Explorar política de conformidade do dispositivo
As políticas de conformidade definem as regras e as configurações que devem ser configuradas em um dispositivo para que ele seja considerado compatível. Depois de configurar e implantar uma política de conformidade, você pode monitorar o status de conformidade do dispositivo e dos dispositivos individuais que estiverem configurados da maneira esperada.
Antes de aplicar uma política de conformidade a um dispositivo, primeiro ela deve ser registrada no Intune. Após o registro, o dispositivo pode ser adicionado automaticamente a um grupo de dispositivos. Se você atribuiu uma política de conformidade a esse grupo, a política avaliará o dispositivo e o status de conformidade será relatado automaticamente para o Intune e exibido no portal.
As políticas de conformidade do dispositivo estabelecem as configurações necessárias para:
- Senhas
- Criptografia
- Dispositivos com cadeia de caracteres quebradas ou com raiz
- Versão mínima do sistema operacional
- Versão máxima do sistema operacional
- Nível máximo de Defesa contra Ameaças Móveis
Quando um dispositivo é registrado no Intune, suas informações, incluindo o status de conformidade, são adicionadas ao Microsoft Entra ID. As políticas de conformidade são atribuídas aos usuários em vez de aos dispositivos. As políticas de Acesso Condicional utilizam as informações do Microsoft Entra para bloquear ou conceder acesso ao email e a outros dados organizacionais. Não é obrigatório usar políticas de conformidade em conjunto com o acesso condicional; as políticas de conformidade podem ser empregadas exclusivamente para fins de relatório.
As políticas de conformidade do Intune são criadas na seção Dispositivos do Centro de administração do Intune. É possível encontrar o dashboard de conformidade do dispositivo para monitoramento em Relatórios.
Por padrão, quando o Intune detecta um dispositivo que não está em conformidade, imediatamente ele marca o dispositivo como não compatível. Em cada política de conformidade, você pode configurar ações para dispositivos não compatíveis, o que proporciona flexibilidade extra para decidir o que fazer. Por exemplo, em um cenário típico, as organizações bloquearão o acesso aos recursos da empresa de um dispositivo sem conformidade. Mas você pode configurar uma política de conformidade que, em vez disso, permite que um dispositivo sem conformidade acesse os recursos da empresa desde que o dispositivo fique compatível dentro de um período de carência especificado. Se a conformidade não for obtida até esse momento, o dispositivo não poderá mais acessar os recursos da empresa.
Existem dois tipos de ações no caso de não conformidade:
- Notifique os usuários finais por email. Você pode personalizar uma notificação por email antes de enviá-la para os usuários finais. Você pode personalizar os destinatários, o assunto e o corpo da mensagem, incluindo o logotipo da empresa e as informações de contato. O Intune inclui detalhes sobre o dispositivo não compatível na notificação por email.
- Marcar dispositivo sem conformidade. Você pode especificar o número de dias após os quais o dispositivo será marcado como não compatível. Isso pode ocorrer imediatamente após o dispositivo ser sinalizado como não compatível ou você pode conceder ao usuário um período de carência no qual ele pode atualizar o dispositivo para torná-lo compatível. Se o dispositivo ainda não estiver em conformidade após o número especificado de dias, ele será marcado como não compatível.
As políticas de conformidade do dispositivo podem ser usadas da seguinte maneira:
- Com acesso condicional. Conceda o acesso ao email e a outros recursos da organização aos dispositivos em conformidade com as regras da política. Se os dispositivos não estiverem em conformidade com as regras da política, não terão acesso aos recursos da organização.
- Sem acesso condicional. Você também pode usar políticas de conformidade do dispositivo sem qualquer acesso condicional. Quando você usa políticas de conformidade sem acesso condicional, não há restrições de acesso aos recursos da empresa.
Usar grupos de dispositivos do Microsoft Entra para políticas
Recomenda-se que você use os grupos do Microsoft Entra para usuários e dispositivos para aplicar qualquer tipo de política implementada com o Intune. Você pode criar um grupo no Microsoft Entra ID com associação dinâmica, especificando uma regra para determinar a associação com base nas propriedades do usuário ou do dispositivo. Quando os atributos de um usuário ou dispositivo são alterados, o Microsoft Entra ID avalia todos os grupos dinâmicos em um diretório para ver se a alteração dispararia todas as alterações de adição ou remoção de grupos. Se um usuário ou dispositivo atender a uma regra em um grupo, ele será adicionado como membro desse grupo. Se o dispositivo não atender mais à regra, será removido do grupo.
Uma regra de associação de grupo é usada para preencher automaticamente um grupo com usuários ou dispositivos. Essa é uma expressão binária com um resultado True ou False. As três partes de uma regra de associação de grupo simples incluem:
- Propriedade. Especifica o atributo de objeto; por exemplo, você pode usar user.department para fazer referência ao atributo Department de um objeto de usuário ou device.displayName para fazer referência ao atributo displayName de um objeto de dispositivo.
- Operador. Pode ser um dos muitos operadores com suporte, como Equals (-eq), Starts With (-startsWith), Contains (-contains) ou Match (-match).
- Valor. O valor com que você deseja avaliar a propriedade usando o operador.
Por exemplo, você usaria a seguinte regra de associação de grupo para incluir todos os dispositivos fabricados pela Microsoft:
device.deviceManufacturer -eq "Microsoft