Compartilhar via


Políticas de Conformidade no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

As informações neste tópico se aplicam somente ao System Center 2012 Configuration Manager SP1 ou posterior, e ao System Center 2012 R2 Configuration Manager ou posterior.

As políticas de conformidade no Gerenciador de Configurações definem as regras e configurações às quais um dispositivo deve obedecer para ser considerado compatível pelas políticas de acesso condicional. Você também pode usar as políticas de conformidade para monitorar e corrigir problemas com dispositivos, independentemente do acesso condicional.

System_CAPS_importantImportante

As políticas de conformidade aplicam-se apenas aos dispositivos que são gerenciados pelo Microsoft Intune.

Essas regras incluem:

  • PIN e senhas

  • Criptografia

  • Se o dispositivo está desbloqueado ou com raiz

  • Se o email no dispositivo é gerenciado por uma política Intune

  • Versão do sistema operacional mínima necessária - Geralmente isso depende de seus requisitos de segurança e políticas de conformidade da empresa. Isso ajuda a impedir o acesso a dispositivos que podem ter vulnerabilidades de segurança porque eles estão usando uma versão mais antiga do sistema operacional.

  • Versão do sistema operacional máxima permitida - você poderá não oferecer suporte a versão de sistema operacional mais recente disponível antes de testar ou por outros motivos. Você pode optar por bloquear os dispositivos que têm uma versão posterior à especificada por você. O dispositivo não poderá acessar os recursos da empresa até que a política seja alterada.

System_CAPS_noteObservação

Se quiser definir regras mínimas e máximas para versões do sistema operacional, você deve usar a Extensão de acesso condicional mais recente para o System Center 2012 R2 Configuration Manager SP1.

System_CAPS_noteObservação

Em PCs com Windows, o sistema operacional Windows versão 8.1 será relatado como 6.3 em vez de 8.1. Se a regra de versão do sistema operacional é definida como Windows 8.1 para Windows, em seguida, o dispositivo será relatado como não compatível mesmo que o dispositivo tenha Windows OS 8.1. Verifique se você está definindo a versão relatada correta do Windows para as regras de sistema operacional mínima e máxima. O número de versão deve corresponder à versão retornada pelo comando winver.

Os Windows Phones não têm esse problema, a versão será relatada como 8.1 conforme o esperado.

Implante políticas de conformidade em coleções de usuários. Quando uma política de conformidade é implantada para um usuário, todos os dispositivos de usuários são verificados quanto à conformidade.

A tabela a seguir lista os tipos de dispositivos suportados pelas políticas de conformidade e como configurações não compatíveis são gerenciadas quando a política é usada com uma política de acesso condicional.

Tipo de dispositivo

Configuração de senha ou PIN

Criptografia de dispositivo

Dispositivo desbloqueado ou modificado

Perfil de email

Versão mínima do SO

Versão máxima do SO

Windows 8.1 e posterior

Corrigida

N/D

N/D

N/D

Em Quarentena

Em Quarentena

Windows Phone 8.1 e posterior

Corrigida

Corrigida

N/D

N/D

Em Quarentena

Em Quarentena

iOS 6.0 e posterior

Corrigida

Corrigida (pela definição do PIN)

Em Quarentena (não é uma configuração)

Em Quarentena

Em Quarentena

Em Quarentena

Android 4.0 e posterior

Em Quarentena

Em Quarentena

Em Quarentena (não é uma configuração)

N/D

Em Quarentena

Em Quarentena

Samsung KNOX padrão 4.0 e posterior

Em Quarentena

Em Quarentena

Em Quarentena (não é uma configuração)

N/D

Em Quarentena

Em Quarentena

Corrigida = A conformidade é imposta pelo sistema operacional do dispositivo (por exemplo, o usuário será forçado a definir um PIN). Nunca há um caso em que a configuração será fora de conformidade.

Em Quarentena = O sistema operacional do dispositivo não impõe conformidade (por exemplo, dispositivos Android não forçam o usuário a criptografar o dispositivo). Nesse caso:

  • O dispositivo será bloqueado se o usuário for afetado pela política de acesso condicional.

  • O portal da empresa ou um portal da Web notificará o usuário sobre quaisquer problemas de conformidade.

Etapa 1: criar uma política de conformidade

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No espaço de trabalho Ativos e Conformidade, expanda Configurações de Conformidade e clique em Políticas de Conformidade.

  3. Na guia Início, no grupo Criar, clique em Criar Política de Conformidade.

  4. Na página Geral do Assistente para Criar a Política de Conformidade, especifique as seguintes informações:

    Configuração

    Mais informações

    Nome

    Insira um nome exclusivo para a política de conformidade. Você pode usar no máximo 256 caracteres.

    Descrição

    Insira uma descrição que forneça uma visão geral do perfil de VPN e que ajude a identificá-lo no console do Gerenciador de Configurações. Você pode usar no máximo 256 caracteres.

    Severidade de não conformidade para relatórios

    Especifique o nível de severidade que será relatado se esta política de conformidade for avaliada como não compatível. Os níveis de severidade disponíveis são os seguintes:

    • Nenhum Os dispositivos que não obedecem a esta regra de conformidade não relatam uma severidade de falha para os relatórios do Gerenciador de Configurações.

    • Informações Os dispositivos que não obedecem a esta regra de conformidade relatam uma severidade de falha de Informações para os relatórios do Gerenciador de Configurações.

    • Aviso Os dispositivos que não obedecem a esta regra de conformidade relatam uma severidade de falha de Aviso para os relatórios do Gerenciador de Configurações.

    • Crítico Os dispositivos que não obedecem a esta regra de conformidade relatam uma severidade de falha de Crítico para os relatórios do Gerenciador de Configurações.

    • Crítico com evento Os dispositivos que não obedecem a esta regra de conformidade relatam uma severidade de falha de Crítico para os relatórios do Gerenciador de Configurações. Este nível de severidade também é registrado como um evento do Windows no log de eventos do aplicativo.

  5. Na página Plataformas com Suporte, escolha as plataformas de dispositivo nas quais esta política de conformidade será avaliada ou clique em Selecionar todas para escolher todas as plataformas de dispositivo.

  6. Na página Regras, defina uma ou mais regras que definem a configuração que os dispositivos devem ter para que eles sejam avaliados como compatíveis. A tabela a seguir mostra as regras disponíveis. Quando você cria uma política de conformidade, algumas regras são habilitadas por padrão, mas você pode editar ou excluí-las.

    Nome da regra

    Mais informações

    Plataformas com suporte

    Exigir configurações de senha em dispositivos móveis

    Requer que os usuários insiram uma senha antes que possam acessar seu dispositivo.

    (Habilitado por padrão)

    • Windows Phone 8 e posterior

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    Permitir senha simples

    Permite que os usuários criem senhas simples, como "1234" ou "1111".

    (Desabilitado por padrão)

    • Windows Phone 8 e posterior

    • iOS 6 e posterior

    Comprimento mínimo da senha1

    Especifica o número mínimo de dígitos ou caracteres que a senha do usuário deve conter.

    (6 por padrão)

    • Windows Phone 8 e posterior

    • Windows 8.1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    Criptografia de arquivo no dispositivo móvel

    Requer que o dispositivo seja criptografado para conectar-se aos recursos.

    Os dispositivos que executam o Windows Phone 8 são criptografados automaticamente.

    System_CAPS_importantImportante

    Os dispositivos que executam o iOS são criptografados ao definir a configuração Exigir configurações de senha em dispositivos móveis.

    (Habilitado por padrão)

    • Windows Phone 8 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    O dispositivo não deve ser desbloqueado nem modificado

    Se habilitada, dispositivos desbloqueados (iOS) ou modificados (Android) serão incompatíveis.

    (Desabilitado por padrão)

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    O perfil de email deve ser gerenciado pelo Intune

    Quando esta opção for selecionada, se o usuário tiver configurado no dispositivo uma conta de email que corresponda a um perfil de email implantado nesse dispositivo por um administrador de TI, o dispositivo em questão será relatado como não compatível. O Gerenciador de Configurações não pode substituir o perfil provisionado pelo usuário e, portanto, não pode gerenciá-lo.

    Para garantir a conformidade, o usuário deve remover as configurações de email existentes e, em seguida, o Gerenciador de Configurações pode instalar o perfil de email gerenciado.

    Para obter detalhes sobre os perfis de email, veja Habilitar o acesso ao email corporativo usando perfis de email com o Microsoft Intune.

    (Desabilitado por padrão)

    • iOS 6 e posterior

    Perfil de email

    Se a opção A conta de email deve ser gerenciada pelo Intune estiver marcada, clique em Selecionar para escolher o perfil de email pelo qual os dispositivos devem ser gerenciados. O perfil de email deve estar presente no dispositivo.

    • iOS 6 e posterior

    SO mínimo requerido

    Quando um dispositivo não atende ao requisito mínimo de versão do sistema operacional, ele será relatado como não compatível. Será exibido um link com informações sobre como atualizar. O usuário final pode optar por atualizar seus dispositivos após o qual eles serão capazes de acessar os recursos da empresa.

    • Windows Phone 8 e posterior

    • Windows 8.1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    Versão máxima do SO permitida

    Quando um dispositivo estiver usando uma versão de sistema operacional posterior àquela especificada na regra, o acesso aos recursos da empresa será bloqueado e o usuário será solicitado a entrar em contato com o administrador de TI. Até que haja uma alteração na regra para permitir a versão do SO, este dispositivo não pode ser usado para acessar recursos da empresa.

    • Windows Phone 8 e posterior

    • Windows 8.1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX padrão 4.0 e posterior

    1 Para dispositivos que executam o Windows e são protegidos com uma Conta da Microsoft, a política de conformidade não é avaliada corretamente se o Comprimento mínimo da senha tem mais de 8 caracteres ou se o Número mínimo de conjuntos de caracteres é maior do que 2.

  7. Na página Resumo do assistente, examine as configurações feitas e conclua o assistente.

A nova política é exibida no nó Políticas de Conformidade do espaço de trabalho Ativos e Conformidade.

Implantar uma política de conformidade

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No espaço de trabalho Ativos e Conformidade, expanda Configurações de Conformidade e clique em Políticas de Conformidade.

  3. Na guia Início, no grupo Implantação, clique em Implantar.

  4. Na caixa de diálogo Implantar Política de Conformidade, clique em Procurar para selecionar a coleção de usuários nos quais você deseja implantar a política.

    Além disso, é possível selecionar opções para gerar alertas quando a política não for compatível e também para configurar o agendamento por meio do qual essa política será avaliada quanto à conformidade.

  5. Quando terminar, clique em OK.

Monitorar a política de conformidade

Para exibir resultados de conformidade no console do Configuration Manager

  1. No console do Gerenciador de Configurações, clique em Monitoramento.

  2. No espaço de trabalho Monitoramento, clique em Implantações.

  3. Na lista Implantações, selecione a implantação da política de conformidade para a qual você deseja examinar as informações de conformidade.

  4. É possível examinar as informações de resumo sobre a conformidade da implantação da política na página principal. Para exibir informações mais detalhadas, selecione a implantação e, na guia Início, no grupo Implantação, clique em Exibir Status para abrir a página Status da Implantação.

    A página Status da Implantação contém as seguintes guias:

    - **Compatível**: exibe a conformidade da política com base no número de ativos afetados. É possível clicar em uma regra para criar um nó temporário no nó **Usuários** ou **Dispositivos** que estão localizados no espaço de trabalho **Ativos e Conformidade**, que contém todos os usuários ou dispositivos que são compatíveis com esta regra. O painel **Detalhes do Ativo** exibe os usuários e os dispositivos compatíveis com a política. Clique duas vezes em um usuário dispositivo na lista para exibir informações adicionais.
    
    - **Erro**: exibe uma lista de todos os erros da implantação da política selecionada com base no número de ativos afetados. É possível clicar em uma regra para criar um nó temporário no nó **Usuários** ou **Dispositivos** do espaço de trabalho **Ativos e Conformidade**, que contém todos os usuários ou dispositivos que geraram erros com esta regra. Ao selecionar um usuário ou dispositivo, o painel **Detalhes do Ativo** exibe os usuários ou os dispositivos afetados pelo problema selecionado. Clique duas vezes em um usuário ou dispositivo na lista para exibir informações adicionais sobre o problema.
    
    - **Não Compatível**: exibe uma lista de todas as regras não compatíveis na política com base no número de ativos afetados. É possível clicar em uma regra para criar um nó temporário no nó **Usuários** ou **Dispositivos** do espaço de trabalho **Ativos e Conformidade**, que contém todos os usuários ou dispositivos que não são compatíveis com esta regra. Ao selecionar um usuário ou dispositivo, o painel **Detalhes do Ativo** exibe os usuários ou os dispositivos afetados pelo problema selecionado. Clique duas vezes em um usuário ou dispositivo na lista para exibir informações adicionais sobre o problema.
    
    - **Desconhecido**: exibe uma lista de todos os usuários e dispositivos que não relataram a conformidade para a implantação da política selecionada junto com o status atual do cliente dos dispositivos.
    

Próximas etapas

Agora, você pode usar a política de conformidade com políticas de acesso condicional para controlar o acesso a serviços em sua organização.