usar os dados de conformidade para acessar os recursos corporativos para dispositivos gerenciados e de dispositivos que você não gerencia.

Para saber mais, confira Definir regras em dispositivos para permitir o acesso a recursos em sua organização usando Intune.

As políticas de conformidade do dispositivo são um dos vários métodos em Intune para configurar configurações em dispositivos. Ao gerenciar configurações, é importante entender quais outros métodos estão em uso em seu ambiente que podem configurar seus dispositivos e evitar conflitos. Consulte Evitar conflitos de política posteriormente neste artigo.

Configurar acesso condicional

Para proteger seus dispositivos e recursos corporativos, você pode usar Microsoft Entra políticas de Acesso Condicional com Intune.

Intune passa os resultados das políticas de conformidade do dispositivo para Microsoft Entra, que usa políticas de acesso condicional para impor quais dispositivos e aplicativos podem acessar seus recursos corporativos. As políticas de acesso condicional também ajudam a acessar o portão para dispositivos que você não gerencia com Intune e podem usar detalhes de conformidade de parceiros de Defesa contra Ameaças Móveis que você integra com Intune.

A seguir estão dois métodos comuns de uso do acesso condicional com Intune:

• Acesso condicional baseado em dispositivo, para garantir que apenas dispositivos gerenciados e compatíveis possam acessar recursos de rede.
• Acesso condicional baseado em aplicativo, que usa políticas de proteção de aplicativo para gerenciar o acesso aos recursos de rede por usuários em dispositivos que você não gerencia com Intune.

Para saber mais sobre como usar o acesso condicional com Intune, consulte Saiba mais sobre acesso condicional e Intune.

Configurar a Integração com Microsoft Defender para Ponto de Extremidade

Ao integrar Microsoft Defender para Ponto de Extremidade com Intune, você melhora sua capacidade de identificar e responder aos riscos.

Embora Intune possa se integrar a vários parceiros de Defesa contra Ameaças Móveis, quando você usa Microsoft Defender para Ponto de Extremidade obtém uma integração estreita entre Microsoft Defender para Ponto de Extremidade e Intune com acesso a opções de proteção de dispositivo profundo, incluindo:

• Tarefas de segurança – comunicação perfeita entre o Defender para Ponto de Extremidade e Intune administradores sobre dispositivos em risco, como corrigi-los e confirmação quando esses riscos são mitigados.
• Integração simplificada para Microsoft Defender para Ponto de Extremidade em clientes.
• Uso de sinais de risco de dispositivo do Defender para Ponto de Extremidade em políticas de conformidade Intune e políticas de proteção de aplicativo.
• Acesso a recursos de proteção contra adulteração .

Para saber mais sobre como usar Microsoft Defender para Ponto de Extremidade com Intune, consulte Impor conformidade para Microsoft Defender para Ponto de Extremidade com acesso condicional em Intune.

Requisitos de controle de acesso baseado em função

Para gerenciar tarefas no nó de segurança do ponto de extremidade do centro de administração Microsoft Intune, uma conta deve:

• Atribuir uma licença para Intune.
• Tenha permissões RBAC (controle de acesso baseado em função) iguais às permissões fornecidas pela função Intune interna do Endpoint Security Manager. A função endpoint Security Manager concede acesso ao centro de administração do Microsoft Intune. Essa função pode ser usada por indivíduos que gerenciam recursos de segurança e conformidade, incluindo linhas de base de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Ponto de Extremidade.

Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Permissões concedidas pela função endpoint Security Manager

Você pode exibir a lista a seguir de permissões no centro de administração Microsoft Intune acessandofunções> de administração> de locatárioTodas as funções, selecionePropriedadesdo Gerenciador> de Segurança do Ponto de Extremidade.

Permissões:

• Android FOTA
  • Leitura
• Android para trabalho
  • Leitura
• Auditar dados
  • Leitura
• Conector do Certificado
  • Leitura
• Identificadores de dispositivo corporativo
  • Leitura
• Credenciais derivadas
  • Leitura
• Políticas de conformidade do dispositivo
  • Atribuir
  • Criar
  • Excluir
  • Leitura
  • Atualizar
  • Exibir relatórios
• Configurações do dispositivo
  • Leitura
  • Exibir relatórios
• Gerenciador de registro de dispositivos
  • Leitura
• Relatórios de proteção de ponto de extremidade
  • Leitura
• Programas de registro
  • Ler dispositivo
  • Perfil de leitura
  • Ler token
• Filtros
  • Leitura
• data warehouse Intune
  • Leitura
• Aplicativos gerenciados
  • Leitura
• Dispositivos gerenciados
  • Excluir
  • Leitura
  • Definir usuário primário
  • Atualizar
  • Exibir relatórios
• Microsoft Defender ATP
  • Leitura
• Microsoft Store para empresas
  • Leitura
• Defesa contra Ameaças Móveis
  • Modificar
  • Leitura
• Aplicativos móveis
  • Leitura
• Organização
  • Leitura
• Gerenciamento de Dispositivos de parceiros
  • Leitura
• PolicySets
  • Leitura
• Conectores de assistência remota
  • Leitura
  • Exibir relatórios
• Tarefas remotas
  • Obter a chave FileVault
  • Iniciar a ação Desativar Manger de Configuração
  • Reinicializar agora
  • Bloqueio remoto
  • Girar BitLockerKeys (versão prévia)
  • Trocar chave do FileVault
  • Desligamento
  • Sincronizar dispositivos
  • Windows Defender
• Funções
  • Leitura
• Linhas de base de segurança
  • Atribuir
  • Criar
  • Excluir
  • Leitura
  • Atualizar
• Tarefas de segurança
  • Leitura
  • Atualizar
• Termos e condições
  • Leitura
• Certificado Windows Enterprise
  • Leitura

Evitar conflitos políticos

Muitas das configurações que você pode configurar para dispositivos podem ser gerenciadas por diferentes recursos em Intune. Esses recursos incluem, mas não se limitam a:

• Políticas de segurança de ponto de extremidade
• Linhas de base de segurança
• Políticas de configuração de dispositivo
• Políticas de registro do Windows

Por exemplo, as configurações encontradas nas políticas de segurança do Ponto de Extremidade são um subconjunto das configurações encontradas em perfis de proteção de ponto de extremidade e restrição de dispositivo na política de configuração do dispositivo e que também são gerenciadas por meio de várias linhas de base de segurança.

Uma maneira de evitar conflitos é não usar linhas de base diferentes, instâncias da mesma linha de base ou diferentes tipos de política e instâncias para gerenciar as mesmas configurações em um dispositivo. Isso requer o planejamento de quais métodos usar para implantar configurações em diferentes dispositivos. Quando você usa vários métodos ou instâncias do mesmo método para configurar a mesma configuração, verifique se seus métodos diferentes concordam ou não são implantados nos mesmos dispositivos.

Se conflitos acontecerem, você poderá usar as ferramentas internas do Intune para identificar e resolve a origem desses conflitos. Para saber mais, veja:

• Solucionar problemas de políticas e perfis no Intune
• Monitorar suas linhas de base de segurança

Próximas etapas

Configurar:

• Linhas de base de segurança
• Políticas de conformidade
• Políticas de acesso condicional
• Integração com o Microsoft Defender para Ponto de Extremidade