Cargas de cogestão

  • Artigo

Não tens de mudar as cargas de trabalho, ou podes fazê-las individualmente quando estiveres pronto. O Gestor de Configuração continua a gerir todas as outras cargas de trabalho, incluindo as cargas de trabalho que não muda para o Intune, e todas as outras funcionalidades do Gestor de Configuração que a cogestão não suporta.

Se mudar uma carga de trabalho para Intune, mas depois mudar de ideias, pode mudá-la de volta para O Gestor de Configuração.

A cogestão suporta as seguintes cargas de trabalho:

Políticas de conformidade

As políticas de conformidade definem as regras e configurações que um dispositivo deve cumprir para ser considerado conforme por políticas de acesso condicional. Utilize também políticas de conformidade para monitorizar e remediar problemas de conformidade com dispositivos independentemente do acesso condicional. A partir da versão 1910 do Gestor de Configuração, pode adicionar a avaliação das linhas de base de configuração personalizadas como regra de avaliação da política de conformidade. Para obter mais informações, consulte incluir linhas de base de configuração personalizadas como parte da avaliação da política de conformidade.

Para obter mais informações sobre a funcionalidade Intune, consulte as políticas de conformidade para definir regras para dispositivos que gere com o Intune.

Windows Atualizar políticas

Windows A atualização das políticas empresariais permite-lhe configurar políticas de diferimento para Windows 10 atualizações de funcionalidades ou atualizações de qualidade para dispositivos Windows 10 geridos diretamente por Windows Update for Business.

Para obter mais informações sobre a funcionalidade Intune, consulte Gerir Windows 10 atualizações de software no Intune.

Políticas de acesso a recursos

Importante

A partir da versão 2103 do Gestor de Configuração, estas funcionalidades de acesso a recursos da empresa do Gestor de Configuração e desta carga de trabalho de cogestão são depreciadas. Utilize Microsoft Intune para implementar perfis de acessoa recursos .

As políticas de acesso a recursos configuram as definições de VPN, Wi-Fi, e-mail e certificados nos dispositivos.

Para obter mais informações sobre a funcionalidade Intune, consulte os perfis de acesso a recursos de implementação.

Nota

A carga de trabalho de acesso a recursos também faz parte da configuração do dispositivo. Estas políticas são geridas pela Intune quando muda a carga de trabalho de Configuração do Dispositivo.

Endpoint Protection

A carga de trabalho de proteção do ponto final inclui o conjunto de Windows Defender funcionalidades de proteção antimalware:

  • Windows Defender Antimalware
  • Windows Defender Application Guard
  • Firewall do Windows Defender
  • Windows Defender SmartScreen
  • Encriptação do Windows
  • Windows Defender Exploit Guard
  • Controlo de Aplicações do Windows Defender
  • Centro de Segurança do Windows Defender
  • Windows Defender para Endpoint (agora conhecido como Microsoft Defender para Endpoint)

Para obter mais informações sobre a função Intune, consulte Windows 10 (e posteriormente) as definições para proteger os dispositivos que utilizam o Intune.

Nota

Quando alterna esta carga de trabalho, as políticas do Gestor de Configuração permanecem no dispositivo até que as políticas Intune as substituam. Este comportamento garante que o dispositivo ainda tem políticas de proteção durante a transição.

A carga de trabalho de proteção do ponto final também faz parte da configuração do dispositivo. O mesmo comportamento aplica-se quando muda a carga de trabalho de configuração do dispositivo.

Quando a carga de trabalho de Proteção de Pontos Finais residir com intune, Windows as definições de Proteção de Informação serão aplicadas tanto do Gestor de Configuração como do Intune. O Gestor de Configuração continuará a aplicar Windows política de proteção de informação até que a carga de trabalho de configuração do dispositivo seja transferida para o Intune.

As definições Antivírus do Microsoft Defender que fazem parte do tipo de perfil de restrições do dispositivo para a configuração do dispositivo Intune não estão incluídas no âmbito do slider de proteção endpoint. Para gerir Antivírus do Microsoft Defender para dispositivos cogeridos com o slider de proteção de ponto final ativado, utilize as novas políticas antivírus no Centro de Segurança Endpoint do Microsoft Endpoint > > Antivírus. O novo tipo de política tem novas e melhoradas opções disponíveis, e suporta todas as mesmas definições disponíveis no perfil de restrições do Dispositivo.

A funcionalidade de encriptação Windows inclui a gestão bitLocker. Para obter mais informações sobre o comportamento desta funcionalidade com cogestão, consulte a gestão do Deploy BitLocker.

Configuração do dispositivo

A carga de trabalho de configuração do dispositivo inclui as definições que gere para dispositivos na sua organização. A mudança desta carga de trabalho também move as cargas de trabalho de Acesso a Recursos e Proteção de Pontos Finais.

Ainda é possível implementar definições do Gestor de Configuração para dispositivos cogeridos, mesmo que o Intune seja a autoridade de configuração do dispositivo. Esta exceção pode ser usada para configurar configurações que a sua organização necessita, mas ainda não estão disponíveis no Intune. Especifique esta exceção numa linha de base de configuração do Gestor de Configuração. Ative a opção de aplicar sempre esta linha de base mesmo para clientes cogeridos ao criar a linha de base. Pode alterá-lo mais tarde no separador Geral das propriedades de uma linha de base existente.

Para obter mais informações sobre a função Intune, consulte Criar um perfil do dispositivo em Microsoft Intune.

Nota

Quando muda a carga de trabalho de configuração do dispositivo, também inclui políticas para a funcionalidade de Proteção de Informação Windows. Apenas as políticas do Intune serão aplicadas assim que a carga de trabalho de configuração do dispositivo for transferida para o Intune.

Office Aplicativos click-to-run

Esta carga de trabalho gere Microsoft 365 Apps em dispositivos cogeridos.

  • Depois de mover a carga de trabalho, a aplicação aparece no Portal da Empresa no dispositivo

  • Office atualizações podem demorar cerca de 24 horas a aparecer no cliente, a menos que os dispositivos sejam reiniciados

  • Há uma nova condição global, são Office 365 aplicações geridas pela Intune no dispositivo. Esta condição é adicionada por padrão como requisito para novas aplicações Microsoft 365. Ao transitar esta carga de trabalho, os clientes cogeridos não cumprem os requisitos da aplicação. Em seguida, não instalam Microsoft 365 implementadas através do Gestor de Configuração.

As atualizações podem ser geridas utilizando qualquer uma das seguintes funcionalidades:

Para obter mais informações sobre a funcionalidade Intune, consulte as aplicações Add Microsoft 365 para Windows 10 dispositivos com Microsoft Intune.

Aplicações do cliente

Dica

Esta funcionalidade foi introduzida pela primeira vez na versão 1806 como uma funcionalidade pré-lançamento. Começando pela versão 2002, já não é uma funcionalidade pré-lançamento.

Esta funcionalidade pode aparecer na lista de funcionalidades como aplicações móveis para dispositivos cogeridos.

Utilize o Intune para gerir aplicações de clientes e scripts PowerShell em dispositivos Windows 10 cogeridos. Após a transição desta carga de trabalho, quaisquer aplicações disponíveis implementadas a partir do Intune estão disponíveis no Portal da Empresa. As aplicações que implementa do Gestor de Configuração estão disponíveis no Software Center.

Para obter mais informações sobre a funcionalidade Intune, veja o que é Microsoft Intune gestão de aplicações?

Nota

Na versão Windows 10 1903 e posteriormente, os scripts PowerShell ainda funcionam em dispositivos cogeridos, mesmo que não tenha mudado a carga de trabalho das Aplicações do Cliente para o Intune.

Quando ativa a Cache conectada do Microsoft nos pontos de distribuição do Gestor de Configuração, podem servir Microsoft Intune aplicações Win32 a clientes cogeridos. Para obter mais informações, consulte a Cache Conectada da Microsoft no Gestor de Configuração.

Diagrama para cargas de trabalho de aplicativos

Diagrama de trabalhos de aplicações de cogestão

Dica

A partir da versão 2006, pode configurar o Portal da Empresa para também mostrar aplicações do Gestor de Configuração. Se alterar esta experiência do portal de aplicações, altera os comportamentos descritos no diagrama acima. Para obter mais informações, consulte a aplicação Portal da Empresa em dispositivos cogeridos.

Problemas conhecidos

Aplica-se à versão 2006 e mais cedo

Quando a carga de trabalho de Proteção de Pontos Finais for transferida para o Intune, o cliente poderá ainda honrar as políticas definidas pelo Gestor de Configuração e Microsoft Defender.

Para contornar esta questão, aplique o CleanUpPolicy.xml utilizando ConfigSecurityPolicy.exe após as políticas intune terem sido recebidas pelo cliente utilizando os passos abaixo:

  1. Copie e guarde o texto abaixo como CleanUpPolicy.xml .

    <?xml version="1.0" encoding="UTF-8"?>
<SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>

  2. Abra um pedido de comando elevado para ConfigSecurityPolicy.exe . Normalmente, este executável está num dos seguintes diretórios:

    • C:\Ficheiros do programa\Windows Defender
    • C:\Ficheiros de programas\Microsoft Security Client

  3. A partir do pedido de comando, passe no ficheiro xml para limpar a política. Por exemplo, ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.

Passos seguintes

Como mudar cargas de trabalho