Gerenciar perfis de linha de base de segurança no Microsoft Intune

Para ajudar a proteger seus usuários e dispositivos Windows, você pode configurar e implantar instâncias distintas de Microsoft Intune perfis de linha de base de segurança para diferentes grupos de dispositivos Windows e usuários. Há linhas de base diferentes para produtos diferentes e cada um é um grupo de configurações pré-configuradas que representam a postura de segurança recomendada dessa equipe de segurança de produtos. Você pode implantar uma linha de base padrão (não modificada) ou personalizar seus perfis para configurar dispositivos com as configurações necessárias pela sua organização.

Para obter uma lista de linhas de base de segurança disponíveis, consulte Visão geral das linhas de base de segurança.

Esse recurso aplica-se a:

• Windows 10 versão 1809 e posterior
• Windows 11

Visão geral das linhas de base de segurança

Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo composto por várias definições de configuração de dispositivo.

Quando existem várias versões para uma linha de base de segurança, apenas a versão mais recente pode ser usada para criar uma nova instância dessa linha de base. Você pode continuar a usar instâncias de linhas de base mais antigas que você criou anteriormente e editar os grupos aos quais eles foram atribuídos. No entanto, versões desatualizadas não dão suporte a alterações em suas configurações. Em vez disso, crie novas linhas de base que usam a versão de linha de base mais recente ou atualize suas linhas de base mais antigas para essa versão mais recente se você precisar introduzir novas configurações para configurações.

Recomendamos atualizar versões de linha de base mais antigas para a versão mais recente assim que for prático fazê-lo. Uma versão mais recente pode:

• Inclua novas configurações que não estavam disponíveis nas versões mais antigas.
• Retire e remova configurações antigas que não têm mais suporte.
• Altere a configuração padrão para que as configurações se alinhem às recomendações de segurança atuais para o produto aplicável.

Tarefas comuns ao trabalhar com linhas de base de segurança incluem:

• Create uma nova instância de perfil – configure as configurações que você deseja usar e atribua a linha de base a grupos.
• Atualize uma linha de base de versão mais antiga para a versão mais atual da linha de base – altere a versão da linha de base em uso por um perfil.
• Remover uma atribuição de linha de base – Saiba o que acontece quando você para de gerenciar as configurações com uma linha de base de segurança.

Pré-requisitos

• O uso de Intune para implantar linhas de base de segurança requer uma assinatura do Plano 1 Microsoft Intune.

  Dica

  Intune fornece uma interface de usuário fácil de usar para configurar e implantar linhas de base de segurança, mas não cria nem define as linhas de base de segurança. Fora Intune, outras opções para implantar linhas de base de segurança estão disponíveis, como as disponíveis no Kit de Ferramentas de Conformidade de Segurança.

• O uso de linhas de base por meio de Intune exige que você tenha uma assinatura ativa para o produto gerenciado, quando aplicável. Por exemplo, o uso da linha de base Microsoft Defender para Ponto de Extremidade não concede direitos de uso Microsoft Defender. Em vez disso, a linha de base fornece um método para configurar e gerenciar configurações presentes em dispositivos licenciados e gerenciados por Microsoft Defender para Ponto de Extremidade.

• Para gerenciar linhas de base no Intune, sua conta deve ter a função interna Gerenciador de Perfis e de Política.

Create um perfil para uma linha de base de segurança

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança de ponto de extremidade>Linhas de base de segurança para ver a lista de linhas de base disponíveis.

   

3. Selecione a linha de base que você quer usar e selecione Criar perfil.

4. Na guia Básico, especifique as seguintes propriedades:

   • Nome: insira um nome do perfil de linhas de base de segurança. Por exemplo, insira Perfil padrão para Defender para Ponto de Extremidade.

   • Descrição: insira algum texto que descreva a função dessa linha de base. A descrição serve para você inserir o texto que quiser. Isso é opcional, mas recomendado.

   Selecione Avançar para ir para a próxima guia. Depois de avançar para uma nova guia, você pode selecionar o nome da guia para retornar a uma guia exibida anteriormente.

5. Na guia Configurações, visualize os grupos de Configurações disponíveis na linha de base selecionada. É possível expandir um grupo para ver as configurações dele e os valores padrão dessas configurações na linha de base. Para localizar configurações específicas:

   • Selecione um grupo para expandir e verificar as configurações disponíveis.
   • Os insights de uma configuração estão disponíveis ao lado de um ícone de lâmpada. Os insights de configurações fornecem confiança nas configurações adicionando insights que organizações semelhantes adotaram com êxito. Os insights estão disponíveis para algumas configurações e não para todas as configurações. Para obter mais informações, consulte Insights de configurações.
   • Use a barra Pesquisar e especifique as palavras-chave que filtram a exibição para exibir apenas os grupos que contêm seus critérios de pesquisa.

   Cada configuração em uma linha de base tem uma configuração padrão para essa versão de linha de base. Redefina as configurações padrão para atender às suas necessidades de negócios. Linhas de base diferentes podem conter a mesma configuração e usar valores padrão diferentes para a configuração, dependendo da intenção da linha de base.

   

6. Na guia Marcas de escopo, selecione Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

7. Na guia Atribuições , selecione Selecionar grupos para incluir e atribua a linha de base a um ou mais grupos. Use Selecionar grupos para excluir a fim de ajustar a atribuição.

   Observação

   As linhas de base de segurança devem ser atribuídas a grupos de usuários ou grupos de dispositivos com base no escopo das configurações que estão sendo usadas. Devido a isso, várias linhas de base podem ser necessárias ao atribuir configurações baseadas em usuário e dispositivo.

   

8. Quando estiver pronto para implantar a linha de base, avance até a guia Revisar + criar para examinar os detalhes da linha de base. Selecione Criar para salvar e implantar o perfil.

   Assim que você cria o perfil, Intune o envia por push para o grupo atribuído, o que o aplica imediatamente.

   Dica

   Se você salvar um perfil sem primeiro atribuí-lo aos grupos, poderá editar o perfil posteriormente para fazer isso.

   

9. Depois de criar o perfil, edite-o acessando Segurança do ponto de extremidade>Linhas de base de segurança, depois selecione o tipo da linha de base que você configurou e selecione Perfis. Selecione o perfil na lista de perfis disponíveis e, em seguida, selecione Propriedades. Você pode editar as configurações de todas as guias de configuração disponíveis e selecionar Revisar + salvar para confirmar suas alterações.

Atualizar um perfil para a versão mais recente

As informações nesta seção se aplicam à atualização de uma instância de linha de base que foi criada antes de maio de 2023, para uma versão dessa mesma linha de base que foi lançada após maio de 2023.

Observação

Em maio de 2023, Intune iniciou a implantação de um novo formato de linha de base de segurança para cada nova versão ou atualização da linha de base. Intune também introduziu um novo processo de atualização para migrar um perfil de linha de base de segurança existente para uma linha de base de segurança recém-lançada. Esse novo comportamento substitui o comportamento existente ao migrar para uma versão de linha de base lançada em maio de 2023 ou posterior.

O comportamento anterior permanece disponível para uso ao atualizar linhas de base que ainda não receberam uma nova versão que usa o novo formato. Para obter diretrizes, consulte Atualizar linhas de base que usam o formato anterior.

Após maio de 2023, quando uma nova versão para uma linha de base for lançada, planeje atualizar seus perfis existentes para a nova versão. Ao passar de um formato mais antigo para o novo formato de linha de base (de uma versão lançada antes de maio de 2023 para uma lançada em maio de 2023 ou posterior):

• Todos os novos perfis para o tipo de linha de base, como o Microsoft Edge, usam o novo formato. Não há suporte para a criação de uma nova linha de base que use uma versão de linha de base mais antiga.

• As versões de linha de base lançadas antes de maio de 2023 não são atualizadas para o novo formato. Em vez disso, crie um novo perfil que use o novo formato e configure as configurações da linha de base antiga nesse novo formato de linha de base. A recriação do perfil é um processo único que é necessário para mover uma linha de base do formato antigo para o novo formato de linha de base.

  Para ajudá-lo nesse processo, Intune pode exportar o perfil antigo para um formato CSV que identifica cada configuração com base no nome da configuração como ela aparece na nova versão do perfil, juntamente com sua configuração.

• Depois de criar uma nova linha de base que pode substituir sua versão de linha de base mais antiga, o perfil mais antigo permanece inalterado e você pode continuar a usá-la. Você pode continuar implantando, reatribuindo e editando as configurações no formato de linha de base mais antigo.

  Dica

  O suporte para editar configurações em uma versão de linha de base mais antiga depois de atualizar para uma nova versão é uma alteração do comportamento passado. Esse comportamento só é possível ao migrar das versões de linhas de base criadas antes de maio de 2023 para versões criadas em maio de 2023 ou posterior porque o novo formato de linha de base existe lado a lado com o formato de linha de base mais antigo em vez de substituí-lo. Posteriormente, ao atualizar uma instância de linha de base criada em maio de 2023 ou posterior para uma versão mais recente, o comportamento original em que você não pode editar configurações na versão mais antiga retorna.

  Recomendamos planejar interromper o uso do formato mais antigo e implantar um perfil com base na versão mais recente o mais rápido possível. Os perfis mais antigos não recebem atualizações enquanto as versões mais recentes são lançadas em maio de 2023:

  • Use o novo formato de configurações na interface do usuário Intune que se alinha diretamente à origem do CSP (provedor de serviços de configuração) para cada configuração.
  • São pré-configurados com configurações padrão que as equipes de segurança relevantes recomendam.

Atualizar uma linha de base para o novo formato

Para atualizar uma linha de base criada antes de maio de 2023 para o novo formato, você deve criar uma nova instância de linha de base. Para ajudá-lo a recriar a configuração de linhas de base originais, você pode ter Intune exportar sua configuração de linhas de base atuais como um arquivo de .CSV. A exportação inclui:

• Cada configuração da linha de base mais antiga é identificada usando o nome da configuração como ela aparece na nova linha de base. Embora o nome da configuração não seja apresentado verbatim no .csv, você pode encontrar o caminho para a configuração, que contém parte do nome da configuração nela.
• Como cada configuração na linha de base mais antiga foi configurada.
• Se a configuração de uma configuração da linha de base antiga corresponder à configuração padrão da nova linha de base.

Com as informações da exportação, você pode reconfigurar rapidamente a nova linha de base para usar os mesmos valores da instância de linha de base mais antiga.

1. Entre no centro de administração Microsoft Intune e vá paralinhas> de base de segurança> do Ponto de ExtremidadeSelecione o tipo de linha de base e selecione a caixa de seleção para o perfil de linha de base (instância) que você deseja replicar no novo formato de linha de base e selecione Alterar Versão. Intune exibe o painel Alterar Versão.

   Na captura de tela a seguir, detalhamos a Linha de Base de Segurança do Microsoft Edge. Temos dois perfis no momento. Um é um novo perfil para o Microsoft Edge v112 e o outro é um perfil mais antigo a partir de setembro de 2020. O perfil mais antigo também exibe um ícone de seta para indicar que há uma versão mais recente para substituí-lo.

   

2. No painel Alterar Versão , há instruções para mover os detalhes da configuração da linha de base mais antiga para um perfil que usa o novo formato. O painel também identifica o nome e a versão das linhas de base selecionadas e qual é a versão mais recente da linha de base.

   1. Selecione Exportar Configurações de Perfil para criar um arquivo .csv que lista as configurações na linha de base selecionada junto com suas configurações atuais se elas não estiverem definidas como padrão de linhas de base. Quando você seleciona a opção para exportar os detalhes da linha de base, Intune prepara a exportação e, em seguida, exige que você concorde em continuar. Selecione Sim para baixar o .CSV exportação de arquivo.

   2. Após o download do arquivo, você pode abri-lo para exibir a configuração atual das linhas de base mais antigas.

   O painel Alterar Versão também inclui um botão para Create um novo perfil para a linha de base selecionada, que tem a mesma função que a opção Create perfil que é mais comumente usada para criar novas instâncias de linha de base.

   A captura de tela a seguir mostra uma exportação para o perfil do Microsoft Edge versão 85, conforme exibido no Microsoft Excel. Das novas linhas de base do Microsoft Edge 17 configurações encontradas no perfil mais antigo, apenas uma configuração foi alterada: Habilitar o isolamento do site para cada site foi definido como Desabilitado na linha de base mais antiga. Na linha de base mais recente, a configuração agora é padrão para Habilitado:

   

   Na imagem anterior, há três colunas de informações. As informações identificam as configurações no novo perfil e a configuração para cada uma delas que você tinha no perfil antigo.

   • DefinitionId – Esta coluna exibe o nome do registro de configurações. As informações após o sublinhado ( _ ) identificam o nome das configurações como ele aparece no novo perfil e formato de linha de base, mas sem espaços no nome. Esse valor também é o nome da configuração CSP que essa configuração de linha de base gerencia.

     Por exemplo, nossa configuração modificada de Habilitar o isolamento do site para cada site aparece nesta exportação como admx-microsoftedge_SitePerProcess. A última parte, SitePerProcess, ajuda a identificar a configuração.

   • defaultJson – esta coluna identifica a configuração padrão para essa configuração, conforme visto no novo formato de linha de base. Nossa configuração de exemplo para o CSP do SitePerProcess está definida como habilitada por padrão.

   • personalizedJson – A coluna final exibe a configuração de cada configuração da versão de perfil mais antiga. Essas informações ajudam você a entender quais configurações no novo perfil exigem modificação para corresponder à configuração dos perfis mais antigos. Nossa configuração de exemplo foi definida como desabilitada. Todas as outras configurações exibem "NotApplicable", pois não foram modificadas da configuração padrão na versão de linha de base mais antiga que temos usado.

   Você pode observar que o perfil de linha de base do Microsoft Edge atualizado tem mais do que as 17 configurações encontradas no perfil mais antigo. A exportação de linha de base não identifica essas novas configurações, pois elas não estavam disponíveis na versão de linha de base mais antiga que você está revisando.

   Posteriormente, ao criar e configurar o novo perfil, você pode usar a lista da exportação CSV para garantir que cada configuração do perfil anterior seja definida no novo perfil com a mesma configuração.

Atualizar linhas de base que usam o formato anterior

As informações nesta seção se aplicam à atualização de uma linha de base existente criada antes de maio de 2023 para uma versão dessa mesma linha de base que também foi lançada antes de maio de 2023.

Observação

Em maio de 2023, Intune iniciou a implantação de um novo formato de linha de base de segurança para cada nova versão ou atualização da linha de base. Intune também introduziu um novo processo de atualização para migrar um perfil de linha de base de segurança existente para uma linha de base de segurança recém-lançada. Esse novo comportamento substitui o comportamento existente ao migrar para uma versão de linha de base lançada em maio de 2023 ou posterior.

A orientação a seguir é para uso ao atualizar uma linha de base para uma versão mais recente que foi lançada antes de maio de 2023. Se você estiver atualizando uma linha de base para uma versão lançada em maio de 2023 ou posterior, consulte Atualizar um perfil para a versão mais recente.

Quando uma nova versão de uma linha de base estiver disponível, planeje atualizar seus perfis existentes para a nova versão:

• Perfis existentes não são atualizados para novas versões automaticamente.
• As configurações nos perfis de linha de base que não usam a versão mais recente se tornam somente leitura. Você pode continuar usando esses perfis mais antigos, incluindo editar seu nome, descrição e atribuições, mas não pode editar configurações para eles ou criar novos perfis com base nessas versões mais antigas.

Recomendamos que você teste a atualização da versão em uma cópia de seus perfis existentes antes de atualizar seus perfis ativos.

Quando você altera a versão do perfil:

• Você seleciona a instância mais recente da mesma linha de base. Não é possível fazer uma alteração entre dois tipos de linha de base diferentes, como fazer com que um perfil deixe de usar linha de base do Defender para Ponto de Extremidade e passe a usar a linha de base de segurança do MDM.

• Você pode exportar e baixar um arquivo CSV que lista as alterações entre as duas versões de linha de base envolvidas.

• Você escolhe como atualizar o perfil:

  • Você pode manter todas as suas personalizações da versão de linha de base original.
  • Você pode optar por usar os valores padrão para todas as configurações na nova versão de linha de base.

  Você não tem a opção de alterar apenas algumas configurações em um perfil durante a atualização.

Durante a conversão:

• Novas configurações que não estavam na versão mais antiga que você estava usando são adicionadas. As novas configurações da nova versão usam seus valores padrão.

• As configurações que não estão na nova versão de linha de base selecionada são removidas e não são mais aplicadas por esse perfil de linha de base de segurança.

  Quando uma configuração não for mais gerenciada por um perfil de linha de base, ela não será redefinida no dispositivo. Em vez disso, a configuração no dispositivo permanece definida para sua última configuração até que algum outro processo gerencie a configuração para alterá-la. Exemplos de processos que podem alterar uma configuração depois que você parar de gerenciá-la incluem um perfil de linha de base diferente, uma configuração de política de grupo ou configuração manual feita no dispositivo.

Após a conclusão da conversão para a nova versão da linha de base:

• A linha de base é reimplantada imediatamente nos grupos atribuídos.
• Você pode editar a linha de base para alterar configurações individuais.

Testar a linha de base convertida e atualizada

Antes de atualizar um perfil de linha de base para uma nova versão, crie uma cópia dele para que você possa testar a nova versão de seu perfil em um grupo de dispositivos. Confira Duplicar uma linha de base de segurança mais adiante neste artigo.

• Quando você cria uma cópia, as atribuições de grupo não são incluídas, o que significa que sua cópia de linha de base não será implantada em nenhum dispositivo no momento em que você fizer uma cópia ou no momento em que você atualizá-la para uma nova versão.
• Depois de atualizar o perfil para a versão mais recente, você pode editar suas configurações. Você pode atribuir a cópia atualizada a um grupo de dispositivos e editá-la para introduzir alterações em configurações individuais no perfil.

Para alterar a versão da linha de base de um perfil

Antes de atualizar a versão de um perfil atribuído a grupos, teste a atualização da versão em uma cópia do perfil para que você possa validar as novas configurações de linhas de base em um grupo de teste de dispositivos.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança de ponto de extremidade>Linhas de base de segurança, e selecione o bloco do tipo de linha de base com o perfil que você deseja alterar.

3. Em seguida, selecione Perfis, marque a caixa de seleção do perfil que você quer editar e selecione Alterar Versão.

   

4. No painel ​​Alterar Versão, use o menu suspenso Selecionar uma linha de base de segurança para a qual atualizar e selecione a instância da versão que você deseja usar.

   

5. Selecione Examinar atualização para fazer baixar um arquivo CSV que exibe a diferença entre a versão da instância atual do perfil e a nova versão que você selecionou. Revise esse arquivo para entender quais configurações são novas ou foram removidas e quais são os valores padrão para essas configurações no perfil atualizado.

   Quando estiver pronto, prossiga para a próxima etapa.

6. Escolha uma das duas opções para Selecionar um método para atualizar o perfil:

   • Aceitar alterações de linha de base, mas manter minhas personalizações de configuração existentes – Essa opção mantém as personalizações feitas no perfil da linha de base e as aplica à nova versão selecionada para uso.
   • Aceitar alterações de linha de base e descartar personalizações de configurações existentes – Esta opção substitui completamente o seu perfil original. O perfil atualizado usa os valores padrão para todas as configurações.

7. Selecione Enviar. O perfil é atualizado para a versão de linha de base selecionada e, após a conclusão da conversão, a linha de base é imediatamente reimplementada aos grupos atribuídos.

Remover uma atribuição de linha de base de segurança

Quando uma configuração de linha de base de segurança não se aplica mais a um dispositivo ou as configurações em uma linha de base são definidas como Não configuradas, essas configurações em um dispositivo podem não reverter a uma configuração pré-gerenciada, dependendo das configurações na linha de base de segurança. As configurações são baseadas em CSPs, e cada CSP pode lidar com a remoção de perfil de forma diferente.

Outros processos que podem alterar posteriormente as configurações no dispositivo incluem uma linha de base de segurança diferente ou nova, um perfil de configuração de dispositivo, configurações de Política de Grupo ou a edição manual da configuração no dispositivo.

Duplicar uma linha de base de segurança

Você pode criar duplicatas de suas linhas de base de segurança. Duplicar uma linha de base pode ser útil quando você deseja atribuir uma linha de base semelhante, mas distinta, a um subconjunto de dispositivos. Ao criar uma duplicata, você não precisa recriar manualmente toda a linha de base. Em vez disso, duplique qualquer uma das suas linhas de base atuais e, em seguida, introduza apenas as alterações exigidas pela nova instância. Você pode alterar apenas uma configuração específica e o grupo ao qual a linha de base está atribuída.

Ao criar uma duplicata, dê à cópia um novo nome. A cópia é feita com as mesmas configurações de configuração e marcas de escopo que o original, mas não tem nenhuma atribuição. Você deve editar a nova linha de base para adicionar atribuições.

Todas as linhas de base de segurança dão suporte à criação de uma duplicata.

Depois de duplicar uma linha de base, examine e edite a nova instância para fazer alterações em sua configuração.

Para duplicar uma linha de base

1. Entre no Centro de administração do Microsoft Intune.
2. Vá para Segurança de ponto de extremidade>Linhas de base de segurança, selecione o tipo de linha de base que você deseja duplicar e, em seguida, selecione Perfis.
3. Clique com o botão direito do mouse no perfil que você deseja duplicar e selecione Duplicar ou selecione as reticências (…) à direita da linha de base e selecione Duplicar.
4. Forneça um Novo nome para a linha de base e selecione Salvar.

Após uma Atualização, o novo perfil de linha de base aparecerá no centro de administração.

Para editar uma linha de base

1. Selecione a linha de base e, em seguida, selecione Propriedades.

2. Nessa exibição, você pode selecionar Editar para as seguintes categorias para modificar o perfil:

   • Noções básicas
   • Atribuições
   • Marcas de escopo
   • Definição de configurações

   Você pode Editar os Parâmetros de configuração somente quando o perfil usa a versão mais recente da linha de base de segurança. Para perfis que usam versões mais antigas, você pode expandir as Configurações para exibir as configurações no perfil, mas não pode modificá-las. Após o perfil ser atualizado para a versão de linha de base mais recente, você poderá editar duas configurações.

3. Depois de fazer alterações, selecione Salvar para salvar suas edições. Salve as edições em uma categoria para introduzir edições em categorias adicionais.

Versões mais antigas da linha de base

Microsoft Intune atualiza as versões das linhas de base de segurança internas, dependendo das necessidades de alteração de uma organização típica. Cada nova versão resulta em uma atualização de versão em uma linha de base específica. A expectativa é que os clientes usem a versão mais recente da linha de base como ponto de partida para seus perfis de Configuração de Dispositivo.

Quando não há mais perfis que usam uma linha de base mais antiga listada em seu locatário, Microsoft Intune lista a versão de linha de base mais recente disponível.

Se você tiver um perfil associado a uma linha de base mais antiga, essa linha de base mais antiga continuará a ser listada.

Dispositivos cogerenciados

Linhas de base de segurança em dispositivos gerenciados pelo Intune são semelhantes aos dispositivos cogerenciados com o Configuration Manager. Os dispositivos cogerenciados usam o Configuration Manager e o Microsoft Intune para gerenciar dispositivos com Windows 10/11 simultaneamente. Isso permite que você anexe à nuvem seu investimento existente do Configuration Manager para obter os benefícios do Intune. Visão geral do cogerenciamento é um excelente recurso se você usa o Configuration Manager e também deseja os benefícios da nuvem.

Ao usar dispositivos cogerenciados, você deve alternar a carga de trabalho Configuração do dispositivo (suas configurações) para o Intune. Cargas de trabalho de configuração de dispositivo fornece mais informações.

Próximas etapas

• Verifique o status e monitore a linha de base e o perfil

• Veja as configurações nas versões mais recentes das linhas de base disponíveis:

  • Windows 10 e posterior - Linha de base de segurança MDM
  • Linha de base do Microsoft Defender para Ponto de Extremidade
  • Microsoft 365 Apps for Enterprise (linha de base do Office)
  • Microsoft Edge (versão 112 e posterior)
  • Linha de Base de Segurança do Windows 365