Partilhar via


Definições de Conformidade do Dispositivo para Windows 10/11 no Intune

Este artigo lista e descreve as diferentes definições de compatibilidade que pode configurar em dispositivos Windows no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para exigir o BitLocker, definir um sistema operativo mínimo e máximo, definir um nível de risco com o Microsoft Defender para Endpoint e muito mais.

Esse recurso aplica-se a:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Como administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos organizacionais. Para saber mais sobre as políticas de conformidade e o que fazem, veja Introdução à conformidade do dispositivo.

Antes de começar

Crie uma política de conformidade. Em Plataforma, selecione Windows 10 e posteriores.

Integridade do dispositivo

Para garantir que os dispositivos arrancam num estado fidedigno, o Intune utiliza os serviços de atestado de dispositivos da Microsoft. Os dispositivos nos serviços comerciais do Intune, GCC High e DoD do Us Government com o Windows 10 utilizam o serviço Atestado de Estado de Funcionamento do Dispositivo (DHA).

Para saber mais, confira:

Regras de avaliação do Serviço de Atestado de Estado de Funcionamento do Windows

  • Exigir BitLocker:
    A Encriptação de Unidade BitLocker do Windows encripta todos os dados armazenados no volume do sistema operativo Windows. O BitLocker utiliza o Trusted Platform Module (TPM) para ajudar a proteger o sistema operativo Windows e os dados do utilizador. Também ajuda a confirmar que um computador não é adulterado, mesmo que seja deixado sem vigilância, perdido ou roubado. Se o computador estiver equipado com um TPM compatível, o BitLocker utiliza o TPM para bloquear as chaves de encriptação que protegem os dados. Como resultado, as chaves não podem ser acedidas até que o TPM verifique o estado do computador.

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – o dispositivo pode proteger os dados armazenados na unidade contra acesso não autorizado quando o sistema está desligado ou hiberna.

    Estado de Funcionamento do DispositivoAttestation CSP – BitLockerStatus

    Observação

    Se utilizar uma política de conformidade de dispositivos no Intune, tenha em atenção que o estado desta definição só é medido no momento do arranque. Por conseguinte, mesmo que a encriptação BitLocker possa ter sido concluída, será necessário reiniciar para que o dispositivo o detete e se torne compatível. Para obter mais informações, consulte o seguinte blogue de suporte da Microsoft sobre o Atestado de Estado de Funcionamento do Dispositivo.

  • Exigir que o Arranque Seguro seja ativado no dispositivo:

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – o sistema é forçado a arrancar para um estado fidedigno de fábrica. Os componentes principais que são utilizados para arrancar a máquina têm de ter assinaturas criptográficas corretas que sejam consideradas fidedignas pela organização que fabricou o dispositivo. O firmware UEFI verifica a assinatura antes de permitir o arranque do computador. Se algum ficheiro for adulterado, que quebra a assinatura, o sistema não arranca.

    Observação

    A definição Exigir Que o Arranque Seguro seja ativado no dispositivo é suportada em alguns dispositivos TPM 1.2 e 2.0. Para dispositivos que não suportam o TPM 2.0 ou posterior, o estado da política no Intune é apresentado como Não Conforme. Para obter mais informações sobre as versões suportadas, consulte Atestado de Estado de Funcionamento do Dispositivo.

  • Exigir integridade do código:
    A integridade do código é uma funcionalidade que valida a integridade de um controlador ou ficheiro de sistema sempre que é carregado para a memória.

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – requer integridade do código, que deteta se um ficheiro de sistema ou controlador não assinado está a ser carregado para o kernel. Também deteta se um ficheiro de sistema é alterado por software malicioso ou executado por uma conta de utilizador com privilégios de administrador.

Para saber mais, confira:

Propriedades do Dispositivo

Versão do Sistema Operativo

Para descobrir versões de compilação para todas as Atualizações de Funcionalidades e Atualizações Cumulativas do Windows 10/11 (a utilizar em alguns dos campos abaixo), consulte Informações de versão do Windows. Certifique-se de que inclui o prefixo de versão adequado antes dos números de compilação, como 10.0 para Windows 10, como ilustram os exemplos seguintes.

  • Versão mínima do SO:
    Introduza a versão mínima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escreva ver. O ver comando devolve a versão no seguinte formato:

    Microsoft Windows [Version 10.0.17134.1]

    Quando um dispositivo tem uma versão anterior à versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.

  • Versão máxima do SO:
    Introduza a versão máxima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escreva ver. O ver comando devolve a versão no seguinte formato:

    Microsoft Windows [Version 10.0.17134.1]

    Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.

  • SO mínimo necessário para dispositivos móveis:
    Introduza a versão mínima permitida no formato de número major.minor.build.

    Quando um dispositivo tem uma versão anterior da versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.

  • SO máximo necessário para dispositivos móveis:
    Introduza a versão máxima permitida, no número major.minor.build.

    Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.

  • Compilações válidas do sistema operativo:
    Especifique uma lista de compilações mínimas e máximas do sistema operativo. As compilações válidas do sistema operativo proporcionam flexibilidade adicional quando comparadas com as versões mínimas e máximas do SO. Considere um cenário em que a versão mínima do SO está definida como 10.0.18362.xxx (Windows 10 1903) e a versão máxima do SO está definida como 10.0.18363.xxx (Windows 10 1909). Esta configuração pode permitir que um dispositivo Windows 10 1903 que não tenha atualizações cumulativas recentes instaladas seja identificado como conforme. As versões mínimas e máximas do SO poderão ser adequadas se tiver padronizado numa única versão do Windows 10, mas poderá não cumprir os seus requisitos se precisar de utilizar várias compilações, cada uma com níveis de patch específicos. Nesse caso, considere tirar partido de compilações válidas do sistema operativo, o que permite especificar várias compilações de acordo com o exemplo seguinte.

    O maior valor suportado para cada uma das versões, principais, secundárias e campos de compilação é 65535. Por exemplo, o maior valor que pode introduzir é 65535.65535.65535.65535.

    Exemplo:
    A tabela seguinte é um exemplo de um intervalo para as versões aceitáveis dos sistemas operativos para diferentes versões do Windows 10. Neste exemplo, foram permitidas três Atualizações de Funcionalidades diferentes (1809, 1909 e 2004). Especificamente, apenas as versões do Windows e que tenham aplicado atualizações cumulativas de junho a setembro de 2020 serão consideradas conformes. Trata-se apenas de dados de exemplo. A tabela inclui uma primeira coluna que inclui qualquer texto que pretenda descrever a entrada, seguido da versão mínima e máxima do SO dessa entrada. A segunda e terceira colunas têm de cumprir versões de compilação válidas do SO no formato de número major.minor.build.revision . Depois de definir uma ou mais entradas, pode Exportar a lista como um ficheiro de valores separados por vírgulas (CSV).

    Descrição Versão mínima do sistema operacional Versão máxima do sistema operacional
    Vitória 10 2004 (jun-setembro de 2020) 10.0.19041.329 10.0.19041.508
    Vitória 10 1909 (jun-setembro de 2020) 10.0.18363.900 10.0.18363.1110
    Vitória 10 1809 (jun-setembro de 2020) 10.0.17763.1282 10.0.17763.1490

    Observação

    Se especificar vários intervalos de compilações de versões do SO na sua política e um dispositivo tiver uma compilação fora dos intervalos em conformidade, o Portal da Empresa notificará o utilizador do dispositivo de que o dispositivo não está em conformidade com esta definição. No entanto, tenha em atenção que, devido a limitações técnicas, a mensagem de remediação de compatibilidade só mostra o primeiro intervalo de versões do SO especificado na política. Recomendamos que documente os intervalos de versões do SO aceitáveis para dispositivos geridos na sua organização.

Conformidade do Configuration Manager

Aplica-se apenas a dispositivos cogeridos com o Windows 10/11. Os dispositivos apenas do Intune devolvem um estado não disponível.

  • Exigir a conformidade do dispositivo do Configuration Manager:
    • Não configurado (predefinição) – o Intune não verifica a conformidade de nenhuma das definições do Configuration Manager.
    • Exigir – exigir que todas as definições (itens de configuração) no Configuration Manager estejam em conformidade.

Segurança do Sistema

Senha

  • Exigir uma palavra-passe para desbloquear dispositivos móveis:

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo.
  • Palavras-passe simples:

    • Não configurado (predefinição) – os utilizadores podem criar palavras-passe simples, como 1234 ou 1111.
    • Bloquear – os utilizadores não podem criar palavras-passe simples, como 1234 ou 1111.
  • Tipo de palavra-passe:
    Escolha o tipo de palavra-passe ou PIN necessário. Suas opções:

    • Predefinição do dispositivo (predefinição) – exigir uma palavra-passe, PIN numérico ou PIN alfanumérico
    • Numérico – Exigir uma palavra-passe ou UM PIN numérico
    • Alfanumérico – exigir uma palavra-passe ou PIN alfanumérico.

    Quando definido como Alfanumérico, estão disponíveis as seguintes definições:

  • Comprimento mínimo da palavra-passe:
    Introduza o número mínimo de dígitos ou carateres que a palavra-passe tem de ter.

  • Máximo de minutos de inatividade antes de a palavra-passe ser necessária:
    Introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe.

  • Expiração da palavra-passe (dias):
    Introduza o número de dias antes de a palavra-passe expirar e esta tem de criar uma nova, de 1 a 730.

  • Número de palavras-passe anteriores para impedir a reutilização:
    Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas.

  • Exigir palavra-passe quando o dispositivo regressa do estado inativo (Móvel e Holográfico):

    • Não configurado (predefinição)
    • Exigir – exigir que os utilizadores do dispositivo introduzam a palavra-passe sempre que o dispositivo regressa de um estado inativo.

    Importante

    Quando o requisito de palavra-passe é alterado num ambiente de trabalho do Windows, os utilizadores são afetados da próxima vez que iniciarem sessão, pois é quando o dispositivo passa de inativo para ativo. Os utilizadores com palavras-passe que cumpram os requisitos continuam a ser solicitados a alterar as respetivas palavras-passe.

Criptografia

  • Encriptação do armazenamento de dados num dispositivo:
    Esta definição aplica-se a todas as unidades num dispositivo.

    • Não configurado (predefinição)
    • Exigir – utilize Exigir para encriptar o armazenamento de dados nos seus dispositivos.

    DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

    Observação

    A definição Encriptação do armazenamento de dados num dispositivo verifica genericamente a presença de encriptação no dispositivo, mais especificamente ao nível da unidade do SO. Atualmente, o Intune suporta apenas a verificação de encriptação com o BitLocker. Para uma definição de encriptação mais robusta, considere utilizar Exigir BitLocker, que tira partido do Atestado de Estado de Funcionamento do Dispositivo Windows para validar o estado do BitLocker ao nível do TPM. No entanto, ao tirar partido desta definição, tenha em atenção que pode ser necessário reiniciar antes de o dispositivo ser refletido como conforme.

Segurança do Dispositivo

  • Firewall:

    • Não configurado (predefinição) – o Intune não controla a Firewall do Windows nem altera as definições existentes.
    • Exigir – ative a Firewall do Windows e impeça os utilizadores de a desativar.

    CSP do Firewall

    Observação

    • Se o dispositivo sincronizar imediatamente após um reinício ou sincronizar imediatamente a partir do modo de suspensão, esta definição poderá comunicar como um Erro. Este cenário pode não afetar o estado geral de conformidade do dispositivo. Para reavaliar o estado de conformidade, sincronize manualmente o dispositivo.

    • Se for aplicada uma configuração (por exemplo, através de uma política de grupo) a um dispositivo que configure a Firewall do Windows para permitir todo o tráfego de entrada ou desative a firewall, definir Firewall como Exigir devolverá Não conforme, mesmo que a política de configuração de dispositivos do Intune ative a Firewall. Isto deve-se ao facto de o objeto de política de grupo substituir a política do Intune. Para corrigir este problema, recomendamos que remova quaisquer definições de política de grupo em conflito ou que migre as definições de política de grupo relacionadas com a Firewall para a política de configuração de dispositivos do Intune. Em geral, recomendamos que mantenha as predefinições, incluindo o bloqueio de ligações de entrada. Para obter mais informações, veja Melhores práticas para configurar a Firewall do Windows.

  • Trusted Platform Module (TPM):

    • Não configurado (predefinição) – o Intune não verifica a existência de uma versão do chip TPM no dispositivo.
    • Exigir – o Intune verifica a compatibilidade da versão do chip do TPM. O dispositivo está em conformidade se a versão do chip do TPM for superior a 0 (zero). O dispositivo não está em conformidade se não existir uma versão TPM no dispositivo.

    DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

  • Antivírus:

    • Não configurado (predefinição) – o Intune não verifica se existem soluções antivírus instaladas no dispositivo.
    • Exigir – verifique a conformidade com soluções antivírus registadas no Centro de Segurança do Windows, como a Symantec e o Microsoft Defender. Quando definido como Exigir, um dispositivo com o respetivo software Antivírus desativado ou desatualizado não está em conformidade.

    DeviceStatus CSP - DeviceStatus/Antivirus/Status

  • Antisspyware:

    • Não configurado (predefinição) – o Intune não verifica se existem soluções antisspyware instaladas no dispositivo.
    • Exigir – verifique a conformidade com soluções antisspyware registadas no Centro de Segurança do Windows, como a Symantec e o Microsoft Defender. Quando definido como Exigir, um dispositivo com o software antimalware desativado ou desatualizado não está em conformidade.

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

As seguintes definições de compatibilidade são suportadas com o Ambiente de Trabalho do Windows 10/11.

  • Microsoft Defender Antimalware:

    • Não configurado (predefinição) – o Intune não controla o serviço nem altera as definições existentes.
    • Exigir – ative o serviço antimalware do Microsoft Defender e impeça os utilizadores de o desativar.
  • Versão mínima do Microsoft Defender Antimalware:
    Introduza a versão mínima permitida do serviço antimalware do Microsoft Defender. Por exemplo, digite 4.11.0.0. Quando deixada em branco, qualquer versão do serviço antimalware do Microsoft Defender pode ser utilizada.

    Por predefinição, não está configurada nenhuma versão.

  • Informações de segurança do Microsoft Defender Antimalware atualizadas:
    Controla as atualizações de proteção contra vírus e ameaças da Segurança do Windows nos dispositivos.

    • Não configurado (predefinição) – o Intune não impõe quaisquer requisitos.
    • Exigir – forçar a atualização das informações de segurança do Microsoft Defender.

    Defender CSP – Defender/Estado de Funcionamento/SignatureOutOfDate CSP

    Para obter mais informações, consulte Atualizações de informações de segurança para o Antivírus do Microsoft Defender e outros antimalware da Microsoft.

  • Proteção em tempo real:

    • Não configurado (predefinição) – o Intune não controla esta funcionalidade nem altera as definições existentes.
    • Exigir – ative a proteção em tempo real, que procura software maligno, spyware e outro software indesejável.

    Política CSP – Defender/AllowRealtimeMonitoring CSP

Microsoft Defender para Ponto de Extremidade

Regras do Microsoft Defender para Endpoint

Para obter informações adicionais sobre a integração do Microsoft Defender para Endpoint em cenários de acesso condicional, veja Configurar o Acesso Condicional no Microsoft Defender para Endpoint.

  • Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo:
    Utilize esta definição para assumir a avaliação de riscos dos seus serviços de defesa contra ameaças como uma condição de conformidade. Escolha o nível máximo de ameaça permitido:

    • Não configurado (predefinição)
    • Limpar – esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se o dispositivo for detetado como tendo qualquer nível de ameaças, será avaliado como não conforme.
    • Baixo – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer valor superior coloca o dispositivo num estado não conforme.
    • Médio – o dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, é determinado que não está em conformidade.
    • Alta – esta opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.

    Para configurar o Microsoft Defender para Endpoint como o seu serviço de defesa contra ameaças, consulte Ativar o Microsoft Defender para Endpoint com Acesso Condicional.

Windows Holographic for Business

O Windows Holographic for Business utiliza a plataforma Windows 10 e posterior . O Windows Holographic for Business suporta a seguinte definição:

  • Segurança> do SistemaEncriptação>Encriptação do armazenamento de dados no dispositivo.

Para verificar a encriptação de dispositivos no Microsoft HoloLens, veja Verificar a encriptação de dispositivos.

Surface Hub

O Surface Hub utiliza a plataforma Windows 10 e posterior . Os Surface Hubs são suportados para conformidade e Acesso Condicional. Para ativar estas funcionalidades nos Surface Hubs, recomendamos que ative a inscrição automática do Windows no Intune (requer o Microsoft Entra ID) e direcione os dispositivos Surface Hub como grupos de dispositivos. Os Surface Hubs têm de estar associados ao Microsoft Entra para que a conformidade e o Acesso Condicional funcionem.

Para obter orientações, consulte Configurar a inscrição para dispositivos Windows.

Consideração especial para Os Surface Hubs com o SO da Equipa do Windows 10/11:
Neste momento, os Surface Hubs que executam o SO da Equipa do Windows 10/11 não suportam as políticas de conformidade do Microsoft Defender para Ponto Final e Palavra-passe. Por conseguinte, para os Surface Hubs que executam o SO da Equipa do Windows 10/11, defina as duas seguintes definições como a predefinição Não configurado:

  • Na categoria Palavra-passe, defina Exigir uma palavra-passe para desbloquear dispositivos móveis para a predefinição Não configurado.

  • Na categoria Microsoft Defender para Endpoint, defina Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo da predefinição não configurado.

Próximas etapas