Política de proteção de conta para segurança de ponto de extremidade em Intune

  • Artigo

Use Intune políticas de segurança de ponto de extremidade para proteção de conta para proteger a identidade e as contas de seus usuários e gerenciar as associações de grupo internas em dispositivos.

Localize as políticas de segurança do ponto de extremidade para proteção de conta em Gerenciar no nó de segurança do ponto de extremidade do centro de administração Microsoft Intune.

Pré-requisitos para perfis de proteção de conta

  • Para dar suporte ao perfil de proteção de conta (versão prévia), os dispositivos devem executar Windows 10 ou Windows 11.
  • Para dar suporte ao perfil de associação de grupo de usuários local (versão prévia), os dispositivos devem executar Windows 10 20H2 ou posterior ou Windows 11.

Perfis de proteção de conta

Os perfis de proteção de conta estão em versão prévia.

Windows 10/11 perfis:

  • Proteção de conta (versão prévia) – As configurações para políticas de proteção de conta ajudam você a proteger as credenciais do usuário.

    A política de proteção de conta está focada em configurações para Windows Hello e Credential Guard, que faz parte do gerenciamento de acesso e identidade do Windows.

    • Windows Hello para Empresas substitui senhas por autenticação de dois fatores forte em computadores e dispositivos móveis.
    • O Credential Guard ajuda a proteger credenciais e segredos que você usa com seus dispositivos.

    Para saber mais, confira Gerenciamento de identidade e acesso na documentação de gerenciamento de acesso e identidade do Windows.

    Exibir configurações para o perfil de proteção da conta.

  • Solução de senha de administrador local (Windows LAPS) – Use esse perfil para configurar o Windows LAPS em dispositivos. O Windows LAPS permite o gerenciamento de uma única conta de administrador local por dispositivo. Intune política pode especificar a qual conta de administrador local ela se aplica usando a configuração de política Nome da Conta do Administrador.

    Para obter mais informações sobre como usar Intune para gerenciar o Windows LAPS, confira:

  • Associação de grupo de usuários local – use esse perfil para adicionar, remover ou substituir membros dos grupos locais internos em dispositivos Windows. Por exemplo, o grupo local Administradores tem amplos direitos. Você pode usar essa política para editar a associação do grupo Administração para bloqueá-la em um conjunto de membros exclusivamente definidos.

    O uso desse perfil é detalhado na seção a seguir, Gerenciar grupos locais em dispositivos Windows.

Gerenciar grupos locais em dispositivos Windows

Use o perfil de associação de grupo de usuários local para gerenciar os usuários que são membros dos grupos locais internos em dispositivos que executam Windows 10 20H2 e posteriores e Windows 11 dispositivos.

Dica

Para saber mais sobre o suporte para gerenciar privilégios de administrador usando Microsoft Entra grupos, consulte Gerenciar privilégios de administrador usando Microsoft Entra grupos na documentação Microsoft Entra.

Configurar o perfil

Esse perfil gerencia a associação de grupo local em dispositivos por meio da Política CSP – LocalUsersAndGroups. A documentação do CSP inclui detalhes adicionais sobre como as configurações se aplicam e uma perguntas frequentes sobre o uso do CSP.

Ao configurar esse perfil, na página Configuração de configurações , você pode criar várias regras para gerenciar quais grupos locais internos você deseja alterar, a ação de grupo a ser executada e o método para selecionar os usuários.

Captura de tela da página Configuração de configurações para configurar o perfil.

A seguir estão as configurações que você pode fazer:

  • Grupo local: selecione um ou mais grupos na lista suspensa. Todos esses grupos aplicarão a mesma ação grupo e usuário aos usuários atribuídos. Você pode criar mais de um agrupamento de grupos locais em um único perfil e atribuir diferentes ações e grupos de usuários a cada agrupamento de grupos locais.

Observação

A lista de grupos locais é limitada aos seis grupos locais internos que têm a garantia de serem avaliados no logon, conforme referenciado na documentação Como gerenciar o grupo de administradores locais em Microsoft Entra documentação de dispositivos ingressados.

  • Ação do grupo e do usuário: configure a ação para aplicar aos grupos selecionados. Essa ação se aplicará aos usuários selecionados para essa mesma ação e agrupamento de contas locais. As ações que você pode escolher incluem:

    • Adicionar (Atualização): adiciona membros aos grupos selecionados. A associação de grupo para usuários que não são especificados pela política não é alterada.
    • Remover (Atualização): remover membros dos grupos selecionados. A associação de grupo para usuários que não são especificados pela política não é alterada.
    • Adicionar (Substituir): substitua os membros dos grupos selecionados pelos novos membros especificados para esta ação. Essa opção funciona da mesma forma que um Grupo Restrito e todos os membros do grupo que não são especificados na política são removidos.

    Cuidado

    Se o mesmo grupo estiver configurado com uma ação Substituir e Atualizar, a ação Substituir vencerá. Isso não é considerado um conflito. Essa configuração pode ocorrer quando você implanta várias políticas no mesmo dispositivo ou quando esse CSP também é configurado pelo uso do Microsoft Graph.

  • Tipo de seleção de usuário: escolha como selecionar usuários. As opções são:

    • Usuários: selecione os usuários e grupos de usuários de Microsoft Entra ID. (Com suporte apenas para dispositivos ingressados Microsoft Entra).
    • Manual: especifique Microsoft Entra usuários e grupos manualmente, por nome de usuário, domínio\nome de usuário ou o SID (identificador de segurança de grupos). (Com suporte para Microsoft Entra dispositivos ingressados e Microsoft Entra híbridos).

  • Usuários selecionados: dependendo da seleção para o tipo de seleção de usuário, você usará uma das seguintes opções:

    • Selecione usuário(s): selecione os usuários e grupos de usuários de Microsoft Entra.

    • Adicionar usuários: isso abre o painel Adicionar usuários em que você pode especificar um ou mais identificadores de usuário à medida que eles aparecem em um dispositivo. Você pode especificar o usuário pelo SID (identificador de segurança),domínio\nome de usuário ou pelo nome de usuário.

      Captura de tela da página Adicionar usuários.

Escolher a opção Manual pode ser útil em cenários em que você deseja gerenciar seus usuários do Active Directory no prem do Active Directory para um grupo local para um Microsoft Entra dispositivo híbrido ingressado. Os formatos com suporte para identificar a seleção de usuário na ordem da maioria para menos preferencial é por meio do nome de usuário SID, domain\username ou membro. Os valores do Active Directory devem ser usados para dispositivos híbridos ingressados, enquanto os valores de Microsoft Entra ID devem ser usados para Microsoft Entra junção. Microsoft Entra siDs de grupo podem ser obtidos usando API do Graph para Grupos.

Conflitos

Se as políticas criarem um conflito para uma associação de grupo, as configurações conflitantes de cada política não serão enviadas para o dispositivo. Em vez disso, o conflito é relatado para essas políticas no centro de administração Microsoft Intune. Para resolve conflito, reconfigure uma ou mais políticas.

Reporting

À medida que os dispositivos marcar e aplicam a política, o centro de administração exibe o status dos dispositivos e usuários como bem-sucedidos ou em erro.

Como a política pode conter várias regras, considere o seguinte:

  • Ao processar a política para dispositivos, o modo de exibição status por configuração exibe um status para o grupo de regras como se fosse uma única configuração.
  • Cada regra na política que resulta em um erro é ignorada e não enviada para dispositivos.
  • Cada regra que é bem-sucedida é enviada para dispositivos a serem aplicados.

Próximas etapas

Configurar políticas de segurança do Ponto de Extremidade