Gerenciar a segurança do dispositivo com políticas de segurança de ponto de extremidade no Microsoft Intune

Use Intune políticas de segurança de ponto de extremidade para gerenciar as configurações de segurança em dispositivos. Cada política de segurança de ponto de extremidade dá suporte a um ou mais perfis. Esses perfis são semelhantes no conceito a um modelo de política de configuração de dispositivo, um grupo lógico de configurações relacionadas.

Como administrador de segurança preocupado com a segurança do dispositivo, você pode usar esses perfis focados em segurança para evitar a sobrecarga de perfis de configuração de dispositivo ou linhas de base de segurança. Perfis de configuração de dispositivo e linhas de base incluem um corpo grande de configurações diversas fora do escopo de proteção de pontos de extremidade. Por outro lado, cada perfil de segurança do ponto de extremidade se concentra em um subconjunto específico de configurações de dispositivo destinadas a configurar um aspecto da segurança do dispositivo.

Ao usar políticas de segurança de ponto de extremidade junto com outros tipos de política, como linhas de base de segurança ou modelos de proteção de ponto de extremidade de políticas de configuração de dispositivo, é importante desenvolver um plano para usar vários tipos de política para minimizar o risco de configurações conflitantes. Linhas de base de segurança, políticas de configuração de dispositivo e políticas de segurança do ponto de extremidade são todas tratadas como fontes iguais de configurações de dispositivo por Intune. Um conflito de configurações ocorre quando um dispositivo recebe duas configurações diferentes para uma configuração de várias fontes. Várias fontes podem incluir tipos de política separados e várias instâncias da mesma política.

Quando Intune avalia a política de um dispositivo e identifica configurações conflitantes para uma configuração, a configuração envolvida pode ser sinalizada para um erro ou conflito e não é aplicada. Cada tipo de política de configuração dá suporte à identificação e resolução de conflitos caso eles surjam:

• Perfis de configuração de dispositivo
• Perfis de segurança do ponto de extremidade
• Linhas de base de segurança

Você encontrará políticas de segurança do ponto de extremidade em Gerenciar no nó de segurança do ponto de extremidade do centro de administração Microsoft Intune.

A seguir estão breves descrições de cada tipo de política de segurança do ponto de extremidade. Para saber mais sobre eles, incluindo os perfis disponíveis para cada um, siga os links para o conteúdo dedicado a cada tipo de política:

• Proteção de conta – As políticas de proteção de conta ajudam você a proteger a identidade e as contas de seus usuários. A política de proteção de conta está focada em configurações para Windows Hello e Credential Guard, que faz parte do gerenciamento de acesso e identidade do Windows.

• Antivírus – As políticas antivírus ajudam os administradores de segurança a se concentrarem no gerenciamento do grupo discreto de configurações de antivírus para dispositivos gerenciados.

• Controle de Aplicativo para Empresas (Versão Prévia) – Gerenciar aplicativos aprovados para dispositivos Windows com política de Controle de Aplicativo para Empresas e Instaladores Gerenciados para Microsoft Intune. Intune políticas do Controle de Aplicativos para Empresas são uma implementação do WDAC (Controle de Aplicativos do Windows Defender).

• Redução da superfície de ataque – quando o antivírus defender estiver em uso em seus dispositivos Windows 10/11, use Intune políticas de segurança do ponto de extremidade para redução de superfície de ataque para gerenciar essas configurações para seus dispositivos.

• Criptografia de disco – os perfis de criptografia de disco de segurança do ponto de extremidade se concentram apenas nas configurações relevantes para um método de criptografia interno de dispositivos, como FileVault ou BitLocker. Esse foco facilita que os administradores de segurança gerenciem as configurações de criptografia de disco sem precisar navegar por uma série de configurações não relacionadas.

• Detecção e resposta de ponto de extremidade – Ao integrar Microsoft Defender para Ponto de Extremidade com Intune, use as políticas de segurança do ponto de extremidade para EDR (detecção e resposta de ponto de extremidade) para gerenciar as configurações do EDR e os dispositivos a bordo para Microsoft Defender para Ponto de Extremidade.

• Firewall – use a política de firewall de segurança do ponto de extremidade no Intune para configurar um firewall interno de dispositivos para dispositivos que executam macOS e Windows 10/11.

As seções a seguir se aplicam a todas as políticas de segurança do ponto de extremidade.

Criar uma política de segurança de ponto de extremidade

1. Entre no centro de administração Microsoft Intune.

2. Selecione Segurança do Ponto de Extremidade e selecione o tipo de política que você deseja configurar e selecione Criar Política. Escolha entre os seguintes tipos de política:

   • Proteção de contas
   • Antivírus
   • Controle de aplicativo (versão prévia)
   • Redução de superfície de ataque
   • Criptografia de disco
   • Detecção e resposta do ponto de extremidade
   • Firewall

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma para a qual você está criando política. As opções disponíveis dependem do tipo de política selecionado.
   • Perfil: escolha entre os perfis disponíveis para a plataforma selecionada. Para obter informações sobre os perfis, consulte a seção dedicada neste artigo para o tipo de política escolhido.

4. Selecionar Criar.

5. Na página Informações Básicas, insira um nome e uma descrição do perfil e clique em Avançar.

6. Na página Configuração de configurações , expanda cada grupo de configurações e configure as configurações que você deseja gerenciar com esse perfil.

   Quando terminar de definir as configurações, selecione Avançar.

7. Na página Marcas de escopo , escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas para atribuir marcas de escopo ao perfil.

   Selecione Avançar para continuar.

8. Na página Atribuições, selecione os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Selecione Avançar.

9. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Duplicar uma política

As políticas de segurança do ponto de extremidade dão suporte à duplicação para criar uma cópia da política original. Um cenário ao duplicar uma política é útil, é se você precisar atribuir políticas semelhantes a grupos diferentes, mas não quiser recriar manualmente toda a política. Em vez disso, você pode duplicar a política original e, em seguida, introduzir apenas as alterações necessárias pela nova política. Você só pode alterar uma configuração específica e o grupo ao qual a política é atribuída.

Ao criar uma duplicata, você dará à cópia um novo nome. A cópia é feita com as mesmas definições de configuração e marcas de escopo que o original, mas não terá nenhuma atribuição. Você precisará editar a nova política mais tarde para criar atribuições.

Os seguintes tipos de política dão suporte à duplicação:

• Proteção de contas
• Controle de Aplicativo (versão prévia)
• Antivírus
• Redução de superfície de ataque
• Criptografia de disco
• Detecção e resposta do ponto de extremidade
• Firewall

Depois de criar a nova política, examine e edite a política para fazer alterações em sua configuração.

Para duplicar uma política

1. Entre no centro de administração Microsoft Intune.
2. Selecione a política que você deseja copiar. Em seguida, selecione Duplicar ou selecione as reticências (...) à direita da política e selecione Duplicar.
3. Forneça um novo nome para a política e selecione Salvar.

Para editar uma política

1. Selecione a nova política e selecione Propriedades.
2. Selecione Configurações para expandir uma lista das definições de configuração na política. Você não pode modificar as configurações dessa exibição, mas pode revisar como elas estão configuradas.
3. Para modificar a política, selecione Editar para cada categoria em que deseja fazer uma alteração:
   • Noções básicas
   • Atribuições
   • Marcas de escopo
   • Definição de configurações
4. Depois de fazer alterações, selecione Salvar para salvar suas edições. As edições em uma categoria devem ser salvas antes que você possa introduzir edições em categorias adicionais.

Gerenciar conflitos

Muitas das configurações de dispositivo que você pode gerenciar com políticas de segurança do Ponto de Extremidade (políticas de segurança) também estão disponíveis por meio de outros tipos de política no Intune. Esses outros tipos de política incluem política de configuração de dispositivo e linhas de base de segurança. Como as configurações podem ser gerenciadas por meio de vários tipos de política diferentes ou por várias instâncias do mesmo tipo de política, esteja preparado para identificar e resolver conflitos de política para dispositivos que não aderem às configurações esperadas.

• As linhas de base de segurança podem definir um valor não padrão para uma configuração em conformidade com a configuração recomendada que a linha de base aborda.
• Outros tipos de política, incluindo as políticas de segurança do ponto de extremidade, definem um valor de Não configurado por padrão. Esses outros tipos de política exigem que você defina explicitamente as configurações na política.

Independentemente do método de política, gerenciar a mesma configuração no mesmo dispositivo por meio de vários tipos de política ou de várias instâncias do mesmo tipo de política pode resultar em conflitos que devem ser evitados.

As informações nos links a seguir podem ajudá-lo a identificar e resolve conflitos:

• Solucionar problemas de políticas e perfis no Intune
• Monitorar suas linhas de base de segurança

Próximas etapas

Gerenciar a segurança do ponto de extremidade no Intune