Visão geral do Gerenciar Dispositivos com o Intune

Um componente principal da segurança de nível empresarial inclui o gerenciamento e a proteção de dispositivos. Se você estiver criando uma arquitetura de segurança de Confiança Zero, protegendo seu ambiente contra ransomware ou criando proteções para dar suporte a funcionários remotos, o gerenciamento de dispositivos faz parte da estratégia. Embora o Microsoft 365 inclua várias ferramentas e metodologias para gerenciar e proteger dispositivos, essas diretrizes abordam as recomendações da Microsoft usando o Microsoft Intune. Esta é a orientação certa para você se você:

  • Planeje registrar dispositivos no Intune por meio de Microsoft Entra junção (incluindo Microsoft Entra junção híbrida).
  • Planejar para registrar manualmente dispositivos no Intune.
  • Permita que dispositivos BYOD com planos implementem proteção para aplicativos e dados e/ou registrem esses dispositivos no Intune.

Por outro lado, se o ambiente incluir planos de cogerenciamento, incluindo Microsoft Configuration Manager, consulte Documentação de cogerenciamento para desenvolver o melhor caminho para sua organização. Se o seu ambiente inclui planos para o PC na Nuvem do Windows 365, consulte a documentação do Windows 365 Enterprise para desenvolver o melhor caminho para sua organização.

Assista a esse vídeo para obter uma visão geral do processo de implementação.

Por que gerenciar pontos de extremidade?

A empresa moderna tem uma diversidade incrível de pontos de extremidade que acessam seus dados. Essa configuração cria uma superfície de ataque massiva e, como resultado, os pontos de extremidade podem facilmente se tornar o elo mais fraco em sua estratégia de segurança de Confiança Zero.

Principalmente direcionados pela necessidade, à medida que o mundo mudou para um modelo de trabalho remoto ou híbrido, os usuários estão trabalhando de qualquer lugar, de qualquer dispositivo, mais do que em qualquer momento na história. Os invasores estão ajustando rapidamente suas táticas para tirar proveito dessa mudança. Muitas organizações enfrentam recursos restritos à medida que navegam nesses novos desafios de negócios. Praticamente de um dia para o outro, as empresas aceleraram a transformação digital. Dito de forma simples, a maneira como as pessoas trabalham mudou: não esperamos mais acessar a infinidade de recursos corporativos somente do escritório e em dispositivos de propriedade da empresa.

Obter visibilidade dos pontos de extremidade que acessam seus recursos corporativos é a primeira etapa em sua estratégia de dispositivo de Confiança Zero. Normalmente, as empresas são proativas na proteção de computadores contra vulnerabilidades e ataques, enquanto os dispositivos móveis geralmente ficam sem monitoramento e sem proteções. Para garantir que você não esteja expondo seus dados a riscos, precisamos monitorar cada ponto de extremidade quanto a riscos e empregar controles de acesso granulares para fornecer o nível apropriado de acesso com base na política organizacional. Por exemplo, se um dispositivo pessoal estiver desbloqueado, você poderá bloquear o acesso para garantir que os aplicativos empresariais não sejam expostos a vulnerabilidades conhecidas.

Esta série de artigos percorre um processo recomendado para gerenciar dispositivos que acessam seus recursos. Se você seguir as etapas recomendadas, sua organização obterá uma proteção muito sofisticada para seus dispositivos e os recursos que eles acessam.

Implementar as camadas de proteção em e para dispositivos

Proteger os dados e aplicativos em dispositivos e nos próprios dispositivos é um processo de várias camadas. Há algumas proteções que você pode obter em dispositivos não gerenciados. Depois de registrar dispositivos no gerenciamento, você pode implementar controles mais sofisticados. Quando a proteção contra ameaças é implantada em seus pontos de extremidade, você obtém ainda mais insights e a capacidade de corrigir automaticamente alguns ataques. Por fim, se sua organização se esforçou para identificar dados confidenciais, aplicar classificação e rótulos e configurar políticas de prevenção de perda de dados do Microsoft Purview, você poderá obter uma proteção ainda mais granular para dados em seus pontos de extremidade.

O diagrama a seguir ilustra os blocos de construção para obter uma postura de segurança de Confiança Zero para o Microsoft 365 e outros aplicativos SaaS que você insere nesse ambiente. Os elementos relacionados aos dispositivos são numerados de um a sete. Essas são as camadas de proteção que os administradores de dispositivos coordenarão com outros administradores para realizar.

Pilha de implantação da Confiança Zero do Microsoft 365

Nesta ilustração:

  Etapa Descrição Requisitos de licenciamento
1 Configurar políticas de acesso de Confiança Zero de dispositivo e identidade inicial Trabalhe com seu administrador de identidade para proteção de dados da Política de Proteção de Aplicativo (APP) de Nível de Implementação 2. Essas políticas não exigem que você gerencie dispositivos. Você configura as políticas de aplicativo no Intune. O administrador de identidade configura uma política de Acesso Condicional para exigir aplicativos aprovados. E3, E5, F1, F3, F5
2 Registrar dispositivos no Intune Essa tarefa requer mais planejamento e tempo para implementar. A Microsoft recomenda usar o Intune para registrar dispositivos porque essa ferramenta oferece integração ideal. Existem várias opções para registrar dispositivos, dependendo da plataforma. Por exemplo, os dispositivos Windows podem ser registrados usando Microsoft Entra junção ou usando o Autopilot. Você precisa analisar as opções para cada plataforma e decidir qual opção de registro é a melhor para seu ambiente. Confira a Etapa 2. Registrar dispositivos no Intune para obter mais informações. E3, E5, F1, F3, F5
3 Configurar políticas de conformidade Você quer ter certeza de que os dispositivos que acessam seus aplicativos e dados atendem aos requisitos mínimos, por exemplo, os dispositivos são protegidos por senha ou pin e o sistema operacional está atualizado. As políticas de conformidade são a maneira de definir os requisitos que os dispositivos devem atender. A Etapa 3. Configurar políticas de conformidade ajuda a configurar essas políticas. E3, E5, F3, F5
4 Configurar políticas de acesso de dispositivo e identidade de Confiança Zero do Enterprise (recomendado) Agora que seus dispositivos estão registrados, é possível trabalhar com seu administrador de identidade para ajustar políticas de Acesso Condicional para exigir dispositivos íntegros e em conformidade. E3, E5, F3, F5
5 Implantar perfis de configuração Em vez de políticas de conformidade do dispositivo que simplesmente marcam um dispositivo como em conformidade ou não, com base nos critérios configurados, os perfis de configuração realmente alteram a configuração das configurações em um dispositivo. Você pode utilizar políticas de configuração para proteger os dispositivos contra ameaças cibernéticas. Confira a Etapa 5. Implantar perfis de configuração. E3, E5, F3, F5
6 Monitorar o risco do dispositivo e o cumprimento das linhas de base de segurança Nesta etapa, você conecta o Intune ao Microsoft Defender para Ponto de Extremidade. Com essa integração, você pode monitorar o risco do dispositivo como uma condição para acesso. Os dispositivos que forem considerados em um estado arriscado serão bloqueados. Você também pode monitorar a conformidade com linhas de base de segurança. Confira a Etapa 6. Monitorar o risco do dispositivo e a conformidade com as linhas de base de segurança. E5, F5
7 Implementar DLP (prevenção contra perda de dados) com recursos de proteção de informações Se sua organização tiver se dedicado a identificar dados confidenciais e rotular documentos, você poderá trabalhar com o administrador de proteção de informações para proteger informações e documentos confidenciais em seus dispositivos. Complemento de conformidade E5, F5

Coordenando o gerenciamento de ponto de extremidade com políticas de acesso de Confiança Zero de dispositivo e identidade

Essas diretrizes são fortemente coordenadas com as Políticas de acesso de Confiança Zero de dispositivo e identidade. Você trabalhará com sua equipe de identidade para realizar a proteção configurada com o Intune em políticas de Acesso Condicional em Microsoft Entra ID.

Aqui está uma ilustração do conjunto de políticas recomendado com chamadas de etapas para o trabalho que você fará no Intune e as políticas de Acesso Condicional relacionadas que você ajudará a coordenar em Microsoft Entra ID.

Políticas de acesso de Confiança Zero de dispositivo e identidade

Nesta ilustração:

  • Na Etapa 1, Implementar Política de Proteção de Aplicativo (APP) de Nível 2, você configura o nível recomendado de proteção de dados com políticas APP. Em seguida, trabalhe com sua equipe de identidade para configurar a regra de Acesso Condicional relacionada para exigir o uso dessa proteção.
  • Nas etapas 2, 3 e 4, você inscreve dispositivos no gerenciamento com o Intune, define as políticas de conformidade do dispositivo e, em seguida, coordena com sua equipe de identidade para configurar a regra de Acesso Condicional relacionada para permitir acesso apenas a dispositivos compatíveis.

Registrando dispositivos versus dispositivos de integração

Se você seguir esta orientação, registrará dispositivos no gerenciamento usando o Intune e integrará dispositivos para os seguintes recursos do Microsoft 365:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Purview (para prevenção contra perda de dados do ponto de extremidade (DLP))

A ilustração a seguir detalha como isso funciona usando o Intune.

Processo de registro e integração de dispositivos

Na ilustração:

  1. Registrar dispositivos no gerenciamento com o Intune.
  2. Usar o Intune para integrar dispositivos ao Defender para Ponto de Extremidade.
  3. Os dispositivos integrados ao Defender para Ponto de Extremidade também são integrados para recursos do Microsoft Purview, incluindo o Endpoint DLP.

Observe que apenas o Intune está gerenciando dispositivos. Onboarding refere-se à capacidade de um dispositivo compartilhar informações com um serviço específico. A tabela a seguir resume as diferenças entre a inscrição de dispositivos em dispositivos de gerenciamento e de integração para um serviço específico.

  Registrar Integração
Descrição O registro se aplica ao gerenciamento de dispositivos. Os dispositivos são registrados para gerenciamento com o Intune ou o Configuration Manager. A integração configura um dispositivo para funcionar com um conjunto específico de recursos no Microsoft 365. Atualmente, a integração se aplica aos recursos de conformidade do Microsoft Defender for Endpoint e da Microsoft.

Em dispositivos Windows, a integração envolve alternar uma configuração no Windows Defender que permite que o Defender se conecte ao serviço online e aceite políticas que se aplicam ao dispositivo.
Escopo Essas ferramentas de gerenciamento de dispositivos gerenciam todo o dispositivo, incluindo a configuração do dispositivo para atender a objetivos específicos, como segurança. A integração afeta apenas os serviços aplicáveis.
Método recomendado Microsoft Entra ingressar registra automaticamente dispositivos no Intune. O Intune é o método preferencial para integração de dispositivos Windows Defender Ponto de Extremidade e, consequentemente, recursos do Microsoft Purview.

Observe que os dispositivos integrados aos recursos do Microsoft Purview usando outros métodos não são registrados automaticamente no Defender para Ponto de Extremidade.
Outros métodos Outros métodos de registro dependem da plataforma do dispositivo e se é BYOD ou gerenciado por sua organização. Outros métodos para dispositivos de integração incluem, na ordem recomendada:
  • Configuration Manager
  • Outra ferramenta de gerenciamento de dispositivos móveis (se o dispositivo for gerenciado por um)
  • Script local
  • Pacote de configuração de VDI para integração de dispositivos de infraestrutura de área de trabalho virtual (VDI) não persistente
  • Política de Grupo
  • Aprendizado para administradores

    Os recursos a seguir ajudam os administradores a aprender conceitos sobre como usar o Intune.

    Simplificar o gerenciamento de dispositivos com Microsoft Intune Descrição: saiba mais sobre o gerenciamento moderno e a Microsoft Intune família de produtos e como as ferramentas de gerenciamento de negócios no Microsoft 365 podem simplificar o gerenciamento de todos os seus dispositivos.

    Configurar Microsoft Intune Descrição: Microsoft Intune ajuda você a proteger os dispositivos, aplicativos e dados que as pessoas da sua organização usam para serem produtivos. Depois de concluir este módulo, você terá configurado Microsoft Intune. A configuração inclui revisar as configurações com suporte, inscrever-se no Intune, adicionar usuários e grupos, atribuir licenças a usuários, conceder permissões de administrador e definir a autoridade de MDM.