Partilhar via

Ambiente de TI distribuído com muitos administradores no mesmo inquilino Microsoft Intune

Muitas organizações utilizam um ambiente de TI distribuído onde têm um único inquilino Microsoft Intune com vários administradores locais. Este artigo descreve uma forma de dimensionar Microsoft Intune para suportar vários administradores locais que gerem os seus próprios utilizadores, dispositivos e criam as suas próprias políticas num único inquilino Microsoft Intune.

Não existe uma resposta certa ou errada sobre quantos administradores deve ter no seu inquilino. O artigo centra-se nos inquilinos que têm muitos administradores locais.

As TI distribuídas são necessárias em organizações onde um grande número de administradores locais se ligam a um único inquilino Intune. Por exemplo, alguns sistemas escolares estão organizados para que tenha um administrador local para todas as escolas do sistema ou região. Por vezes, este ambiente distribuído pode incluir mais de 15 administradores locais diferentes que se acumulam no mesmo sistema central ou Microsoft Intune inquilino.

Cada administrador local pode configurar grupos de acordo com as suas necessidades organizacionais locais. Normalmente, o administrador local cria grupos e organiza vários utilizadores ou dispositivos por localização geográfica, departamento ou características de hardware. Os administradores locais também utilizam estes grupos para gerir tarefas em escala. Por exemplo, os administradores locais podem definir políticas para muitos utilizadores ou implementar aplicações num conjunto de dispositivos.

Termos utilizados neste artigo

  • Privilégio mínimo: Proteger o acesso à sua organização é um passo de segurança essencial. Intune utiliza controlos de acesso baseados em funções (RBAC) para atribuir permissões de utilizadores administrativos no Intune para administrar diferentes tarefas. Com o princípio do menor acesso privilegiado, os seus administradores podem realizar as respetivas tarefas atribuídas apenas nos utilizadores e dispositivos que devem ter capacidade para gerir.

  • Equipa central: a equipa central ou o grupo inclui os administradores globais ou os administradores principais no seu inquilino. Estes administradores podem supervisionar todos os administradores locais e fornecer orientações aos administradores locais.

  • Administradores locais: os administradores locais são locais e concentram-se em políticas e perfis para as respetivas localizações específicas; escolas, hospitais, etc.

Controle de acesso baseado em função

Proteger o acesso à sua organização é um passo de segurança essencial. Intune utiliza controlos de acesso baseados em funções para conceder permissões granulares aos seus administradores para controlar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Ao atribuir Intune funções RBAC e aderir a princípios de menor acesso privilegiado, os seus administradores podem realizar as tarefas atribuídas apenas nos utilizadores e dispositivos que devem ter capacidade para gerir.

As secções seguintes descrevem brevemente diferentes modelos com diretrizes em cada modelo para gerir políticas, perfis e aplicações entre a equipa Central e os administradores locais. Os modelos são:

  • Modelo de delegação parcial
  • Modelo de delegação completa
  • Modelo central
  • Modelo descentralizado
  • Modelo híbrido

Modelo de delegação parcial

O modelo de delegação parcial propõe as seguintes diretrizes para a gestão de políticas entre a equipa Central e os administradores locais.

✔️ Permissões

  • As permissões de criação, atualização e eliminação de políticas, perfis de inscrição e aplicações devem ser mantidas pela equipa central.
  • Conceda apenas permissões de leitura e atribuição aos administradores locais.

✔️ Reutilizar

  • As políticas, perfis de inscrição e aplicações normalmente configuradas devem ser disponibilizadas aos administradores locais para reutilização, tanto quanto possível.
  • Microsoft Intune utiliza muitas configurações comuns que se enquadram em algumas categorias. Reveja as recomendações listadas para Políticas de Proteção de Aplicações.
  • Enquanto administradores locais, devem rever as políticas existentes e reutilizá-las conforme necessário.

✔️ Exceções

  • A equipa Central pode criar novas políticas, perfis de inscrição e aplicações como exceções quando necessário em nome dos administradores locais. Normalmente, estas exceções incluem qualquer tipo de perfil que necessite de parâmetros exclusivos.

É proposto um modelo de delegação parcial nestas duas áreas:

Diretrizes de grupo e atribuição para administradores locais: Quais são algumas das melhores práticas para os administradores locais adotarem durante a organização de grupos para a gestão de dispositivos através de Microsoft Intune? Para saber, consulte o blogue Intune agrupamento, filtragem e filtragem: Recomendações para um melhor desempenho - Microsoft Tech Community blogue.

Diretrizes específicas da funcionalidade: como são geridas as políticas/perfis/aplicações entre uma autoridade central e os administradores locais com permissões específicas para as diferentes funcionalidades. Para obter mais informações, veja Diretrizes específicas de funcionalidades neste artigo.

Modelo de delegação completa

O modelo de delegação completa propõe as seguintes diretrizes para a gestão de políticas entre a equipa Central e os administradores locais.

  • Cada administrador local deve ter a sua própria etiqueta de âmbito para separar cada objeto que gere na totalidade.
  • Quando o administrador local não precisar de criar, atualizar ou eliminar, conceda ao administrador local uma função com permissões de leitura e atribuição e evite atribuir qualquer outra função com permissão total. Com esta abordagem, pode evitar combinar permissões entre etiquetas de âmbito.
  • Por vezes, os administradores locais podem precisar de criar as suas próprias políticas, perfis e aplicações enquanto partilham algumas políticas, perfis e aplicações comuns. Nestes casos, crie um grupo especial e atribua as políticas, perfis e aplicações comuns a este grupo. Este grupo não deve ser incluído no Âmbito (Grupo) de uma atribuição de função RBAC Intune para qualquer administrador local. Esta abordagem impede que as permissões de criação, atualização e eliminação atribuídas aos administradores locais se apliquem a estas políticas, perfis e aplicações comuns.

Modelo central

No modelo central, uma única equipa de administração local (principal) gere várias organizações subordinadas. Fatores como geografia, unidade de negócio ou tamanho podem ser utilizados para agrupar organizações subordinadas.

  • Só é utilizada uma etiqueta de âmbito para abranger todos os administradores locais geridos.

  • Se possível, a equipa de administração local deve uniformizar as atribuições entre administradores locais e colocar todos os respetivos dispositivos num único grupo de Microsoft Entra para atribuição. Quando não é possível criar um único grupo de Microsoft Entra, a equipa de administração local pode criar grupos de Microsoft Entra diferentes para fazer tarefas diferentes.

  • Se uma equipa de administração local diferente gerir ou mover uma organização, têm de ser seguidos os seguintes passos:

    • Todos os dispositivos e utilizadores da organização têm de ser extraídos de grupos de Microsoft Entra comuns no âmbito da equipa de administração local original.

    • Todas as políticas/aplicações/perfis atribuídos exclusivamente a essa organização têm de ter a respetiva etiqueta de âmbito atualizada para a nova equipa de administração local.

Modelo descentralizado

No modelo descentralizado, vários administradores locais (subordinados) são geridos pelo seu administrador local dedicado e também supervisionados por uma equipa de administração local intermediária. Os administradores principais e subordinados têm as suas próprias etiquetas de âmbito para representar limites de gestão.

  • Se existirem menos de 50 administradores subordinados, a equipa de administração local intermédia poderá ter acesso ao atribuir todas as etiquetas de âmbito das crianças à atribuição de função RBAC das equipas de administração local intermédias.
  • Se existirem mais de 50 administradores subordinados, deve ser concedida à equipa de administração local intermédia a sua própria etiqueta de âmbito para representar toda a coleção de administradores subordinados que supervisionam.
  • As políticas recentemente criadas nas etiquetas de âmbito do administrador subordinado têm de ter a etiqueta intermédia adicionada por um utilizador com uma função adequada para impedir que a equipa de administração local intermédia perca visibilidade.

Modelo híbrido

No modelo híbrido, o mesmo administrador principal é utilizado no modelo Central e Descentralizado ao mesmo tempo. Não existem recomendações especiais para este modelo.

Diretrizes específicas de funcionalidades

Consoante os requisitos comerciais de cada funcionalidade, as diretrizes fornecidas nesta secção podem recomendar que crie políticas por administrador local e, possivelmente, delegue as permissões necessárias para criar objetos aos administradores locais.

Observação

As orientações fornecidas nesta secção não abordam todas as funcionalidades, mas abrangem apenas as áreas para as quais temos instruções especiais.

política de Proteção de aplicativos

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Para obter mais informações, consulte Políticas de proteção de aplicativo.

As diretrizes para Proteção de aplicativos políticas são divididas entre a equipa Central e os administradores locais da seguinte forma:

Equipa central - Tarefas

  • Reveja as necessidades de segurança e negócios em toda a organização e gere um conjunto de políticas de Proteção de aplicativos comuns para administradores locais.
  • Reveja as recomendações listadas para identificar que controlos de segurança são adequados antes de criar políticas de Proteção de aplicativos.
  • Tenha um método estabelecido para os administradores locais solicitarem políticas de Proteção de aplicativos personalizadas, se necessário, para necessidades empresariais específicas em que os requisitos empresariais não possam ser alcançados com as políticas comuns existentes.
  • Para obter recomendações específicas sobre cada nível de configuração e as aplicações mínimas que têm de ser protegidas, veja Estrutura de proteção de dados com políticas de Proteção de aplicativos.

Administradores locais – Permissões e Tarefas

  • Forneça permissões de leitura e atribuição aos administradores locais, mas não crie, atualize ou elimine permissões nas Aplicações Geridas. Esta configuração de permissões impede que criem as suas próprias políticas de Proteção de aplicativos.
  • Forneça permissões de leitura e atribuição para atribuição de políticas de configuração de aplicações às respetivas aplicações.
  • Forneça permissões de leitura e atribuição apenas quando existem diferentes políticas de proteção para dispositivos geridos e dispositivos não geridos. Se a equipa Central optar por oferecer apenas uma política para ambos, a política de configuração da aplicação não é necessária.
  • Se a política de configuração da aplicação for utilizada, recomendamos que atribua a política de configuração da aplicação a todas as instâncias da Aplicação sem exceção.
  • Escolha entre políticas de Proteção de aplicativos comuns. Os administradores locais podem pedir à equipa central para criar políticas de proteção de aplicações personalizadas como uma exceção e apenas se necessário.
  • Para obter mais informações, consulte Políticas de proteção de aplicativo.

Política de conformidade

As políticas de conformidade no Intune definir as regras e definições que os utilizadores e os dispositivos têm de cumprir para estarem em conformidade. A conformidade pode ser necessária antes de um dispositivo poder ser utilizado para aceder aos recursos da sua organização. Para obter mais informações sobre políticas de conformidade, veja Utilizar políticas de conformidade para definir regras para dispositivos que gere com Intune.

Equipa central

A equipa Central deve criar políticas de conformidade comuns para os administradores locais escolherem e apenas, se necessário, criar políticas de exceção. Para obter mais informações, veja Utilizar políticas de conformidade para definir regras para dispositivos que gere com Intune. A criação de políticas inclui a criação de scripts de políticas de conformidade personalizados porque estão sujeitos à mesma escala que a política de conformidade normal.

Para obter mais informações sobre como criar uma política de conformidade, veja Criar uma política de conformidade no Microsoft Intune.

Administradores locais

Forneça aos administradores locais permissões de leitura e atribuição, mas não crie, atualize ou elimine permissões em Políticas de conformidade. As permissões de leitura e atribuição permitem-lhes escolher entre as políticas de conformidade comuns criadas pela equipa central e atribuí-las aos respetivos utilizadores e dispositivos.

Configuração do dispositivo

Nesta seção:

  • Restrições de dispositivos e configuração geral
  • Acesso a recursos
  • Anéis de atualização do Windows
  • Atualizações de recursos
  • Atualizações de qualidade

Restrições de dispositivos e configuração geral

  • Conceda permissão aos administradores locais para criar, atualizar e eliminar dentro do seu próprio âmbito.

  • Utilize o Catálogo de Definições e as linhas de base de segurança na extensão máxima possível, em vez dos perfis criados na lista Perfis de configuração, para mitigar o dimensionamento no centro de administração Microsoft Intune.

  • Em geral, a equipa central deve tentar monitorizar centralmente o conteúdo das configurações e substituir perfis duplicados sempre que possível por um perfil partilhado.

Acesso a recursos

Recomenda-se o modelo de delegação Completa .

Anéis de atualização do Windows

  • Recomendamos que os anéis de atualização do Windows sejam geridos centralmente. A equipa central deve criar tantas políticas comuns de cadência de atualização do Windows quanto precisarem para suportar a variância dos administradores locais.
  • Os administradores locais não devem criar os seus próprios anéis de atualização do Windows. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. As melhores práticas variam para cada funcionalidade. Para obter mais informações, consulte Anéis de atualização do Windows.

Atualizações de recursos

Recomenda-se o modelo de delegação Completa .

Atualizações de qualidade

Recomenda-se o modelo de delegação Completa .

Certificados

  • Recomendamos que utilize permissões através da equipa Central para integrar e desligar os conectores, conforme necessário. Integração de conectores para cada administrador local para suportar a emissão de certificados.

  • Não conceda permissão aos administradores locais para atualizar ou eliminar conectores.

Aplicativos

Conceda aos administradores locais permissões completas para gerir aplicações na extensão do respetivo âmbito.

Nesta seção:

  • Apple Volume Purchase Program

  • Windows

  • Android

Para obter mais informações, veja Gerir aplicações.

Apple Volume Purchase Program

Atualmente, não existem preocupações de dimensionamento para o número suportado de tokens do Volume Purchase Program. Para obter mais informações, veja Quantos tokens posso carregar..

Windows

Android

  • Os administradores locais devem escolher entre as aplicações da loja existentes ou pedir à equipa central para adicionar novas aplicações da loja Android. Os administradores locais não devem criar novas aplicações da loja Android. O número total de objetos pode tornar-se grande e difícil de gerir.

  • Os administradores locais podem criar aplicações de linha de negócio Android, conforme necessário, dentro do limite de aplicações de linha de negócio e de linha de negócio para várias plataformas.

  • A equipa central tem de adicionar aplicações do Managed Google Play.

    • A equipa central só pode ver as aplicações do Managed Google Play disponíveis no país ou região do respetivo inquilino. Se a equipa central precisar de uma aplicação do Managed Google Play apenas disponível em países ou regiões específicos, poderá ter de trabalhar com o programador da aplicação para a apresentar corretamente.
    • A equipa central deve gerir todos os conteúdos relacionados com aplicações geridas do Google Play, incluindo aplicações privadas, aplicações Web e coleções. Por exemplo, se um cliente planeia utilizar o iframe do Managed Google Play para publicar aplicações privadas, tem de o fazer com uma única conta de programador pertencente à equipa central.
    • A equipa central pode selecionar uma única etiqueta de âmbito como a etiqueta de âmbito do Managed Google Play. Tem uma lista pendente especial na página do conector do Managed Google Play. A etiqueta de âmbito será aplicada a todas as aplicações do Managed Google Play depois de a equipa central as adicionar à consola, mas não será aplicada retroativamente a aplicações que já tenham sido adicionadas. Recomendamos vivamente que a equipa central defina a etiqueta de âmbito antes de adicionar aplicações e, em seguida, atribua a cada equipa regional essa etiqueta de âmbito. Caso contrário, os administradores regionais poderão não conseguir ver as respetivas aplicações do Managed Google Play.

  • Apenas uma política OEMConfig é suportada por dispositivo, exceto para dispositivos Zebra. Com os dispositivos Zebra, recomendamos que tenha o menor número de políticas possível porque o tempo para impor a política é aditivo. Por exemplo, se atribuir seis políticas com o pressuposto de que serão colocadas em camadas umas sobre as outras, demora cerca de 6X mais tempo a começar a trabalhar no dispositivo do que uma única política.

Observação

Exerça extrema consideração e cuidado ao definir o modo de atualização de alta prioridade em muitas aplicações e grupos diferentes. Isto deve-se a vários motivos:

  • Embora muitas aplicações possam ser definidas para o modo de alta prioridade, apenas uma atualização de aplicação pode ser instalada de cada vez. Uma grande atualização de aplicações pode potencialmente bloquear muitas atualizações mais pequenas até que a aplicação grande termine a instalação.
  • Dependendo de quando as aplicações lançam novas atualizações, poderá haver um pico repentino na utilização da rede se as versões da aplicação coincidirem. Se Wi-Fi não estiver disponível em alguns dispositivos, também poderá existir um pico na utilização da rede móvel.
  • Embora já tenham sido mencionadas experiências de utilizador disruptivas, o problema aumenta à medida que mais aplicações estão definidas para o modo de atualização de alta prioridade.

Para obter mais informações sobre as preocupações de dimensionamento relativas às atualizações de aplicações do Managed Google Play com o modo de atualização de alta prioridade, consulte o blogue techcommunity Melhores práticas para atualizar as suas aplicações Android Enterprise.

Perfis de inscrição

Nesta seção:

  • Windows Autopilot
  • Página de status de inscrição (ESP)
  • Gestor de negócios da Apple (ABM)
  • Perfis do Android Enterprise
  • Restrições de registro
  • Categorias de dispositivos

Windows Autopilot

  • Conceda aos administradores locais as permissões para ler dispositivos Windows Autopilot e carregar novos dispositivos Windows Autopilot.
  • Os administradores locais não devem criar perfis do Windows Autopilot. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter mais informações sobre o Windows Autopilot, consulte Utilizar o Windows Autopilot para inscrever dispositivos Windows no Intune.

Página de status da inscrição

  • Os administradores locais devem selecionar a partir dos perfis de página de status de inscrição existentes a atribuir ou devem pedir à equipa central para criar um perfil de exceção, apenas se necessário.
  • Os administradores locais não devem criar perfis de página status inscrição. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter informações sobre a página status inscrição, consulte Configurar a Página de Estado da Inscrição.

Apple Business Manager

Se possível, os administradores locais não devem receber permissões de criação, atualização ou eliminação nos perfis de inscrição. Se forem concedidas permissões aos administradores locais para criar perfis do Apple Business Manager, também lhes dá permissões de criação, atualização e eliminação no Windows Autopilot. No entanto, os administradores locais não devem criar perfis do Windows Autopilot.

Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades. Para obter mais informações, consulte Utilizar o Apple Business Manager para inscrever dispositivos Apple no Intune.

Perfis do Android Enterprise

  • A equipa Central deve criar perfis de inscrição de dispositivos dedicados pertencentes à empresa do Android Enterprise para cada administrador local para o agrupamento de dispositivos.
  • Se possível, os administradores locais não devem receber permissões de criação, atualização ou eliminação em dispositivos Android Enterprise. Estas restrições impedem que os administradores locais modifiquem as definições do Android Enterprise ao nível do inquilino e o perfil de inscrição totalmente gerido global.

Restrições de registro

  • O mesmo conjunto de permissões rege a configuração do dispositivo e as Restrições de inscrição. Quando concede permissões para criar para a configuração do dispositivo, também está a conceder permissões para criar para restrições de inscrição. No entanto, os administradores locais não devem ter permissão para criar perfis de restrição de inscrição. Em vez disso, instrua-os a não criar novos perfis de restrições de Inscrição.

  • As restrições de limite de dispositivos de inscrição definem quantos dispositivos cada utilizador pode inscrever. As restrições de limite de dispositivos de inscrição devem abranger todos os limites de dispositivos possíveis para os administradores locais partilharem. Para obter mais informações, veja O que são restrições de inscrição.

  • A equipa Central deve uniformizar as restrições de Tipo de Dispositivo tanto quanto possível e adicionar novas restrições, mas apenas como exceções especiais depois de um administrador local rever as restrições existentes.

Categorias de dispositivos

A funcionalidade Categorias de dispositivos (categorias de Dispositivos>) não tem a sua própria família de permissões. Em vez disso, as respetivas permissões são regidas pelas permissões definidas em Organização. Aceda a Funções de administração > de inquilinos. Selecione uma função personalizada ou incorporada e selecione Propriedades. Aqui, pode atribuir permissões, sendo uma delas Organização.

As equipas centrais podem criar Categorias de Dispositivos. No entanto, os administradores locais não devem ter permissão para criar, atualizar ou eliminar categorias de dispositivos, uma vez que seria necessário conceder-lhes permissões na Organização que lhes concede acesso a outras funcionalidades ao nível do inquilino regidas pelas permissões da Organização .

Para obter mais informações, veja Categorias de dispositivos.

Análise do ponto de extremidade

  • A equipa Central deve criar o número de linhas de base comuns do Endpoint Analytics que precisar para suportar a variância dos administradores locais.
  • Se possível, os administradores locais não devem criar as suas próprias linhas de base do Endpoint Analytics. Quando delega a um grande número de administradores, o número total de objetos pode tornar-se grande e difícil de gerir. A melhor prática varia de acordo com a área de funcionalidades.
  • Para obter mais informações, veja Configurar definições na Análise de pontos finais.