Configure ações para dispositivos não conformes no Intune

  • Artigo

Para dispositivos que não cumpram as suas políticas ou regras de conformidade, pode adicionar Ações de incumprimento. Esta funcionalidade configura uma sequência cronológica de ações, como enviar e-mail ao utilizador final, entre outras.

Descrição Geral

Por predefinição, cada política de conformidade inclui a ação de incumprimento do dispositivo Mark não conforme com um horário de zero dias (0). O resultado deste padrão é quando o Intune deteta que um dispositivo não está em conformidade, o Intune marca imediatamente o dispositivo como incompatível. Depois de um dispositivo ser marcado como incumprimento, Azure Ative Directory acesso condicional (AD) pode bloquear o dispositivo.

Ao configurar Ações para incumprimento, ganha flexibilidade para decidir o que fazer em relação a dispositivos não conformes e quando fazê-lo. Por exemplo, pode optar por não bloquear o dispositivo imediatamente e dar ao utilizador um período de carência para se tornar conforme.

Para cada ação que definir, pode configurar um calendário que determina quando essa ação entra em vigor. O horário é de alguns dias após o dispositivo ser marcado como incompatível. Também pode configurar várias instâncias de uma ação. Quando define várias instâncias de uma ação numa apólice, a ação volta a funcionar nessa hora mais tarde agendada se o dispositivo permanecer incompatível.

Nem todas as ações estão disponíveis para todas as plataformas.

Ações disponíveis para incumprimento

Seguem-se as ações disponíveis para incumprimento:

  • Dispositivo de marcação não conforme: Por padrão, esta ação é definida para cada política de conformidade e tem um horário de zero (0) dias, marcando os dispositivos como não conformes imediatamente.

    Quando altera o horário predefinido, fornece um período de carência no qual um utilizador pode corrigir problemas ou tornar-se conforme sem ser marcado como incompatível.

    Esta ação é apoiada em todas as plataformas apoiadas pela Intune.

  • Enviar e-mail para utilizador final: Esta ação envia uma notificação de e-mail ao utilizador. Quando ativar esta ação:

    • Selecione um modelo de mensagem de notificação que esta ação envia. Crie um modelo de mensagem de notificação antes de poder atribuir um a esta ação. Ao criar a notificação personalizada, personaliza o local da mensagem, o sujeito, o corpo da mensagem e pode incluir o logótipo da empresa, o nome da empresa e informações adicionais de contacto.
    • Opte por enviar a mensagem a destinatários adicionais selecionando um ou mais dos seus Grupos AD Azure.

    A Intune utiliza o endereço de e-mail definido no perfil do utilizador final e não o nome principal do utilizador (UPN). Se não houver um endereço de e-mail definido definido no perfil do utilizador, então o Intune não envia um e-mail de notificação. Quando o e-mail é enviado, o Intune inclui detalhes sobre o dispositivo não conforme na notificação de e-mail.

    Esta ação é apoiada em todas as plataformas apoiadas pela Intune.

  • Bloqueie remotamente o dispositivo não conforme: Utilize esta ação para emitir uma fechadura remota de um dispositivo. Em seguida, é pedido ao utilizador um PIN ou palavra-passe para desbloquear o dispositivo. Saiba mais sobre a funcionalidade Bloqueio Remoto.

    As seguintes plataformas apoiam esta ação:

    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise:
      • Totalmente gerido
      • Dedicada
      • Perfil de trabalho Corporate-Owned
      • Perfil de trabalho Personally-Owned
      • Dispositivos de quiosque Android Enterprise
    • iOS/iPadOS
    • macOS

  • Retire o dispositivo não conforme: Esta ação remove todos os dados da empresa do dispositivo e remove o dispositivo da gestão Intune.

    As seguintes plataformas apoiam esta ação:

    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise:
      • Totalmente gerido
      • Dedicada
      • Perfil de trabalho Corporate-Owned
      • Perfil de trabalho Personally-Owned
    • iOS/iPadOS
    • macOS
    • Windows 10

    Quando esta ação se aplica a um dispositivo, este dispositivo é adicionado a uma lista de dispositivos na consola de administração nas políticas de conformidade dos dispositivos > > Retire dispositivos não conformes. O dispositivo não é retirado até que um administrador tome medidas explícitas para retirar o dispositivo.

    Para retirar um ou mais dispositivos da lista, selecione os dispositivos da lista e, em seguida, selecione Dispositivos Selecionados retire. Também pode selecionar opções para retirar todos os dispositivos, limpar todos os dispositivos estado de aposentação, e limpar dispositivos selecionados Estado de aposentação. Limpar o estado de aposentação de um dispositivo remove o dispositivo da lista de dispositivos que podem ser retirados até que a ação para retirar o dispositivo não conforme seja novamente aplicada a esse dispositivo.

    Saiba mais sobre a retirada de dispositivos.

  • Enviar notificações push para utilizador final: Configure esta ação para enviar uma notificação push sobre o incumprimento de um dispositivo através da aplicação Portal da Empresa ou Da App Intune no dispositivo.

    As seguintes plataformas apoiam esta ação:

    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise:
      • Totalmente gerido
      • Dedicada
      • Perfil de trabalho Corporate-Owned
      • Perfil de trabalho Personally-Owned
    • iOS/iPadOS

    A notificação push é enviada pela primeira vez uma verificação do dispositivo com o Intune e é considerada incompatível com a política de conformidade. Quando um utilizador seleciona a notificação, a aplicação Portal da Empresa ou a aplicação Intune abre e exibe informações sobre o porquê de não estarem em conformidade. O utilizador pode então tomar medidas para resolver o problema. Os detalhes da mensagem sobre incumprimento são gerados pelo Intune e não podem ser personalizados.

    Importante

    Intune, a aplicação Portal da Empresa, e a aplicação Microsoft Intune, não podem garantir a entrega de uma notificação push. As notificações podem aparecer depois de várias horas de atraso, se é que são. Isto inclui quando os utilizadores têm desligado as notificações push.

    Não confie neste método de notificação para mensagens urgentes.

    Cada instância da ação envia uma notificação uma única vez. Para enviar novamente a mesma notificação de uma política, configure instâncias adicionais da ação nessa política, cada uma com um calendário diferente.

    Por exemplo, pode agendar a primeira ação para zero dias e, em seguida, adicionar uma segunda instância da ação definida para três dias. Este atraso antes da segunda notificação dá ao utilizador alguns dias para resolver o problema e evitar a segunda notificação.

    Para evitar spam de utilizadores com demasiadas mensagens duplicadas, reveja e agilize quais as políticas de conformidade que incluem uma notificação push para incumprimento, e rever os horários para evitar notificações repetidas para o mesmo com demasiada frequência.

    Considere:

    • Para uma única política que inclua múltiplas instâncias de uma notificação push definida para o mesmo dia, apenas uma única notificação é enviada para esse dia.

    • Quando várias políticas de conformidade incluem as mesmas condições de conformidade, e incluem a ação de notificação push com o mesmo horário, a Intune envia várias notificações para o mesmo dispositivo no mesmo dia.

Antes de começar

Pode adicionar ações de incumprimento quando configurar a política de conformidade do dispositivo ou, posteriormente, editando a política. Pode adicionar ações adicionais a cada política para atender às suas necessidades. Tenha em mente que cada política de conformidade inclui automaticamente a ação padrão para incumprimento que marca os dispositivos como incompatível, com um horário definido para zero dias.

Para utilizar as políticas de conformidade do dispositivo para bloquear dispositivos a partir de recursos corporativos, o Acesso Condicional AZure AD deve ser configurado. Consulte o Acesso Condicional em Azure Ative Directory ou formas comuns de utilizar o Acesso Condicional com Intune para obter orientação.

Para criar uma política de conformidade com o dispositivo, consulte as seguintes orientações específicas da plataforma:

Criar um modelo de mensagem de notificação

Para enviar e-mail aos seus utilizadores, crie um modelo de mensagem de notificação e associe-o à sua política de conformidade como uma ação de incumprimento. Em seguida, quando um dispositivo não é conforme, os detalhes que introduz no modelo são mostrados no e-mail enviado aos seus utilizadores.

Um modelo de mensagem de notificação pode incluir várias mensagens que são especificadas para um local diferente. Um local deve ser especificado como o padrão.

Quando especifica várias mensagens e locais, os utilizadores finais não conformes recebem a mensagem localizada adequada com base no seu idioma preferido do O365. Intune envia a mensagem padrão para utilizadores que não definiram um idioma preferido ou quando o modelo não inclui uma mensagem específica para o seu local.

Para criar o modelo

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione Notificações de conformidade do dispositivo de segurança endpoint > > > Criar notificação.

  3. Na página Basics, configufique as seguintes definições:

    • Nome - Dê ao modelo um nome amigável para ajudá-lo a identificá-lo.
    • Cabeçalho de e-mail – Inclua o logótipo da empresa (padrão = Enable)- O logótipo que carrega como parte da marca Portal da Empresa é usado para modelos de e-mail. Para obter mais informações sobre a imagem corporativa do Portal da Empresa, veja Personalização da imagem corporativa da empresa.
    • E-mail footer – Inclua o nome da empresa (padrão = Ativar)
    • Rodapé de e-mail - Incluir informações de contacto (padrão = Ativar)
    • Portal da Empresa Link do Site (predefinição = Desativar)- Quando definido para Ativar, o e-mail inclui um link para o website Portal da Empresa.

    Exemplo da página básica para uma mensagem de notificação em Intune

    Selecione Seguinte para continuar.

  4. Na página de modelos de mensagens de notificação, configuure uma ou mais mensagens. Para cada mensagem, especifique os seguintes detalhes:

    • Local
    • Assunto
    • Texto do corpo da mensagem

    Antes de continuar, tem de selecionar a caixa de verificação para "Is Predefinido" para uma das mensagens. Apenas uma mensagem pode ser definida como padrão. Para eliminar uma mensagem, selecione a elipse (...) e, em seguida, elimine.

    Exemplo da página temmpe da mensagem de notificação em Intune

    Selecione Seguinte para continuar.

  5. Em 'Rever + criar'(Revisão+ criar), reveja as configurações para garantir que o modelo de mensagem de notificação está pronto a ser utilizado. Selecione Criar para completar a criação da notificação.

Ver e editar notificações

As notificações criadas estão disponíveis na página de Notificações de Políticas de Conformidade. > Na página pode selecionar uma notificação para visualizar a sua configuração e:

  • Selecione Enviar e-mail de pré-visualização para enviar uma pré-visualização do e-mail de notificação para a conta que usou para iniciar súm no Intune.

    Para enviar com sucesso o e-mail de pré-visualização, a sua conta deve ter permissões iguais às dos seguintes grupos AD Azure ou funções Intune: Administrador Global AD AD, Administrador Intune (Administrador de Serviço Intune AZure AD Intune), ou Intune Policy and Profile Manager.

  • Selecione editar para etiquetas Básicas ou Âmbito para fazer uma alteração.

Adicionar ações de não conformidade

Quando cria uma política de conformidade do dispositivo, o Intune cria automaticamente uma ação de não conformidade. Se um dispositivo não estiver a cumprir a sua política de conformidade, esta ação marca o dispositivo como não conforme. Pode personalizar o intervalo de tempo durante o qual o dispositivo está marcado como não conforme. Esta ação não pode ser removida.

Pode adicionar ações opcionais quando criar uma política de conformidade ou atualizar uma política existente.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione Políticas de conformidade de > > dispositivos, selecione uma das suas políticas e, em seguida, selecione Propriedades.

    Ainda não tem uma política? Crie uma política para Android, iOS, Windows ou para outra plataforma.

    Nota

    Os dispositivos geridos por parceiros de conformidade de dispositivos de terceiros que são direcionados para grupos de dispositivos não podem receber ações de conformidade neste momento.

  3. Selecione Ações para Não Incumprimento > Adicionar.

  4. Selecione a sua Ação:

    • Enviar um email para os utilizadores finais: quando o dispositivo não está em conformidade, opte por enviar um e-mail ao utilizador. Além disso:

      • Selecione o Modelo de mensagem que criou anteriormente
      • Introduza Destinatários adicionais ao selecionar grupos

    • Bloquear remotamente o dispositivo em não conformidade: quando o dispositivo não estiver em conformidade, bloqueie-o. Esta ação obriga o utilizador a introduzir um PIN ou uma senha para desbloquear o dispositivo.

    • Retire o dispositivo não conforme: Quando o dispositivo não for conforme, retire todos os dados da empresa do dispositivo e retire o dispositivo da gestão intune.

    • Enviar notificações push para utilizador final: Configure esta ação para enviar uma notificação push sobre o incumprimento de um dispositivo através da aplicação Portal da Empresa ou Da App Intune no dispositivo.

  5. Configure uma Programação: Introduza o número de dias (0 a 365) após incumprimento para desencadear a ação nos dispositivos dos utilizadores. Após este período de carência, pode impor uma política de acesso condicional. Se introduzir 0 (zero) número de dias, o acesso condicional entra em vigor imediatamente. Por exemplo, se um dispositivo não for conforme, use o acesso condicional para bloquear o acesso a e-mail, SharePoint e outros recursos da organização imediatamente.

    Quando cria uma política de conformidade, a ação não conforme do dispositivo Mark é automaticamente criada e automaticamente definida para 0 dias (imediatamente). Com esta ação, quando o dispositivo fizer o check-in com o Intune e avaliar a política, se não estiver em conformidade com essa política, a Intune assinala imediatamente esse dispositivo como incompatível. Se o cliente fizer o check-in mais tarde após remediar os problemas que levam ao incumprimento, o seu estado irá atualizar para o seu novo estado de conformidade. Se utilizar o Acesso Condicional, essas políticas também se aplicam assim que um dispositivo é marcado como incompatível. Para definir um período de carência para permitir que uma condição de incumprimento seja remediada antes de o dispositivo ser marcado como incompatível, altere a programação do dispositivo Marcação ação não conforme.

    Na sua política de conformidade, por exemplo, também pretende notificar o utilizador. Pode adicionar o e-mail Enviar o email para a ação do utilizador final. Nesta ação de email Enviar por email, definirá a Agenda para dois dias. Se o dispositivo ou utilizador final ainda for avaliado como incompatível no segundo dia, então o seu e-mail é enviado no segundo dia. Se quiser enviar novamente um e-mail ao utilizador no quinto dia de incumprimento, adicione outra ação e desacorra a Agenda para cinco dias.

    Para obter mais informações sobre o cumprimento e as ações incorporadas, consulte a visão geralde conformidade.

  6. Quando terminar, selecione Adicionar > OK para guardar as suas alterações.

Passos seguintes

Monitorizar as políticas.