Criar um perfil de dispositivo no Microsoft Intune

Os perfis do dispositivo permitem-lhe adicionar e configurar definições e, em seguida, empurrar estas definições para dispositivos da sua organização. Tem algumas opções ao criar políticas:

• Modelos administrativos: Em Windows 10 e dispositivos posteriores, estes modelos são configurações ADMX que configura. Se você está familiarizado com as políticas do ADMX ou objetos de política de grupo (GPO), então usar modelos administrativos é um passo natural para Microsoft Intune e Endpoint Manager.

  Para mais informações, consulte Modelos Administrativos

• Linhas de base: Nos dispositivos Windows 10 e posteriores, estas linhas de base incluem definições de segurança pré-configuradas. Se pretender criar uma política de segurança utilizando recomendações das equipas de segurança da Microsoft, então as linhas de base de segurança são para si.

  Para obter mais informações, consulte as linhas de base de segurança.

• Definições catálogo: Em Windows 10 e posteriormente dispositivos, utilize o catálogo de definições para ver todas as definições disponíveis e num local. Por exemplo, pode ver todas as definições que se aplicam ao BitLocker e criar uma política que se foca apenas no BitLocker. Nos dispositivos macOS, utilize o catálogo de definições para configurar Microsoft Edge versão 77 e configurações.

  Para mais informações, consulte Definições catálogo.

  No macOS, continue a utilizar o ficheiro de preferência para:

  • Configurar versões anteriores de Microsoft Edge
  • Configurar configurações de navegador Edge que não estão no catálogo de definições

• Modelos: Nos dispositivos Android, iOS/iPadOS, macOS e Windows, os modelos incluem um agrupamento lógico de configurações que configuram uma funcionalidade ou conceito, como VPN, e-mail, dispositivos de quiosque e muito mais. Se está familiarizado com a criação de políticas de configuração do dispositivo em Microsoft Intune, então já está a usar estes modelos.

  Para obter mais informações, incluindo os modelos disponíveis, consulte Aplicar funcionalidades e configurações nos seus dispositivos utilizando perfis do dispositivo.

Este artigo:

• Apresenta os passos para criar um perfil.
• Mostra-lhe como adicionar uma etiqueta de âmbito para "filtrar" as suas políticas.
• Descreve as regras de aplicabilidade em dispositivos Windows 10 e mostra como criar uma regra.
• Apresenta os tempos de ciclos de atualização de entrada quando os dispositivos recebem perfis e atualizações de perfis.

Criar o perfil

Os perfis são criados no centro de administração Microsoft Endpoint Manager. Neste centro de administração, selecione Dispositivos. Tem as seguintes opções:

• Visão geral: Lista o estado dos seus perfis e fornece mais detalhes sobre os perfis que atribuiu aos utilizadores e dispositivos.
• Monitor: Verifique o estado dos seus perfis para obter sucesso ou falha e também ver registos nos seus perfis.
• Por plataforma: Crie e veja políticas e perfis pela sua plataforma. Esta vista também pode mostrar funcionalidades específicas da plataforma. Por exemplo, selecione Windows. Você verá funcionalidades específicas Windows, tais como Windows 10 atualização de anéis e scripts PowerShell.
• Política: Crie perfis de dispositivos, carreie scripts personalizados do PowerShell para executar em dispositivos e adicione planos de dados a dispositivos que utilizem o eSIM.

Quando criar um perfil (Perfis de configuração > Criar perfil), escolha a sua plataforma:

• Android device administrator (Administrador de dispositivos Android)
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 e posterior
• Windows 8.1 e posterior

Então, escolha o perfil. Consoante a plataforma que escolheu, as definições que pode configurar variam. Os seguintes artigos descrevem os diferentes perfis:

• Modelos administrativos (Windows)
• Personalizado
• Otimização de Entrega (Windows)
• Credencial derivada (Android Enterprise, iOS, iPadOS)
• Funcionalidades do dispositivo (macOS, iOS, iPadOS)
• Firmware do dispositivo (Windows)
• Restrições de dispositivos
• União de domínios (Windows)
• Edição upgrade e switch de modo (Windows)
• Educação (iOS, iPadOS)
• E-mail
• Proteção de ponto final (macOS, Windows)
• Extensões (macOS)
• Proteção de identidade (Windows)
• Kiosk
• Microsoft Defender para Endpoint (Windows)
• Perfil de Extensões de Mobilidade (MX) (administrador de dispositivo Android)
• Fronteira da rede (Windows)
• OEMConfig (Android Enterprise)
• Certificado PKCS
• Certificado PKCS importado
• Ficheiro de preferência (macOS)
• Certificado SCEP
• Avaliação segura (Educação) (Windows)
• Dispositivo multiutilizador partilhado (Windows)
• Despesas de telecomunicações (administrador de dispositivos Android, iOS, iPadOS)
• Certificado fidedigno
• VPN
• Wi-Fi
• Monitorização do estado de funcionamento do Windows
• Redes com fios (macOS)

Por exemplo, se selecionar iOS/iPadOS para a plataforma, as suas opções são semelhantes ao seguinte perfil:

Se selecionar Windows 10 e posteriormente para a plataforma, as suas opções são semelhantes ao seguinte perfil:

Scope tags (Etiquetas de âmbito)

Depois de adicionar as definições, também pode adicionar uma etiqueta de âmbito ao perfil. As etiquetas de âmbito filtram perfis para grupos de TI específicos, tais como US-NC IT Team JohnGlenn_ITDepartment ou . E são usados em TI distribuídos.

Para obter mais informações sobre etiquetas de âmbito e o que pode fazer, veja Utilizar RBAC e etiquetas de âmbito para TI distribuídas.

Regras de aplicabilidade

Aplica-se a:

• Windows 10 e posterior

As regras de aplicabilidade permitem aos administradores direcionar os dispositivos num grupo que satisfaça critérios específicos. Por exemplo, cria um perfil de restrições do dispositivo que se aplica ao grupo de dispositivos All Windows 10. E só quer o perfil atribuído a dispositivos que Windows 10 Enterprise.

Para tal, crie uma regra de aplicabilidade. Estas regras são ótimas para os seguintes cenários:

• Utiliza-se Windows 10 Education (EDU). No Bellows College, você quer direcionar todos os Windows 10 dispositivos EDU entre RS3 e RS4.
• Você quer direcionar todos os utilizadores em Recursos Humanos na Contoso, mas só quer Windows 10 dispositivos Profissionais ou Empresariais.

Para abordar estes cenários, você:

• Crie um grupo de dispositivos que inclua todos os dispositivos no Bellows College. No perfil, adicione uma regra de aplicabilidade para que se aplique se a versão mínima de SO for 16299 e a versão máxima for 17134 . Atribua este perfil ao grupo de dispositivos da Faculdade de Bellows.

  Quando é atribuído, o perfil aplica-se aos dispositivos entre as versões mínima e máxima que introduz. Para dispositivos que não estejam entre as versões mínimas e máximas que introduz, o seu estado mostra como Não aplicável.

• Crie um grupo de utilizadores que inclua todos os utilizadores em Recursos Humanos (RH) na Contoso. No perfil, adicione uma regra de aplicabilidade para que se aplique a dispositivos em execução Windows 10 Profissional ou Empresa. Atribua este perfil ao grupo de utilizadores de RH.

  Quando é atribuído, o perfil aplica-se a dispositivos que executam Windows 10 Profissional ou Empresa. Para dispositivos que não estão a executar estas edições, o seu estado mostra como Não aplicável.

• Se existirem dois perfis com as mesmas definições, então o perfil sem uma regra de aplicabilidade é aplicado.

  Por exemplo, o ProfileA tem como alvo o grupo de dispositivos Windows 10, ativa o BitLocker e não tem uma regra de aplicabilidade. ProfileB tem como alvo o mesmo grupo de dispositivos Windows 10, permite o BitLocker, e tem uma regra de aplicabilidade para aplicar apenas o perfil a Windows 10 Enterprise.

  Quando ambos os perfis são atribuídos, o ProfileA é aplicado porque não tem uma regra de aplicabilidade.

Quando atribui o perfil aos grupos, as regras de aplicabilidade funcionam como um filtro e direcionam-se apenas para os dispositivos que satisfaçam os seus critérios.

Adicionar uma regra

1. Selecione Regras de Aplicabilidade. Pode escolher a Regra e a Propriedade:

   

2. Em Regra, escolha se pretende incluir ou excluir utilizadores ou grupos. As opções são:

   • Atribuir perfil se: Inclui utilizadores ou grupos que satisfaçam os critérios introduzidos.
   • Não atribua perfil se: Excluir utilizadores ou grupos que satisfaçam os critérios introduzidos.

3. Em Propriedade, escolha o seu filtro. As opções são:

   • Edição OS: Na lista, verifique as edições Windows 10 que pretende incluir (ou excluir) na sua regra.

   • Versão OS: Introduza os números de versão min e max Windows 10 de que pretende incluir (ou excluir) na sua regra. Ambos os valores são necessários.

     Por exemplo, pode introduzir 10.0.16299.0 (RS3 ou 1709) para a versão mínima e 10.0.17134.0 (RS4 ou 1803) para a versão máxima. Ou, pode ser mais granular e introduzir 10.0.16299.001 para a versão mínima e para a versão 10.0.17134.319 máxima.

     Para obter mais números de versão, consulte Windows 10 informações de lançamento.

4. Selecione Adicionar para guardar as suas alterações.

Tempos de ciclos de atualização

Intune utiliza diferentes ciclos de atualização para verificar se há atualizações nos perfis de configuração. Se o dispositivo se matriculou recentemente, o check-in funciona com mais frequência. Os ciclos de atualização de política e de perfil listam os tempos estimados de atualização.

Em qualquer altura, os utilizadores podem abrir a aplicação do Portal da Empresa e sincronizar o dispositivo para verificarem imediatamente se existem as atualizações de perfis.

Recomendações

Ao criar perfis, considere as seguintes recomendações:

• Diga as suas políticas para saber o que são e o que fazem. Todas as políticas de conformidade e perfis de configuração têm uma propriedade descrição opcional. Em Descrição, seja específico e inclua informações para que outros saibam o que a política faz.

  Alguns exemplos de perfis de configuração incluem:

  Nome do perfil: Modelo de administração - OneDrive perfil de configuração para todos os utilizadores Windows 10
  Descrição do perfil: OneDrive perfil do modelo de administração que inclui as definições mínimas e base para todos os Windows 10 utilizadores. Criado para user@contoso.com impedir que os utilizadores partilhem dados organizacionais para contas pessoais OneDrive.

  Nome do perfil: Perfil VPN para todos os utilizadores do iOS/iPadOS
  Descrição do perfil: Perfil VPN que inclui as definições mínimas e base para todos os utilizadores iOS/iPadOS se conectarem ao Contoso VPN. Criado por user@contoso.com assim os utilizadores autenticam automaticamente a VPN, em vez de solicitarem aos utilizadores o seu nome de utilizador e senha.

• Crie o seu perfil através da sua tarefa, como configurar as definições Microsoft Edge, ativar as definições antivírus do Microsoft Defender, bloquear dispositivos jailbroken iOS/iPadOS, e assim por diante.

• Criar perfis que se apliquem a grupos específicos, tais como Marketing, Vendas, Administradores de TI ou por localização ou sistema escolar.

• Separar as políticas do utilizador das políticas do dispositivo.

  Por exemplo, os Modelos Administrativos em Intune têm milhares de configurações ADMX. Estes modelos mostram se uma definição se aplica aos utilizadores ou dispositivos. Ao criar modelos de administração, atribua as definições dos seus utilizadores a um grupo de utilizadores e atribua as definições do seu dispositivo a um grupo de dispositivos.

  A imagem a seguir mostra um exemplo de uma definição que pode aplicar-se aos utilizadores, aplicar-se aos dispositivos ou aplicar-se a ambos:

  

• Sempre que criar uma política restritiva, comunique esta alteração aos seus utilizadores. Por exemplo, se estiver a alterar o requisito de código de acesso de quatro (4) caracteres para seis (6) caracteres, informe os seus utilizadores antes de atribuir a apólice.

Passos seguintes

Atribua o perfil e monitorize o respetivo estado.