Usar grupos reutilizáveis de configurações com políticas de Intune
Esse recurso está em versão prévia pública.
Intune dá suporte a grupos de configurações reutilizáveis que você pode adicionar a políticas e perfis de configuração para ajudar a simplificar o gerenciamento de configurações comuns. Um bom momento para usar grupos reutilizáveis é quando você precisa usar as configurações com a mesma configuração em mais de um único perfil.
Quando você edita as configurações em um grupo reutilizável, as alterações que você faz se aplicam automaticamente a cada perfil que inclui o grupo. Quando você salva suas alterações no grupo de configurações reutilizáveis, Intune atualiza os perfis com essas novas configurações e implanta o perfil atualizado em dispositivos com base nas atribuições do perfil.
Os seguintes perfis dão suporte a grupos reutilizáveis:
- Controle do dispositivo, disponível por meio da política de redução de superfície de ataque de segurança do ponto de extremidade.
- Regras de Firewall do Windows, disponíveis por meio da política de firewall de segurança do ponto de extremidade.
Visão geral dos grupos de configurações reutilizáveis
Cada grupo de configurações reutilizáveis é um único objeto que pode incluir várias configurações. Depois de configurar um ou mais grupos reutilizáveis para uso com um tipo de perfil específico, você cria ou edita um perfil para adicionar os grupos. Os perfis podem dar suporte a vários grupos.
Para gerenciar grupos de configurações reutilizáveis, no centro de administração Microsoft Intune você usa a guia Configurações reutilizáveis associada à política e aos perfis com os quais você deseja usar um grupo. Na guia, você pode criar um grupo, editar as configurações em um grupo e exibir a contagem de políticas que herdam as configurações de cada grupo. Cada grupo de configurações reutilizáveis é usado apenas com seu tipo de perfil relacionado.
Por exemplo, a imagem a seguir mostra a guia Configurações reutilizáveis que você usaria para gerenciar grupos reutilizáveis para o perfil Regras de Firewall do Firewall do Windows:
Depois de criar grupos reutilizáveis, você usa uma opção em uma página de configurações de configuração de perfis para adicionar grupos a esse perfil. Perfis que incluem um ou mais grupos reutilizáveis usam cada configuração de cada grupo incluído como se as configurações estivessem configuradas diretamente no perfil.
Pré-requisitos
Os seguintes perfis dão suporte ao uso de grupos de configurações reutilizáveis:
Política de segurança do ponto de extremidade
Firewall>Regras do Firewall do Windows:
- Plataformas: Windows 10, Windows 11 e Windows Server
- Versões do Windows: os dispositivos devem executar Windows 10 20H2 ou posterior, ou Windows 11
Redução da superfície de ataque>Controle do dispositivo:
- Plataformas: Windows 10, Windows 11 e Windows Server
Gerenciamento de privilégios do ponto de extremidade
- Política de regras de elevação do Windows
Observação
Atualmente, não há suporte para grupos de configurações reutilizáveis para uso com o Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade.
Criar um grupo reutilizável
Cada grupo de configurações reutilizáveis inclui um subconjunto de configurações do perfil completo para o qual você está criando o grupo. Use os links a seguir para exibir as configurações que você pode configurar em um grupo de configurações para cada perfil:
Para criar um grupo de configurações reutilizáveis:
Abra o centro de administração Microsoft Intune, navegue até a política para a qual deseja criar um grupo reutilizável e selecione a guia Configurações reutilizáveis (versão prévia).
Selecione Adicionar para abrir o fluxo de trabalho Configurar configurações reutilizáveis (versão prévia ).
Na página Noções básicas , configure um nome. A descrição é opcional.
Na página Configuração de configurações , selecione Adicionar e, em seguida, configure as configurações para esse grupo como se estivesse configurando configurações diretamente no perfil com suporte.
Para Controle de Dispositivo, ao selecionar Adicionar , você deverá escolher o tipo de configurações de grupo a ser configurada e, em seguida, selecionar Editar instância para continuar. Se você adicionar mais de uma instância, examine a configuração de tipo de correspondência para o grupo.
Há um limite de 100 instâncias por grupo. Use o texto de informações no centro de administração para cada configuração no grupo de configurações reutilizáveis como diretrizes. Siga o link Saiba mais para uma configuração para exibir detalhes sobre a configuração dessa fonte de conteúdo de configurações.
Dica
Nomeie cuidadosamente cada grupo reutilizável que você criar para garantir que você possa identificá-lo posteriormente. Isso é importante porque cada grupo reutilizável que você cria, para qualquer tipo de política, fica visível ao adicionar grupos reutilizáveis a uma política, mesmo que o grupo contenha configurações que normalmente não se aplicam à política que você está configurando. Por exemplo, se você tiver um grupo reutilizável criado para regras do Firewall do Windows, esse grupo ficará visível e poderá ser selecionado ao adicionar grupos reutilizáveis às políticas de Controle de Dispositivo.
Na página Revisar + Adicionar , selecione Adicionar para salvar seu grupo de configurações reutilizáveis.
Modificar um grupo reutilizável
Quando você edita a configuração de um grupo reutilizável, cada perfil que usa esse grupo é atualizado automaticamente para aplicar a nova configuração aos dispositivos.
Abra o centro de administração Microsoft Intune, navegue até a política para a qual deseja criar um grupo reutilizável e selecione a guia Configurações reutilizáveis (versão prévia).
Selecione o grupo de configurações reutilizáveis que você deseja editar. Isso abre o fluxo de trabalho de configuração que se assemelha ao fluxo de trabalho para criar um novo grupo reutilizável.
Na página Noções básicas , você pode renomear o grupo e, na página Configurações de configuração , você pode reconfigurar as configurações. Na última página, selecione Salvar para salvar sua configuração e atualizar os perfis que usam o grupo de configurações.
Adicionar grupos reutilizáveis a um perfil de regra de firewall do Windows
Adicione grupos de configurações reutilizáveis a perfis durante a edição ou criação do perfil. Na página Configuração de perfis, use uma opção que dá suporte à adição de um ou mais grupos criados anteriormente.
No centro de administração Microsoft Intune, crie um novo perfil ou selecione e edite um perfil existente.
Na página Configuração de configurações , selecione Adicionar para adicionar uma nova regra ou Editar regra para gerenciar uma regra criada anteriormente.
No painel Configurar instância para a regra, configure Ação para determinar como essa regra gerencia configurações como Endereços IP ou FQDNs. Por exemplo, você pode definir a ação para permitir ou bloquear. Essa configuração se aplica às configurações que você adiciona diretamente a essa regra e às configurações que estão em cada grupo reutilizável que é adicionado a essa regra.
Salve a configuração da regra.
Para a regra salva, selecione Definir configurações reutilizáveis para abrir o painel Selecionar configurações reutilizáveis .
Selecione um ou mais grupos disponíveis para adicioná-los a essa regra e salve suas seleções.
Depois de adicionar grupos reutilizáveis a um perfil, salve sua configuração. Quando salvo, Intune inclui as configurações dos grupos reutilizáveis e implanta o perfil em dispositivos com base nas atribuições do perfil.
Adicionar grupos reutilizáveis a um perfil de Controle de Dispositivo
Adicione grupos de configurações reutilizáveis a perfis durante a edição ou criação do perfil. Grupos reutilizáveis para perfis de Controle de Dispositivo dão suporte aos seguintes tipos de configurações:
- Dispositivo de impressora
- Repositório removível
Na página Configuração de perfis, use uma opção que dá suporte à adição de um ou mais grupos criados anteriormente.
No centro de administração Microsoft Intune, crie um novo perfil ou selecione e edite um perfil existente.
Na página Configuração de configurações , expanda a categoria Controle de Dispositivo e selecione Adicionar para adicionar uma nova regra ou Editar Entrada para gerenciar uma regra criada anteriormente.
- Selecione Adicionar para adicionar mais regras.
- Selecione Editar Entrada para abrir o painel Configurar Entrada para configurar ainda mais o uso do grupo.
No painel Configurar Entrada , dê um Nome à entrada e configure o seguinte e selecione OK para salvar a regra:
- Tipo: define a ação para os grupos de armazenamento removíveis. Quando há conflitos para Tipo para a mesma mídia, o primeiro tipo definido na política é aplicado.
- Opções: define se deve exibir uma notificação ao usuário do dispositivo. As opções disponíveis dependem do Tipo selecionado.
- Máscara de acesso: escolha um ou mais de Ler, Gravar, Executar.
- Sid: o grupo sid do usuário local ou o sid do usuário ou o Sid do objeto AD define se deve aplicar essa política a um usuário ou grupo de usuários específico; uma entrada pode ter no máximo um Sid e uma entrada sem sid significa que aplica a política sobre o computador.
- Computador Sid: o sid do computador local ou o grupo sid do computador ou o Sid do objeto AD define se deve aplicar essa política em um grupo de máquinas ou máquinas específico; uma entrada pode ter um máximo de um ComputerSid e uma entrada sem qualquer ComputerSid significa que aplica a política sobre o computador. Se você quiser aplicar uma Entrada a um usuário específico e um computador específico, adicione Sid e ComputerSid à mesma Entrada.
Para obter mais informações sobre essas opções, confira os seguintes artigos na documentação do Microsoft Defender para Ponto de Extremidade:
- Microsoft Defender para Ponto de Extremidade Controle de Acesso de Armazenamento Removível de Controle de Dispositivo na documentação do Microsoft Defender para Ponto de Extremidade.
- Visão geral da Proteção da Impressora
Para a regra salva, selecione Definir configurações reutilizáveis para ID incluída e ID excluída para atender às suas necessidades. Ambas as seleções abrem um painel Selecionar configurações reutilizáveis .
Selecione um ou mais grupos disponíveis para adicioná-los a essa regra e salve suas seleções. O seguinte mostra uma configuração com apenas um grupo selecionado para ID Excluída:
Depois de adicionar grupos reutilizáveis a um perfil, conclua a configuração da política. Quando salvo, Intune inclui as configurações dos grupos reutilizáveis e implanta o perfil em dispositivos com base nas atribuições do perfil. Um máximo de 100 grupos reutilizáveis podem ser adicionados por perfil.
Se você tiver uma licença E5, poderá usar Microsoft Defender para Ponto de Extremidade para exibir eventos de controle de dispositivo sob o relatório controle de dispositivo e a caça avançada. Consulte Proteger os dados da sua organização com controle de dispositivo | Microsoft Docs na documentação do Defender para Ponto de Extremidade.
Usar grupos reutilizáveis para o Endpoint Privilege Manager
Para obter informações sobre o suporte para usar grupos reutilizáveis para o Endpoint Privilege Manager, consulte Políticas para Endpoint Privilege Manager
Sobre conflitos políticos
As configurações do dispositivo que você pode gerenciar por meio de grupos de configurações reutilizáveis são aplicadas por Intune o mesmo que as configurações que são configuradas diretamente em um perfil. Se conflitos ou sobreposições forem introduzidos por configurações de seus grupos reutilizáveis, você poderá usar o mesmo processo de solução de problemas para identificar e resolve esses conflitos.
Para obter mais informações, examine as diretrizes que podem ser específicas para os tipos de perfil que você usa. Para obter diretrizes gerais, consulte Solucionar problemas de políticas e perfis em Microsoft Intune e perguntas e respostas comuns com políticas e perfis de dispositivo em Microsoft Intune.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de