Configurar o Microsoft Entra ID para atender ao CMMC Nível 2
O Microsoft Entra ID ajuda a atender aos requisitos de prática relacionados à identidade em cada nível de Certificação de Modelo de Maturidade em Cibersegurança (CMMC). Para estar em conformidade com os requisitos do CMMC V2.0 nível 2, é responsabilidade das empresas que realizam trabalho com, e em nome do, Departamento de Defesa dos EUA (DoD) concluir outras configurações ou processos.
No CMMC Nível 2, existem 13 domínios que têm uma ou mais práticas relacionadas à identidade:
- Controlo de Acessos (AC)
- Auditoria e Prestação de Contas (AU)
- Gerenciamento de configuração (CM)
- Identificação e autenticação (IA)
- Resposta a incidentes (RI)
- Manutenção (MA)
- Proteção dos meios de comunicação social (MP)
- Segurança Pessoal (PS)
- Proteção física (EP)
- Avaliação de Riscos (RA)
- Avaliação de Segurança (AC)
- Proteção de Sistemas e Comunicações (SC)
- Integridade do Sistema e da Informação (SI)
O restante deste artigo fornece orientação para todos os domínios, exceto Controle de Acesso (AC) e Identificação e Autenticação (IA), que são abordados em outros artigos. Para cada domínio, há uma tabela com links para o conteúdo que fornece orientação passo a passo para realizar a prática.
Auditoria e prestação de contas
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| AU. L2-3.3.1 Declaração prática: Crie e retenha logs e registros de auditoria do sistema para permitir o monitoramento, análise, investigação e relatórios de atividades ilegais ou não autorizadas do sistema. Objetivos: Determine se: [a.] são especificados logs de auditoria (por exemplo, tipos de eventos a serem registrados) para permitir o monitoramento, análise, investigação e relatórios de atividades ilegais ou não autorizadas do sistema; [b.] é definido o conteúdo dos registos de auditoria necessários para apoiar a monitorização, análise, investigação e comunicação de atividades ilegais ou não autorizadas do sistema; [c.] são criados (gerados) registos de auditoria; [d.] os registos de auditoria, uma vez criados, contêm o conteúdo definido; [e.] são definidos requisitos de retenção para registos de auditoria; e ainda [f.] os registos de auditoria são conservados conforme definido. AU. L2-3.3.2 Declaração de prática: Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. Objetivos: Determine se: [a.] é definido o conteúdo dos registos de auditoria necessários para apoiar a capacidade de rastrear exclusivamente os utilizadores até às suas ações; e ainda [b.] Os registros de auditoria, uma vez criados, contêm o conteúdo definido. |
Todas as operações são auditadas nos logs de auditoria do Microsoft Entra. Cada entrada de log de auditoria contém o objectID imutável de um usuário que pode ser usado para rastrear exclusivamente um usuário individual do sistema para cada ação. Você pode coletar e analisar logs usando uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Relatórios de atividade de auditoria no portal do Azure Conectar dados do Microsoft Entra ao Microsoft Sentinel Tutorial: Transmitir logs para um hub de eventos do Azure |
| AU. L2-3.3.4 Declaração prática: Alerte se um processo de log de auditoria falhar. Objetivos: Determine se: [a.] pessoal ou funções a serem alertadas se uma falha no processo de registro de auditoria for identificada; [b.] são definidos os tipos de falhas do processo de registro de auditoria para as quais o alerta será gerado; e ainda [c] O pessoal ou as funções identificadas são alertados em caso de falha no processo de registo de auditoria. |
O Azure Service Health notifica você sobre incidentes de serviço do Azure para que você possa tomar medidas para reduzir o tempo de inatividade. Configure alertas de nuvem personalizáveis para o Microsoft Entra ID. O que é o Azure Service Health? Três maneiras de ser notificado sobre problemas de serviço do Azure Azure Service Health |
| AU. L2-3.3.6 Declaração prática: Fornecer redução de registros de auditoria e geração de relatórios para dar suporte à análise e emissão de relatórios sob demanda. Objetivos: Determine se: [a.] é fornecida uma capacidade de redução de registos de auditoria que suporta a análise a pedido; e ainda [b.] Um recurso de geração de relatório que oferece suporte a relatórios sob demanda é fornecido. |
Verifique se os eventos do Microsoft Entra estão incluídos na estratégia de log de eventos. Você pode coletar e analisar logs usando uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas. Relatórios de atividade de auditoria no portal do Azure Conectar dados do Microsoft Entra ao Microsoft Sentinel Tutorial: Transmitir logs para um hub de eventos do Azure |
| AU. L2-3.3.8 Declaração prática: Proteja as informações de auditoria e as ferramentas de log de auditoria contra acesso, modificação e exclusão não autorizados. Objetivos: Determine se: [a.] as informações de auditoria estão protegidas contra acesso não autorizado; [b.] as informações de auditoria estão protegidas contra modificações não autorizadas; [c.] as informações de auditoria estão protegidas contra exclusão não autorizada; [d.] as ferramentas de registo de auditoria estão protegidas contra acesso não autorizado; [e.] as ferramentas de registo de auditoria estão protegidas contra modificações não autorizadas; e ainda [f.] As ferramentas de log de auditoria são protegidas contra exclusão não autorizada. AU. L2-3.3.9 Declaração prática: limite o gerenciamento da funcionalidade de log de auditoria a um subconjunto de usuários privilegiados. Objetivos: Determine se: [a.] um subconjunto de usuários privilegiados com acesso concedido para gerenciar a funcionalidade de log de auditoria é definido; e ainda [b.] O gerenciamento da funcionalidade de log de auditoria é limitado ao subconjunto definido de usuários privilegiados. |
Os logs do Microsoft Entra são retidos por padrão por 30 dias. Esses logs não podem ser modificados ou excluídos e só são acessíveis a um conjunto limitado de funções privilegiadas. Registos de inícios de sessão no Microsoft Entra ID Logs de auditoria no Microsoft Entra ID |
Gerenciamento de configuração (CM)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| CM.L2-3.4.2 Declaração de prática: Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Objetivos: Determine se: [a.] as definições de configuração de segurança para os produtos de tecnologia da informação empregados no sistema são estabelecidas e incluídas na configuração de base; e ainda [b.] As definições de configuração de segurança para produtos de tecnologia da informação empregados no sistema são impostas. |
Adote uma postura de segurança de confiança zero. Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor definições de configuração de segurança no dispositivo com soluções MDM, como o Microsoft Intune. O Microsoft Configuration Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas e, combinados com o Acesso Condicional, exigem o dispositivo associado híbrido do Microsoft Entra. Confiança zero Protegendo a identidade com Zero Trust Conditional Access O que é Acesso Condicional no Microsoft Entra ID? Conceder controlos na política de Acesso Condicional Políticas de dispositivos O que é o Microsoft Intune? O que é o Defender for Cloud Apps? O que é o gerenciamento de aplicativos no Microsoft Intune? Soluções de gerenciamento de pontos finais da Microsoft |
| CM.L2-3.4.5 Declaração de prática: Definir, documentar, aprovar e aplicar restrições de acesso físico e lógico associadas a alterações nos sistemas organizacionais. Objetivos: Determine se: [a.] são definidas restrições de acesso físico associadas a alterações no sistema; [b.] as restrições de acesso físico associadas a alterações no sistema são documentadas; [c.] são aprovadas restrições de acesso físico associadas a alterações no sistema; [d.] restrições de acesso físico associadas a alterações no sistema são aplicadas; [e.] são definidas restrições lógicas de acesso associadas a alterações no sistema; [f.] as restrições lógicas de acesso associadas às alterações ao sistema são documentadas; [g.] são aprovadas restrições lógicas de acesso associadas a alterações no sistema; e ainda [h.] As restrições de acesso lógico associadas às alterações no sistema são impostas. |
O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. Os clientes não têm acesso físico aos datacenters do Microsoft Entra. Como tal, cada restrição de acesso físico é satisfeita pela Microsoft e herdada pelos clientes do Microsoft Entra ID. Implemente controles de acesso baseados em função do Microsoft Entra. Elimine o acesso privilegiado permanente, forneça acesso just in time com fluxos de trabalho de aprovação com o Privileged Identity Management. Visão geral do controle de acesso baseado em função (RBAC) do Microsoft Entra O que é o Privileged Identity Management? Aprovar ou negar solicitações para funções do Microsoft Entra no PIM |
| CM.L2-3.4.6 Declaração de prática: Empregar o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer apenas recursos essenciais. Objetivos: Determine se: [a.] as capacidades essenciais do sistema são definidas com base no princípio da menor funcionalidade; e ainda [b.] O sistema está configurado para fornecer apenas as capacidades essenciais definidas. |
Configure soluções de gerenciamento de dispositivos (como o Microsoft Intune) para implementar uma linha de base de segurança personalizada aplicada a sistemas organizacionais para remover aplicativos não essenciais e desabilitar serviços desnecessários. Deixe apenas o menor número de recursos necessários para que os sistemas funcionem de forma eficaz. Configure o Acesso Condicional para restringir o acesso a dispositivos compatíveis ou associados híbridos do Microsoft Entra. O que é o Microsoft Intune Exigir que o dispositivo seja marcado como conforme Conceder controles na política de Acesso Condicional - Exigir dispositivo híbrido ingressado no Microsoft Entra |
| CM.L2-3.4.7 Declaração de prática: Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. Objetivos: Determine se: [a.]são definidos programas essenciais; [b.] define-se o uso de programas não essenciais; [c.] o uso de programas não essenciais é restringido, desativado ou impedido, conforme definido; [d.] são definidas as funções essenciais; [e.] é definida a utilização de funções não essenciais; [f.] a utilização de funções não essenciais seja restringida, desativada ou impedida, tal como definida; [g.] são definidos portos essenciais; [h.] define-se a utilização de portos não essenciais; [i.] o uso de portos não essenciais é restringido, desativado ou impedido, conforme definido; [j.] são definidos protocolos essenciais; [k.] define-se o uso de protocolos não essenciais; [l.] o uso de protocolos não essenciais é restringido, desativado ou impedido, conforme definido; [m.] são definidos os serviços essenciais; [n.] define-se a utilização de serviços não essenciais; e ainda [o.] O uso de serviços não essenciais é restringido, desativado ou impedido, conforme definido. |
Use a função Administrador de aplicativos para delegar o uso autorizado de aplicativos essenciais. Use Funções de Aplicativo ou declarações de grupo para gerenciar o acesso de privilégios mínimos dentro do aplicativo. Configure o consentimento do usuário para exigir a aprovação do administrador e não permita o consentimento do proprietário do grupo. Configure fluxos de trabalho de solicitação de consentimento de administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento de administrador. Use o Microsoft Defender for Cloud Apps para identificar o uso de aplicativos não autorizados/desconhecidos. Use essa telemetria para determinar aplicativos essenciais/não essenciais. Funções internas do Microsoft Entra - Administrador de aplicativos Funções do Aplicativo Microsoft Entra - Funções do Aplicativo vs. Grupos Configurar a forma como os utilizadores concedem consentimento às aplicações Configurar o consentimento do proprietário do grupo para aplicativos que acessam dados do grupo Configurar o fluxo de trabalho de consentimento de administrador O que é o Defender for Cloud Apps? Descubra e gerencie o tutorial do Shadow IT |
| CM.L2-3.4.8 Declaração de prática: Aplique a política de negação por exceção (lista de bloqueio) para impedir o uso de software não autorizado ou a política de permissão por exceção (lista de permissões) para permitir a execução de software autorizado. Objetivos: Determine se: [a.] é especificada uma política que especifica se a lista de permissões ou a lista de bloqueio deve ser implementada; [b.] o software autorizado a ser executado em lista de permissões ou uso negado em lista de bloqueio é especificado; e ainda [c.] Allowlist para permitir a execução de software autorizado ou lista de bloqueio para impedir o uso de software não autorizado é implementado conforme especificado. CM.L2-3.4.9 Declaração prática: Controle e monitore o software instalado pelo usuário. Objetivos: Determine se: [a.] é estabelecida uma política para controlar a instalação de software pelos utilizadores; [b.] a instalação do software pelos utilizadores é controlada com base na política estabelecida; e ainda [c.] A instalação do software pelos utilizadores é monitorizada. |
Configure a política de gerenciamento de MDM/configuração para impedir o uso de software não autorizado. Configure os controles de concessão de Acesso Condicional para exigir que um dispositivo associado híbrido ou compatível incorpore a conformidade do dispositivo com a política de gerenciamento de MDM/configuração na decisão de autorização de Acesso Condicional. O que é o Microsoft Intune Acesso condicional - Requer dispositivos compatíveis ou híbridos |
Resposta a incidentes (RI)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| RI. L2-3.6.1 Declaração prática: Estabelecer uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, deteção, análise, contenção, recuperação e resposta do usuário. Objetivos: Determine se: [a.] seja estabelecida uma capacidade operacional de tratamento de incidentes; [b.] a capacidade operacional de tratamento de incidentes inclui a preparação; [c.] a capacidade operacional de tratamento de incidentes inclui a deteção; [d.] a capacidade operacional de tratamento de incidentes inclui análises; [e.] a capacidade operacional de tratamento de incidentes inclui o confinamento; [f.] a capacidade operacional de tratamento de incidentes inclui a recuperação; e ainda [g.] A capacidade operacional de tratamento de incidentes inclui atividades de resposta do utilizador. |
Implementar recursos de tratamento e monitoramento de incidentes. Os logs de auditoria registram todas as alterações de configuração. Os eventos de autenticação e autorização são auditados nos logs de entrada e todos os riscos detetados são auditados nos logs da Proteção de Identidade. Você pode transmitir cada um desses logs diretamente para uma solução SIEM, como o Microsoft Sentinel. Como alternativa, use os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros. Eventos de auditoria Relatórios de atividade de auditoria no portal do Azure Relatórios de atividade de entrada no portal do Azure How To: Investigar riscos Integrações SIEM Microsoft Sentinel : Conecte dados do Microsoft Entra IDStream ao hub de eventos do Azure e outros SIEMs |
Manutenção (MA)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| MA. L2-3.7.5 Declaração prática: Exigir autenticação multifator para estabelecer sessões de manutenção não locais por meio de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída. Objetivos: Determine se: [a.] A autenticação multifator é usada para estabelecer sessões de manutenção não locais através de conexões de rede externas; e ainda [b.] As sessões de manutenção não local estabelecidas através de ligações de rede externas são terminadas quando a manutenção não local é concluída. |
As contas a quem são atribuídos direitos administrativos são alvo de atacantes, incluindo contas utilizadas para estabelecer sessões de manutenção não locais. Exigir autenticação multifator (MFA) nessas contas é uma maneira fácil de reduzir o risco de essas contas serem comprometidas. Acesso condicional - Exigir MFA para administradores |
| MP. L2-3.8.7 Declaração prática: Controle o uso de mídia removível nos componentes do sistema. Objetivos: Determine se: [a.] O uso de mídia removível nos componentes do sistema é controlado. |
Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para controlar o uso de mídia removível em sistemas. Implante e gerencie o Controle de Acesso de Armazenamento Removível usando o Intune, o Configuration Manager ou a Política de Grupo. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo. Conditional Access Exigir que o dispositivo seja marcado como conforme Exigir dispositivo associado híbrido Microsoft Entra Intune Políticas da conformidade do dispositivo no Microsoft Intune Controle de acesso ao armazenamento removível Implantar e gerenciar o Controle de Acesso ao Armazenamento Removível usando o Intune Implantar e gerenciar o Controle de Acesso ao Armazenamento Removível usando a política de grupo |
Segurança Pessoal (PS)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| PS. L2-3.9.2 Declaração de prática: Garantir que os sistemas organizacionais que contêm CUI estejam protegidos durante e após ações de pessoal, como rescisões e transferências. Objetivos: Determine se: [a.] uma política e/ou processo para encerrar o acesso ao sistema e quaisquer credenciais coincidentes com ações de pessoal são estabelecidas; [b.] o acesso ao sistema e as credenciais são encerrados de forma consistente com ações de pessoal, como rescisão ou transferência; e ainda [c] o sistema é protegido durante e após as ações de transferência de pessoal. |
Configure o provisionamento (incluindo a desativação após o encerramento) de contas no Microsoft Entra ID de sistemas de RH externos, Ative Directory local ou diretamente na nuvem. Encerre todo o acesso ao sistema revogando sessões existentes. Provisionamento de conta O que é o provisionamento de identidade com o Microsoft Entra ID? Microsoft Entra Connect Sync: Compreender e personalizar a sincronização O que é a sincronização de cloud do Microsoft Entra Connect? Revogar todos os autenticadores associados Revogar o acesso do usuário em uma emergência no Microsoft Entra ID |
Proteção de Sistemas e Comunicações (SC)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| SC. L2-3.13.3 Declaração prática: Separe a funcionalidade do usuário e a funcionalidade de gerenciamento do sistema. Objetivos: Determine se: [a.] a funcionalidade do utilizador é identificada; [b.] a funcionalidade de gestão do sistema é identificada; e ainda [c.] A funcionalidade do usuário é separada da funcionalidade de gerenciamento do sistema. |
Mantenha contas de usuário separadas no Microsoft Entra ID para uso diário de produtividade e gerenciamento administrativo ou de sistema/privilegiados. As contas privilegiadas devem ser somente contas gerenciadas ou somente na nuvem e não sincronizadas no local para proteger o ambiente de nuvem contra comprometimento local. O acesso ao sistema/privilegiado só deve ser permitido a partir de uma estação de trabalho de acesso privilegiado (PAW) protegida por segurança. Configure filtros de dispositivo de Acesso Condicional para restringir o acesso a aplicativos administrativos de PAWs habilitados usando as Áreas de Trabalho Virtuais do Azure. Por que os dispositivos de acesso privilegiado são importantes? Funções e perfis do dispositivo Filtrar dispositivos como condição na política de Acesso Condicional Área de Trabalho Virtual do Azure |
| SC. L2-3.13.4 Declaração prática: Impedir a transferência não autorizada e não intencional de informações através de recursos partilhados do sistema. Objetivos: Determine se: [a.] A transferência não autorizada e não intencional de informações através de recursos partilhados do sistema é evitada. |
Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para garantir que os dispositivos estejam em conformidade com os procedimentos de proteção do sistema. Inclua a conformidade com a política da empresa em relação a patches de software para evitar que invasores explorem falhas. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo. Conditional Access Exigir que o dispositivo seja marcado como conforme Exigir dispositivo associado híbrido Microsoft Entra InTune Políticas da conformidade do dispositivo no Microsoft Intune |
| SC. L2-3.13.13 Declaração prática: Controlar e monitorizar a utilização do código móvel. Objetivos: Determine se: [a.] a utilização do código móvel é controlada; e ainda [b.] A utilização do código móvel é monitorizada. |
Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para desabilitar o uso de código móvel. Quando o uso de código móvel é necessário, monitore o uso com segurança de ponto de extremidade, como o Microsoft Defender for Endpoint. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo. Conditional Access Exigir que o dispositivo seja marcado como conforme Exigir dispositivo associado híbrido Microsoft Entra InTune Políticas da conformidade do dispositivo no Microsoft Intune Defender para Endpoint Microsoft Defender para Ponto de Extremidade |
Integridade do Sistema e da Informação (SI)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| SI. L2-3.14.7 Declaração prática: Objetivos: Identificar o uso não autorizado de sistemas organizacionais. Determine se: [a.] seja definida a utilização autorizada do sistema; e ainda [b.] O uso não autorizado do sistema é identificado. |
Consolidar telemetria: logs do Microsoft Entra para transmitir para o SIEM, como o Azure Sentinel Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para exigir que a Deteção/Proteção contra Intrusões (IDS/IPS), como o Microsoft Defender for Endpoint, esteja instalado e em uso. Use a telemetria fornecida pelo IDS/IPS para identificar atividades ou condições incomuns relacionadas ao tráfego de comunicações de entrada e saída ou ao uso não autorizado. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo. Conditional Access Exigir que o dispositivo seja marcado como conforme Exigir dispositivo associado híbrido Microsoft Entra InTune Políticas da conformidade do dispositivo no Microsoft Intune Defender para Endpoint Microsoft Defender para Ponto de Extremidade |
Próximos passos
- O que é Acesso Condicional no Microsoft Entra ID?
- Configurar controles adicionais
- Acesso condicional requer dispositivo gerenciado - Requer dispositivo híbrido ingressado no Microsoft Entra
- Acesso condicional requer dispositivo gerenciado - Exigir que o dispositivo seja marcado como compatível
- O que é o Microsoft Intune?
- Cogestão para dispositivos Windows 10