Compartilhar via


Gerir políticas de segurança de pontos finais em dispositivos integrados no Microsoft Defender para Endpoint

Quando utiliza o Microsoft Defender para Endpoint, pode implementar políticas de segurança de pontos finais do Microsoft Intune para gerir as definições de segurança do Defender nos dispositivos que integrou no Defender sem inscrever esses dispositivos no Intune. Esta capacidade é conhecida como Gestão de definições de segurança do Defender para Endpoint.

Quando gere dispositivos através da gestão de definições de segurança:

  • Pode utilizar o centro de administração do Microsoft Intune ou o portal do Microsoft 365 Defender para configurar políticas de segurança de pontos finais para o Defender para Endpoint e atribuir essas políticas a grupos do Microsoft Entra ID. O portal do Defender inclui a interface de utilizador para vistas de dispositivos, gestão de políticas e relatórios para gestão de definições de segurança.

    Para ver orientações sobre como gerir as políticas de segurança de ponto final do Intune a partir do portal do Defender, veja Gerir políticas de segurança de pontos finais no Microsoft Defender para Endpoint no conteúdo do Defender.

  • Os dispositivos obtêm as políticas atribuídas com base no respetivo objeto de dispositivo Microsoft Entra ID. Um dispositivo que ainda não esteja registado no Microsoft Entra está associado como parte desta solução.

  • Quando um dispositivo recebe uma política, os componentes do Defender para Endpoint no dispositivo impõem a política e reportam o estado do dispositivo. O estado do dispositivo está disponível no centro de administração do Microsoft Intune e no portal do Microsoft Defender.

Este cenário expande a superfície de Segurança de Ponto Final do Microsoft Intune para dispositivos que não são capazes de se inscrever no Intune. Quando um dispositivo é gerido pelo Intune (inscrito no Intune), o dispositivo não processa políticas para a gestão de definições de segurança do Defender para Endpoint. Em vez disso, utilize o Intune para implementar a política do Defender para Endpoint nos seus dispositivos.

Aplicável a:

  • Windows 10 e Windows 11
  • Windows Server (2012 R2 e mais)
  • Linux
  • macOS

Apresentação conceptual da solução do Microsoft Defender para Endpoint-Attach.

Pré-requisitos

Reveja as secções seguintes para obter os requisitos do Cenário de gestão de definições de segurança do Defender para Endpoint.

Ambiente

Quando um dispositivo suportado é integrado no Microsoft Defender para Endpoint:

  • O dispositivo é inquirido relativamente a uma presença existente do Microsoft Intune, que é uma inscrição de gestão de dispositivos móveis (MDM) no Intune.
  • Os dispositivos sem presença do Intune ativam a funcionalidade de gestão de definições de segurança.
  • Para dispositivos que não estão totalmente registados no Microsoft Entra, é criada uma identidade de dispositivo sintética no Microsoft Entra ID que permite que o dispositivo obtenha políticas. Os dispositivos totalmente registados utilizam o registo atual.
  • As políticas obtidas do Microsoft Intune são impostas no dispositivo pelo Microsoft Defender para Endpoint.

A gestão das definições de segurança ainda não é suportada com clouds governamentais. Para obter mais informações, veja Paridade de funcionalidades com comercial no Microsoft Defender para Endpoint para clientes do Us Government.

Requisitos de conectividade

Os dispositivos têm de ter acesso ao seguinte ponto final:

  • *.dm.microsoft.com - A utilização de um caráter universal suporta os pontos finais de serviço cloud que são utilizados para inscrição, entrada e relatórios e que podem ser alterados à medida que o serviço é dimensionado.

Plataformas compatíveis

As políticas para a gestão de segurança do Microsoft Defender para Endpoint são suportadas para as seguintes plataformas de dispositivos:

Linux:

Com o Microsoft Defender para Endpoint para Linux , versão 101.23052.0009 ou posterior, a gestão de definições de segurança suporta as seguintes distribuições do Linux:

  • Red Hat Enterprise Linux 7.2 ou superior
  • CentOS 7.2 ou superior
  • Ubuntu 16.04 LTS ou LTS superior
  • Debian 9 ou superior
  • SUSE Linux Enterprise Server 12 ou superior
  • Oracle Linux 7.2 ou superior
  • Amazon Linux 2
  • Fedora 33 ou superior

Para confirmar a versão do agente do Defender, no portal do Defender, aceda à página dispositivos e, no separador Inventários de dispositivos , procure Defender para Linux. Para obter orientações sobre como atualizar a versão do agente, consulte Implementar atualizações para o Microsoft Defender para Endpoint no Linux.

Problema conhecido: com a versão 101.23052.0009 do agente Do Defender, os dispositivos Linux não se inscrevem quando não têm o seguinte caminho de ficheiro: /sys/class/dmi/id/board_vendor.

macOS:

Com o Microsoft Defender para Endpoint para o agente macOS versão 101.23052.0004 ou posterior, a gestão de definições de segurança suporta as seguintes versões do macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Para confirmar a versão do agente do Defender, no portal do Defender, aceda à página dispositivos e, no separador Inventários de dispositivos , procure Defender para macOS. Para obter orientações sobre como atualizar a versão do agente, veja Implementar atualizações para o Microsoft Defender para Endpoint no macOS.

Problema conhecido: com a versão 101.23052.0004 do agente do Defender, os dispositivos macOS registados no Microsoft Entra ID antes de se inscreverem na gestão de definições de segurança recebem um ID de Dispositivo duplicado no Microsoft Entra ID, que é um registo sintético. Quando cria um grupo do Microsoft Entra para a política de filtragem, tem de utilizar o ID de Dispositivo sintético criado pela gestão de definições de segurança. No Microsoft Entra ID, a coluna Join Type para o ID de Dispositivo sintético está em branco.

Windows:

Observação

As versões de 32 bits do Windows não são suportadas.

A gestão das definições de segurança não funciona e não é suportada com os seguintes dispositivos:

  • Ambientes de trabalho não persistentes, como clientes de Infraestrutura de Ambiente de Trabalho Virtual (VDI) ou Azure Virtual Desktops.
  • Controladores de Domínio

Importante

Em alguns casos, os Controladores de Domínio que executam um sistema operativo de servidor de nível inferior (2012 R2 ou 2016) podem ser geridos involuntariamente pelo Microsoft Defender para Endpoint. Para garantir que isto não acontece no seu ambiente, recomendamos que certifique-se de que os controladores de domínio não estão etiquetados como "MDE-Management" ou geridos pelo MDE.

Licenciamento e subscrições

Para utilizar a gestão de definições de segurança, precisa de:

  • Uma subscrição que concede licenças para o Microsoft Defender para Endpoint, como o Microsoft 365, ou uma licença autónoma apenas para o Microsoft Defender para Endpoint. Uma subscrição que conceda licenças do Microsoft Defender para Endpoint também concede ao seu inquilino acesso ao nó de segurança endpoint do centro de administração do Microsoft Intune.

    Observação

    Exceção: se tiver acesso ao Microsoft Defender para Endpoint apenas através do Microsoft Defender para servidores (parte do Microsoft Defender para Cloud, anteriormente Centro de Segurança do Azure), a funcionalidade de gestão de definições de segurança não está disponível. Terá de ter, pelo menos, uma licença de subscrição do Microsoft Defender para Endpoint (utilizador) ativa.

    O nó de segurança ponto final é onde configura e implementa políticas para gerir o Microsoft Defender para Endpoint para os seus dispositivos e monitorizar o estado do dispositivo.

    Para obter informações atuais sobre opções, veja Requisitos mínimos do Microsoft Defender para Endpoint.

Controlos de acesso baseados em funções (RBAC)

Para obter orientações sobre como atribuir o nível certo de permissões e direitos aos administradores que irão gerir políticas de segurança de pontos finais do Intune a partir do centro de administração do Intune, veja Assign-role-based-access-controls-for-endpoint-security-policy.

Arquitetura

O diagrama seguinte é uma representação conceptual da solução de gestão de configuração de segurança do Microsoft Defender para Endpoint.

Diagrama conceptual da solução de gestão de configuração de segurança do Microsoft Defender para Endpoint

  1. Dispositivos integrados no Microsoft Defender para Endpoint.
  2. Os dispositivos comunicam com o Intune. Esta comunicação permite que o Microsoft Intune distribua políticas direcionadas para os dispositivos quando efetuam a entrada.
  3. É estabelecido um registo para cada dispositivo no Microsoft Entra ID:
    • Se um dispositivo tiver sido registado anteriormente, como um dispositivo de Associação Híbrida, é utilizado o registo existente.
    • Para dispositivos que não estão registados, é criada uma identidade de dispositivo sintética no Microsoft Entra ID para permitir que o dispositivo obtenha políticas. Quando um dispositivo com um registo sintético tem um registo completo do Microsoft Entra criado para o mesmo, o registo sintético é removido e a gestão de dispositivos continua ininterrupta através do registo completo.
  4. O Defender para Endpoint comunica o estado da política ao Microsoft Intune.

Importante

A gestão de definições de segurança utiliza um registo sintético para dispositivos que não são totalmente registados no Microsoft Entra ID e remove o pré-requisito de associação híbrida do Microsoft Entra. Com esta alteração, os dispositivos Windows que tinham erros de inscrição anteriormente começarão a integrar no Defender e, em seguida, receberão e processarão as políticas de gestão de definições de segurança.

Para filtrar os dispositivos que não conseguiram inscrever-se devido ao não cumprir o pré-requisito de associação híbrida do Microsoft Entra, navegue para a lista Dispositivos no portal do Microsoft Defender e filtre por estado de inscrição. Uma vez que estes dispositivos não estão totalmente registados, os respetivos atributos de dispositivo mostramo IntuneMDM = e o Tipo de Associação Em = Branco. Estes dispositivos serão agora inscritos com a gestão de definições de segurança através do registo sintético.

Depois de inscrever estes dispositivos, aparecem nas listas de dispositivos dos portais do Microsoft Defender, Microsoft Intune e Microsoft Entra. Embora os dispositivos não estejam totalmente registados no Microsoft Entra, o respetivo registo sintético conta como um objeto de dispositivo.

O que esperar no portal do Microsoft Defender

Pode utilizar o inventário de Dispositivos XDR do Microsoft Defender para confirmar que um dispositivo está a utilizar a capacidade de gestão de definições de segurança no Defender para Endpoint ao rever o estado dos dispositivos na coluna Gerido por . As informações Geridas por também estão disponíveis no painel lateral dos dispositivos ou na página do dispositivo. Gerido por deve indicar consistentemente que é gerido pelo MDE. 

Também pode confirmar que um dispositivo está inscrito na gestão de definições de segurança com êxito ao confirmar que o painel do lado do dispositivo ou a página do dispositivo apresentam o estado de Inscrição MDE como Êxito.

Uma captura de ecrã do estado de inscrição de gestão de definições de segurança de um dispositivo na página do dispositivo no portal do Microsoft Defender.

Se o estado da Inscrição MDE não apresentar Êxito, certifique-se de que está a olhar para um dispositivo que foi atualizado e que está no âmbito da gestão de definições de segurança. (Configure o âmbito na página Âmbito de imposição ao configurar a gestão de definições de segurança.)

O que esperar no centro de administração do Microsoft Intune

No centro de administração do Microsoft Intune, aceda à página Todos os Dispositivos. Os dispositivos inscritos com a gestão de definições de segurança são apresentados aqui como no portal do Defender. No centro de administração, os dispositivos geridos pelo campo devem apresentar o MDE.

Captura de ecrã da página do dispositivo no centro de administração do Intune com o estado Gerido por do dispositivo realçado.

Dica

Em junho de 2023, a gestão de definições de segurança começou a utilizar o registo sintético para dispositivos que não se registam totalmente no Microsoft Entra. Com esta alteração, os dispositivos que anteriormente tinham erros de inscrição começarão a integrar no Defender e, em seguida, receberão e processarão as políticas de gestão das definições de segurança.

O que esperar no portal do Microsoft Azure

Na página Todos os dispositivos No portal do Microsoft Azure, pode ver os detalhes do dispositivo.

Uma captura de ecrã da página Todos os dispositivos no portal do Microsoft Azure com um dispositivo de exemplo realçado.

Para garantir que todos os dispositivos inscritos na gestão de definições de segurança do Defender para Endpoint recebem políticas, recomendamos que crie um grupo dinâmico do Microsoft Entra com base no Tipo de SO dos dispositivos. Com um grupo dinâmico, os dispositivos geridos pelo Defender para Endpoint são automaticamente adicionados ao grupo sem que sejam necessários administradores para efetuar outras tarefas, como criar uma nova política.

Importante

De julho de 2023 a 25 de setembro de 2023, a gestão de definições de segurança executou uma pré-visualização pública opt-in que introduziu um novo comportamento para dispositivos que foram geridos e inscritos no cenário. A partir de 25 de setembro de 2023, o comportamento de pré-visualização pública tornou-se geralmente disponível e aplica-se agora a todos os inquilinos que utilizam a gestão de definições de segurança.

Se utilizou a gestão de definições de segurança antes de 25 de setembro de 2023 e não aderiu à pré-visualização pública opt-in que decorreu entre julho de 2023 e 25 de setembro de 2023, reveja os grupos do Microsoft Entra que dependem de etiquetas de sistema para efetuar alterações que identifiquem os novos dispositivos que gere com a gestão de definições de segurança. Isto acontece porque, antes de 25 de setembro de 2023, os dispositivos não geridos através da pré-visualização pública opt-in utilizariam as seguintes etiquetas de sistema (etiquetas) de MDEManaged e MDEJoined para identificar dispositivos geridos. Estas duas etiquetas de sistema já não são suportadas e já não são adicionadas aos dispositivos inscritos.

Utilize a seguinte documentação de orientação para os grupos Dinâmicos:

  • (Recomendado) Ao direcionar a política, utilize grupos dinâmicos com base na plataforma do dispositivo com o atributo deviceOSType (Windows, Windows Server, macOS, Linux) para garantir que a política continua a ser entregue para dispositivos que alteram os tipos de gestão, por exemplo, durante a inscrição MDM.

  • Se necessário, os grupos dinâmicos que contêm exclusivamente dispositivos geridos pelo Defender para Ponto Final podem ser visados ao definir um grupo dinâmico com o atributo managementTypeMicrosoftSense. A utilização deste atributo destina-se a todos os dispositivos geridos pelo Defender para Endpoint através da funcionalidade de gestão de definições de segurança e os dispositivos permanecem apenas neste grupo enquanto são geridos pelo Defender para Endpoint.

Além disso, ao configurar a gestão de definições de segurança, se pretender gerir frotas de plataformas de SO inteiras com o Microsoft Defender para Endpoint, ao selecionar todos os dispositivos em vez de dispositivos etiquetados na página Âmbito de Imposição de Pontos Finais do Microsoft Defender para Endpoint, compreenda que todos os registos sintéticos são contabilizados em relação às quotas do Microsoft Entra ID da mesma forma que os registos completos.

Que solução devo utilizar?

O Microsoft Intune inclui vários métodos e tipos de política para gerir a configuração do Defender para Endpoint em dispositivos. A tabela seguinte identifica as políticas e perfis do Intune que suportam a implementação em dispositivos geridos pela gestão de definições de segurança do Defender para Endpoint e pode ajudá-lo a identificar se esta solução é adequada para as suas necessidades.

Quando implementa uma política de segurança de ponto final que é suportada tanto para a gestão de definições de segurança do Defender para Ponto Final como para o Microsoft Intune, uma única instância dessa política pode ser processada por:

  • Dispositivos suportados através da gestão de definições de segurança (Microsoft Defender)
  • Dispositivos geridos pelo Intune ou pelo Configuration Manager.

Os perfis para a plataforma Windows 10 e posterior não são suportados para dispositivos geridos pela gestão de definições de segurança.

Os seguintes perfis são suportados para cada tipo de dispositivo:

Linux

Os seguintes tipos de política suportam a plataforma Linux .

Política de segurança de ponto final Perfil Gestão de definições de segurança do Defender para Endpoint Microsoft Intune
Antivírus Microsoft Defender Antivírus Com suporte Com suporte
Antivírus Exclusões do Microsoft Defender Antivírus Com suporte Com suporte
Detecção e resposta do ponto de extremidade Detecção e resposta do ponto de extremidade Com suporte Com suporte

macOS

Os seguintes tipos de política suportam a plataforma macOS .

Política de segurança de ponto final Perfil Gestão de definições de segurança do Defender para Endpoint Microsoft Intune
Antivírus Microsoft Defender Antivírus Com suporte Com suporte
Antivírus Exclusões do Microsoft Defender Antivírus Com suporte Com suporte
Detecção e resposta do ponto de extremidade Detecção e resposta do ponto de extremidade Com suporte Com suporte

Windows 10, Windows 11 e Windows Server

Para suportar a utilização com a gestão de definições de segurança do Microsoft Defender, as suas políticas para dispositivos Windows têm de utilizar a plataforma Windows 10, Windows 11 e Windows Server . Cada perfil para a plataforma Windows 10, Windows 11 e Windows Server pode ser aplicado a dispositivos geridos pelo Intune e a dispositivos geridos pela gestão de definições de segurança.

Política de segurança de ponto final Perfil Gestão de definições de segurança do Defender para Endpoint Microsoft Intune
Antivírus Controlos do Defender Update Com suporte Com suporte
Antivírus Microsoft Defender Antivírus Com suporte Com suporte
Antivírus Exclusões do Microsoft Defender Antivírus Com suporte Com suporte
Antivírus Experiência de Segurança do Windows Nota 1 Com suporte
Redução da Superfície de Ataque Regras de Redução da Superfície de Ataque Com suporte Com suporte
Detecção e resposta do ponto de extremidade Detecção e resposta do ponto de extremidade Com suporte Com suporte
Firewall Firewall Com suporte Com suporte
Firewall Regras de Firewall Com suporte Com suporte

1 - O perfil da Experiência de Segurança do Windows está disponível no portal do Defender, mas aplica-se apenas a dispositivos geridos pelo Intune. Não é suportado para dispositivos geridos pela gestão de definições de segurança do Microsoft Defender.

As políticas de segurança de pontos finais são grupos discretos de definições destinadas a serem utilizadas por administradores de segurança que se concentram na proteção de dispositivos na sua organização. Seguem-se descrições das políticas que suportam a gestão de definições de segurança:

  • As políticas antivírus gerem as configurações de segurança encontradas no Microsoft Defender para Endpoint. Veja Política antivírus para segurança de pontos finais .

    Observação

    Embora os pontos finais não exijam um reinício para aplicar definições modificadas ou novas políticas, estamos cientes de um problema em que as definições AllowOnAccessProtection e DisableLocalAdminMerge podem, por vezes, exigir que os utilizadores finais reiniciem os respetivos dispositivos para que estas definições sejam atualizadas. Estamos atualmente a investigar este problema para fornecer uma resolução.

  • As políticas de redução da superfície de ataque (ASR) focam-se em minimizar os locais onde a sua organização está vulnerável a ciberameaças e ataques. Com a gestão de definições de segurança, as regras ASR aplicam-se a dispositivos com o Windows 10, Windows 11 e Windows Server.

    Para obter orientações atuais sobre que definições se aplicam às diferentes plataformas e versões, veja AsR rules supported operating systems (Regras asr suportadas pelos sistemas operativos na documentação de proteção contra ameaças do Windows).

    Dica

    Para ajudar a manter os pontos finais suportados atualizados, considere utilizar a solução unificada moderna para o Windows Server 2012 R2 e 2016.

    Confira também:

  • As políticas de deteção e resposta de pontos finais (EDR) gerem as capacidades do Defender para Ponto Final que fornecem deteções de ataques avançadas quase em tempo real e acionáveis. Com base nas configurações do EDR, os analistas de segurança podem priorizar os alertas de forma eficaz, obter visibilidade sobre o âmbito completo de uma falha de segurança e tomar medidas de resposta para remediar ameaças. Veja a política de deteção e resposta de pontos finais para obter segurança de pontos finais.

  • As políticas de firewall focam-se na firewall do Defender nos seus dispositivos. Veja política de firewall para segurança de pontos finais.

  • As Regras de Firewall configuram regras granulares para Firewalls, incluindo portas específicas, protocolos, aplicações e redes. Veja política de firewall para segurança de pontos finais.

Configurar o inquilino para suportar a gestão de definições de segurança do Defender para Endpoint

Para suportar a gestão de definições de segurança através do centro de administração do Microsoft Intune, tem de ativar a comunicação entre as mesmas a partir de cada consola.

As secções seguintes orientam-no ao longo desse processo.

Configurar o Microsoft Defender para Endpoint

No portal do Microsoft Defender para Endpoint, como administrador de segurança:

  1. Inicie sessão no portal do Microsoft Defender e aceda a DefiniçõesPonto Final>>Âmbito deImposição da Gestão> de Configuração e ative as plataformas para a gestão de definições de segurança.

    Ative a gestão de definições do Microsoft Defender para Endpoint no portal do Microsoft Defender.

    Observação

    Se tiver a permissão Gerir definições de segurança no Centro de Segurança no portal do Microsoft Defender para Endpoint e estiver ativado em simultâneo para ver dispositivos de todos os Grupos de Dispositivos (sem limites de controlo de acesso baseado em funções nas permissões de utilizador), também pode efetuar esta ação.

  2. Inicialmente, recomendamos que teste a funcionalidade para cada plataforma ao selecionar a opção plataformas para Dispositivos com etiquetas Ativadas e, em seguida, etiquetar os dispositivos com a MDE-Management etiqueta.

    Importante

    A utilização da capacidade de etiqueta Dinâmica do Microsoft Defender para Endpoint para etiquetar dispositivos com a Gestão de MDE não é atualmente suportada com a gestão de definições de segurança. Os dispositivos etiquetados através desta capacidade não serão inscritos com êxito. Este problema continua sob investigação.

    Dica

    Utilize as etiquetas de dispositivo adequadas para testar e validar a implementação num pequeno número de dispositivos.

    Ao implementar no grupo Todos os dispositivos , qualquer dispositivo que se insere no âmbito configurado será inscrito automaticamente.

    Embora a maioria dos dispositivos conclua a inscrição e aplique a política atribuída dentro de alguns minutos, um dispositivo pode, por vezes, demorar até 24 horas a concluir a inscrição.

  3. Configure a funcionalidade para dispositivos integrados do Microsoft Defender para Cloud e definições de autoridade do Configuration Manager de acordo com as necessidades da sua organização:

    Configure o Modo piloto para a gestão de definições de Ponto final no portal do Microsoft Defender.

    Dica

    Para garantir que os utilizadores do portal do Microsoft Defender para Endpoint têm permissões consistentes nos portais, se ainda não forem fornecidas, peça ao administrador de TI que lhes conceda a função RBAC incorporadado Gestor de Segurança de Ponto Final do Microsoft Intune.

Configurar o Intune

No centro de administração do Microsoft Intune, a sua conta precisa de permissões iguais à função rbac (Controlo de acesso baseado em funções) incorporada do Gestor de Segurança de Pontos Finais.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança> de ponto finalMicrosoft Defender para Endpoint e defina Permitir que o Microsoft Defender para Ponto Final imponha Configurações de Segurança de Ponto Final como Ativado.

    Ative a gestão de definições do Microsoft Defender para Endpoint no centro de administração do Microsoft Intune.

    Quando define esta opção como Ativado, todos os dispositivos no âmbito da plataforma do Microsoft Defender para Endpoint que não são geridos pelo Microsoft Intune podem ser integrados no Microsoft Defender para Endpoint.

Dispositivos integrados ao Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Endpoint suporta várias opções para integrar dispositivos. Para obter orientações atuais, veja Integrar no Microsoft Defender para Endpoint na documentação do Defender para Endpoint.

Coexistência com o Microsoft Configuration Manager

Em alguns ambientes, poderá pretender utilizar a gestão de definições de segurança com dispositivos geridos pelo Configuration Manager. Se utilizar ambos, terá de controlar a política através de um único canal. A utilização de mais do que um canal cria a oportunidade para conflitos e resultados indesejáveis.

Para o suportar, configure o botão Gerir Definições de segurança com o Configuration Manager para Desativado. Inicie sessão no portal do Microsoft Defender e aceda a Definições>Âmbito deImposição da Gestão> de Configuração dePontos Finais>:

Captura de ecrã do portal do Defender a mostrar o seletor Gerir Definições de segurança com o Configuration Manager definido como Desativado.

Criar Grupos do Microsoft Entra

Depois de os dispositivos integrarem o Defender para Endpoint, terá de criar grupos de dispositivos para suportar a implementação da política para o Microsoft Defender para Endpoint. Para identificar os dispositivos que se inscreveram no Microsoft Defender para Endpoint, mas que não são geridos pelo Intune ou pelo Configuration Manager:

  1. Inicie sessão no centro de administração do Microsoft Intune.

  2. Aceda a Dispositivos>Todos os dispositivos e, em seguida, selecione a coluna Gerido por para ordenar a vista dos dispositivos.

    Os dispositivos que integram no Microsoft Defender para Endpoint e que se registaram, mas que não são geridos pelo Intune, apresentam o Microsoft Defender para Endpoint na coluna Gerido por . Estes são os dispositivos que podem receber a política de gestão de segurança do Microsoft Defender para Endpoint.

    A partir de 25 de setembro de 2023, os dispositivos que utilizam a gestão de segurança do Microsoft Defender para Endpoint já não podem ser identificados com as seguintes etiquetas de sistema:

    • MDEJoined – uma etiqueta preterida que foi adicionada anteriormente aos dispositivos que foram associados ao diretório como parte deste cenário.
    • MDEManaged – uma etiqueta preterida que foi adicionada anteriormente aos dispositivos que utilizaram ativamente o cenário de gestão de segurança. Esta etiqueta é removida do dispositivo se o Defender para Endpoint deixar de gerir a configuração de segurança.

    Em vez de utilizar etiquetas de sistema, pode utilizar o atributo de tipo de gestão e configurá-lo para o MicrosoftSense.

Pode criar grupos para estes dispositivos no Microsoft Entra ou a partir do centro de administração do Microsoft Intune. Ao criar grupos, pode utilizar o valor do SO para um dispositivo se estiver a implementar políticas em dispositivos com o Windows Server vs. dispositivos que executem uma versão de cliente do Windows:

  • Windows 10 e Windows 11 - O deviceOSType ou SO é apresentado como Windows
  • Windows Server – o deviceOSType ou SO é apresentado como Windows Server
  • Dispositivo Linux – o deviceOSType ou o SO é apresentado como Linux

Exemplo de Grupos Dinâmicos do Intune com Sintaxe de Regra

Estações de Trabalho do Windows:

Uma captura de ecrã do Grupo Dinâmico do Intune para Estações de Trabalho do Windows.

Windows Servers:

Uma captura de ecrã do Grupo Dinâmico do Intune para Windows Servers.

Dispositivos Linux:

Uma captura de ecrã do Grupo Dinâmico do Intune para Windows Linux.

Importante

Em maio de 2023, deviceOSType foi atualizado para distinguir entre clientes Windows e Windows Servers.

Os scripts personalizados e os grupos de dispositivos dinâmicos do Microsoft Entra criados antes desta alteração que especificam regras que referenciam apenas o Windows podem excluir os Windows Servers quando utilizados com a solução Gestão de Segurança do Microsoft Defender para Endpoint. Por exemplo:

  • Se tiver uma regra que utilize o operador ou not equals para identificar o equalsWindows, esta alteração afetará a regra. Isto deve-se ao facto de anteriormente o Windows e o Windows Server terem sido reportados como Windows. Para continuar a incluir ambos, tem de atualizar a regra para também referenciar o Windows Server.
  • Se tiver uma regra que utilize o contains operador ou like para especificar o Windows, a regra não será afetada por esta alteração. Estes operadores podem encontrar o Windows e o Windows Server.

Dica

Os utilizadores que são delegados à capacidade de gerir as definições de segurança de pontos finais podem não ter a capacidade de implementar configurações ao nível do inquilino no Microsoft Intune. Contacte o administrador do Intune para obter mais informações sobre funções e permissões na sua organização.

Implantar política

Depois de criar um ou mais grupos do Microsoft Entra que contêm dispositivos geridos pelo Microsoft Defender para Endpoint, pode criar e implementar as seguintes políticas para a gestão de definições de segurança nesses grupos. As políticas e perfis disponíveis variam consoante a plataforma.

Para obter a lista de combinações de políticas e perfis suportadas para a gestão de definições de segurança, consulte o gráfico em Que solução devo utilizar? anteriormente neste artigo.

Dica

Evite implementar várias políticas que gerem a mesma definição num dispositivo.

O Microsoft Intune suporta a implementação de várias instâncias de cada tipo de política de segurança de ponto final no mesmo dispositivo, com cada instância de política a ser recebida separadamente pelo dispositivo. Por conseguinte, um dispositivo pode receber configurações separadas para a mesma definição de diferentes políticas, o que resulta num conflito. Algumas definições (como Exclusões de Antivírus) serão intercaladas no cliente e serão aplicadas com êxito.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda a Segurança do ponto final, selecione o tipo de política que pretende configurar e, em seguida, selecione Criar Política.

  3. Para a política, selecione a Plataforma e o Perfil que pretende implementar. Para obter uma lista das Plataformas e Perfis que suportam a gestão de definições de segurança, consulte o gráfico em Que solução devo utilizar? anteriormente neste artigo.

    Observação

    Os perfis suportados aplicam-se a dispositivos que comunicam através da Gestão de Dispositivos Móveis (MDM) com o Microsoft Intune e dispositivos que comunicam com o cliente do Microsoft Defender para Endpoint.

    Certifique-se de que revê a segmentação e os grupos conforme necessário.

  4. Selecionar Criar.

  5. Na página Informações Básicas, insira um nome e uma descrição do perfil e clique em Avançar.

  6. Na página Definições de configuração , selecione as definições que pretende gerir com este perfil.

    Para saber mais sobre uma definição, expanda a caixa de diálogo de informações e selecione a ligação Saiba mais para ver a documentação do Fornecedor de Serviços de Configuração (CSP) on-line ou detalhes relacionados, para essa definição.

    Quando terminar de definir as configurações, escolha Avançar.

  7. Na página Atribuições , selecione os grupos do Microsoft Entra que recebem este perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar para continuar.

    Dica

    • Os filtros de atribuição não são suportados para dispositivos geridos pela gestão de definições de segurança.
    • Apenas os Objetos de Dispositivo são aplicáveis à gestão do Microsoft Defender para Endpoint. A segmentação de utilizadores não é suportada.
    • As políticas configuradas serão aplicadas aos clientes do Microsoft Intune e do Microsoft Defender para Endpoint.
  8. Conclua o processo de criação da política e, em seguida, na página Rever + criar , selecione Criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

  9. Aguarde que a política seja atribuída e veja uma indicação de êxito de que a política foi aplicada.

  10. Pode validar que as definições foram aplicadas localmente no cliente com o utilitário de comando Get-MpPreference .

Estado da monitorização

O estado e os relatórios das políticas que visam dispositivos neste canal estão disponíveis a partir do nó de política em Segurança do ponto final no centro de administração do Microsoft Intune.

Explore o tipo de política e, em seguida, selecione a política para ver o respetivo estado. Pode ver a lista de plataformas, tipos de política e perfis que suportam a gestão de definições de segurança na tabela em Que solução devo utilizar, anteriormente neste artigo.

Quando seleciona uma política, pode ver informações sobre o estado de entrada do dispositivo e pode selecionar:

  • Ver relatório - Veja uma lista de dispositivos que receberam a política. Pode selecionar um dispositivo para explorar e ver o respetivo estado por definição. Em seguida, pode selecionar uma definição para ver mais informações sobre a mesma, incluindo outras políticas que gerem essa mesma definição, o que pode ser uma origem de conflito.

  • Por estado de definição – veja as definições geridas pela política e uma contagem de êxitos, erros ou conflitos para cada definição.

Perguntas mais frequentes e considerações

Frequência de entrada do dispositivo

Dispositivos geridos por esta capacidade de entrada com o Microsoft Intune a cada 90 minutos para atualizar a política.

Pode sincronizar manualmente um dispositivo a pedido a partir do portal do Microsoft Defender. Inicie sessão no portal e aceda a Dispositivos. Selecione um dispositivo gerido pelo Microsoft Defender para Endpoint e, em seguida, selecione o botão Sincronização de políticas :

Sincronizar manualmente dispositivos geridos pelo Microsoft Defender para Endpoint.

O botão Sincronização de políticas só é apresentado para dispositivos geridos com êxito pelo Microsoft Defender para Endpoint.

Dispositivos protegidos pela Proteção contra Adulteração

Se um dispositivo tiver a Proteção contra Adulteração ativada, não é possível editar os valores das definições Protegidas por Adulteração sem desativar primeiro a Proteção contra Adulteração.

Filtros de Atribuição e gestão de definições de segurança

Os filtros de atribuição não são suportados para dispositivos que comunicam através do canal do Microsoft Defender para Endpoint. Embora os filtros de atribuição possam ser adicionados a uma política que possa visar estes dispositivos, os dispositivos ignoram os filtros de atribuição. Para o suporte do filtro de atribuição, o dispositivo tem de estar inscrito no Microsoft Intune.

Eliminar e remover dispositivos

Pode eliminar dispositivos que utilizem este fluxo através de um de dois métodos:

  • No centro de administração do Microsoft Intune , aceda a Dispositivos>Todos os dispositivos, selecione um dispositivo que apresente MDEJoined ou MDEManaged na coluna Gerido por e, em seguida, selecione Eliminar.
  • Também pode remover dispositivos do âmbito da Gestão de Configuração no Centro de Segurança.

Assim que um dispositivo é removido de qualquer uma das localizações, essa alteração propaga-se para o outro serviço.

Não é possível ativar a carga de trabalho Gestão de Segurança do Microsoft Defender para Endpoint no Endpoint Security

Embora os fluxos de aprovisionamento iniciais possam ser concluídos por um Administrador com permissões em ambos os serviços, as seguintes funções são suficientes para concluir as configurações em cada serviço separado:

  • Para o Microsoft Defender, utilize a função Administrador de Segurança.
  • Para o Microsoft Intune, utilize a função Endpoint Security Manager.

Dispositivos associados ao Microsoft Entra

Os dispositivos associados ao Active Directory utilizam a infraestrutura existente para concluir o processo de associação híbrida do Microsoft Entra.

Definições de segurança não suportadas

As seguintes definições de segurança estão pendentes de preterição. O fluxo de gestão de definições de segurança do Defender para Endpoint não suporta estas definições:

  • Agilizar a frequência de relatórios de telemetria (em Deteção e Resposta de Pontos Finais)
  • AllowIntrusionPreventionSystem (em Antivírus)
  • Proteção contra Adulteração (em Experiência de Segurança do Windows). Esta definição não está pendente de preterição, mas atualmente não é suportada.

Utilização da gestão de definições de segurança em controladores de domínio

Uma vez que é necessária uma confiança do Microsoft Entra ID, os controladores de domínio não são atualmente suportados. Estamos a analisar formas de adicionar este suporte.

Importante

Em alguns casos, os Controladores de Domínio que executam um sistema operativo de servidor de nível inferior (2012 R2 ou 2016) podem ser geridos involuntariamente pelo Microsoft Defender para Endpoint. Para garantir que isto não acontece no seu ambiente, recomendamos que certifique-se de que os controladores de domínio não estão etiquetados como "MDE-Management" ou geridos pelo MDE.

Instalação do Server Core

A gestão de definições de segurança não suporta instalações principais do servidor devido às limitações da plataforma principal do servidor.

Modo restrito do PowerShell

O PowerShell tem de estar ativado.

A gestão de definições de segurança não funciona para um dispositivo que tenha o LanguageMode do PowerShell configurado com o modo enabledConstrainedLanguage . Para obter mais informações, veja about_Language_Modes na documentação do PowerShell.

Gerir a segurança através do MDE se estava a utilizar anteriormente uma ferramenta de segurança de terceiros

Se anteriormente tinha uma ferramenta de segurança de terceiros no computador e agora está a geri-la com a MDE, poderá ver algum impacto na capacidade da MDE para gerir as Definições de segurança em casos raros. Nesses casos, como medida de resolução de problemas, desinstale e reinstale a versão mais recente do MDE no seu computador.

Próximas etapas