Guia de implementação: Gerir dispositivos iOS/iPadOS em Microsoft Intune
A Intune suporta a gestão de dispositivos móveis (MDM) de iPads e iPhones para dar aos utilizadores acesso seguro a emails de trabalho, dados e aplicações. Este guia fornece orientações específicas para o iOS para ajudá-lo a configurar a inscrição e implementar aplicações e políticas para utilizadores e dispositivos.
Pré-requisitos
Antes de começar, preencha estes pré-requisitos para permitir a gestão de dispositivos iOS/iPadOS no Intune. Para obter informações mais detalhadas sobre como configurar, embarcar ou mudar-se para Intune, consulte o guia de implementação da configuração DoTune.
- Adicionar utilizadores e grupos
- Atribuir licenças a utilizadores
- Definir autoridade de gestão de dispositivos móveis
- Ter o Administrador Global ou administrador intune Azure Ative Directory permissões
- Configurar o certificado de push (APNs) do Apple MDM
Plano para a sua implantação
O guia de planeamento Microsoft Intune fornece orientação e conselhos para ajudá-lo a determinar objetivos, cenários de casos de uso e requisitos. Também descreve como criar planos para rollout, comunicação, suporte, teste e validação.
Aproveite a estrutura de configuração de segurança iOS/iPadOS
A estrutura de configuração de segurança iOS/iPadOS é uma série de recomendações para definições de política de conformidade e configuração do dispositivo. Estas recomendações ajudam-no a adaptar a proteção de segurança do dispositivo móvel da sua organização às suas necessidades específicas.
Microsoft Intune usa uma taxonomia para este quadro que é semelhante ao usado para configurações de segurança em Windows 10. Aplica-se tanto a dispositivos de propriedade pessoal como supervisionados, e inclui as definições recomendadas para segurança básica, melhorada e de alto nível. Cada nível de segurança baseia-se no anterior e oferece mais proteção do que a anterior.
Os níveis de segurança dos dispositivos de propriedade pessoal são:
Segurança básica (Nível 1) – Esta configuração é recomendada como a configuração mínima de segurança para dispositivos pessoais a partir dos quais os utilizadores acedem ao trabalho ou aos dados escolares. Esta configuração aplica políticas de palavra-passe, define características de bloqueio do dispositivo e desativa certas funções do dispositivo (tais como certificados não fided os casos).
Segurança reforçada (Nível 2) – Esta configuração é recomendada para dispositivos a partir dos quais os utilizadores acedem a informações confidenciais ou confidenciais. Esta configuração decreta controlos de partilha de dados. É aplicável à maioria dos utilizadores móveis que acedem ao trabalho ou aos dados escolares num dispositivo.
Alta segurança (Nível 3) – Esta configuração é recomendada para dispositivos utilizados por utilizadores ou grupos específicos de risco único. Por exemplo, os utilizadores que lidam com dados altamente sensíveis onde a divulgação não autorizada causa uma perda considerável de material para a organização. Esta configuração promulga políticas de palavras-passe mais fortes do que os níveis anteriores, desativa mais funções do dispositivo e impõe restrições adicionais de transferência de dados.
Os níveis de segurança dos dispositivos supervisionados são:
Segurança básica (Nível 1) – Esta configuração é recomendada como a configuração de segurança mínima para dispositivos supervisionados onde os utilizadores acedem ao trabalho ou aos dados escolares. Este nível é alcançado através da aplicação de políticas de palavra-passe, definindo as características do bloqueio do dispositivo e desativando determinadas funções do dispositivo (tais como certificados não fidedqui oco).
Segurança reforçada (Nível 2) – Esta configuração é recomendada para dispositivos a partir dos quais os utilizadores acedem a informações confidenciais ou confidenciais. Esta configuração decreta controlos de partilha de dados e bloqueia o acesso a dispositivos USB. É aplicável à maioria dos utilizadores móveis que acedem ao trabalho ou aos dados escolares num dispositivo.
Alta segurança (Nível 3) – Esta configuração é recomendada para dispositivos utilizados por utilizadores ou grupos específicos de risco único. Por exemplo, os utilizadores que lidam com dados altamente sensíveis onde a divulgação não autorizada causa uma perda considerável de material para a organização. Esta configuração promulga políticas de palavra-passe mais fortes, desativa mais funções do dispositivo, impõe restrições adicionais de transferência de dados e exige que as aplicações sejam instaladas através do programa de compra de volume da Apple (VPP).
Para obter mais informações sobre o quadro de segurança, incluindo recomendações específicas e as aplicações mínimas que devem ser protegidas, consulte os artigos listados no quadro seguinte.
| Tarefa | Detalhes |
|---|---|
| Conheça a metodologia de implementação do quadro iOS/iPadOS | Saiba mais sobre a metodologia recomendada pela Microsoft para a implementação da estrutura de configuração de segurança. |
| Não permite contas pessoais para aplicações da Microsoft em dispositivos iOS/iPadOS | Configurar uma política de aplicações que impede os utilizadores de se inscreverem numa conta pessoal num dispositivo de trabalho ou escola. |
| Configurar as definições de segurança de conformidade do dispositivo | Aplique estas definições de segurança para configurar um nível de segurança básico ou elevado em dispositivos de propriedade pessoal e corporativo. |
| Configurar as definições de segurança do dispositivo para dispositivos pessoais | Aplique estas definições para configurar um nível de segurança básico, melhorado ou elevado em dispositivos de propriedade pessoal. |
| Configurar as definições de segurança do dispositivo para dispositivos supervisionados | Aplique estas definições para configurar um nível de segurança básico, melhorado ou elevado em dispositivos supervisionados. |
Criar regras de conformidade
Utilize políticas de conformidade para definir as regras e condições que os utilizadores e dispositivos devem reunir para aceder aos seus recursos protegidos. Se utilizar o Acesso Condicional, as suas políticas de Acesso Condicional podem utilizar os resultados de conformidade do seu dispositivo para bloquear o acesso a recursos de dispositivos não conformes. Para obter uma explicação detalhada sobre as políticas de conformidade e como começar, consulte use as políticas de conformidade para definir regras para dispositivos que gere com o Intune.
| Tarefa | Detalhes |
|---|---|
| Criar uma política de conformidade | Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade aos grupos de utilizador e dispositivo. |
| Adicionar ações de não conformidade | Escolha o que acontece quando os dispositivos já não satisfazem as condições da sua política de conformidade. Pode adicionar ações de incumprimento quando configurar uma política de conformidade do dispositivo ou, posteriormente, editando a política. |
| Criar uma política de acesso condicional baseada em dispositivos ou baseada em aplicativos | Especifique a aplicação ou serviços que pretende proteger e definir as condições de acesso. |
| Bloquear acesso a apps que não usam autenticação moderna | Criar uma política de acesso condicional baseada em aplicações para bloquear aplicações que utilizem métodos de autenticação diferentes do OAuth2; por exemplo, as aplicações que utilizam a autenticação básica e baseada em formulários. Antes de bloquear o acesso, no entanto, faça o súmis no Azure AD e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a usar a autenticação básica para aceder a coisas essenciais que esqueceu ou desconhece. Por exemplo, coisas como quiosques de calendário de sala de reuniões usam a autenticação básica. |
Configurar a segurança do ponto final
Utilize as funcionalidades de segurança do ponto final Intune para configurar a segurança do dispositivo e para gerir tarefas de segurança para dispositivos em risco.
| Tarefa | Detalhes |
|---|---|
| Gerir dispositivos com funcionalidades de segurança de ponto final | Utilize as definições de segurança do ponto final no Intune para gerir eficazmente a segurança do dispositivo e remediar problemas para os dispositivos. |
| Ativar o conector de defesa de ameaças móveis (MTD) para dispositivos não enrolados | Ative a ligação MTD no Intune para que as aplicações parceiras da MTD possam trabalhar com o Intune e as suas políticas. Se não estiver a utilizar o Microsoft Defender para o Endpoint, considere ativar o conector para que possa utilizar outra solução de defesa de ameaças móveis. |
| Criar política de proteção de aplicações MTD | Crie uma política de proteção de aplicações Intune que avalie o risco e limite o acesso corporativo de um dispositivo com base no nível de ameaça. |
| Adicionar aplicações MTD a dispositivos não inscritos | Disponibilize aplicações MTD para pessoas da sua organização e configuure Microsoft Authenticator para iOS/iPadOS. |
| Utilizar acesso condicional para limitar o acesso ao Túnel da Microsoft | Utilize políticas de acesso condicional para o acesso do dispositivo ao seu gateway VPN do Túnel da Microsoft. |
Configurar definições de dispositivos
Utilize Microsoft Intune para ativar ou desativar configurações e funcionalidades em dispositivos iOS/iPadOS. Para configurar e impor estas definições, crie um perfil de configuração do dispositivo e, em seguida, atribua o perfil a grupos da sua organização. Os dispositivos recebem o perfil assim que se inscrevem.
| Tarefa | Detalhes |
|---|---|
| Criar um perfil de dispositivo no Microsoft Intune | Conheça os diferentes tipos de perfis de dispositivo que pode criar para a sua organização. |
| Configurar funcionalidades do dispositivo | Configure funcionalidades e funcionalidades comuns do iOS/iPadOS para um contexto de trabalho ou escola. Para uma descrição das definições nesta área, consulte a referência das característicasdo dispositivo . |
| Configurar Wi-Fi perfil | Este perfil permite que as pessoas encontrem e se conectem à rede de Wi-Fi da sua organização. Para obter uma descrição das definições nesta área, consulte a referência de definições Wi-Fi. |
| Configure o perfil VPN | Crie uma opção VPN segura, como o Microsoft Tunnel, para pessoas que se ligam à rede da sua organização. Também pode criar uma política VPN por aplicação para exigir que os utilizadores entrem em determinadas aplicações através de uma ligação VPN. Para obter uma descrição das definições nesta área, consulte a referência de definições VPN. |
| Configure o perfil de e-mail | Configure as definições de e-mail para que as pessoas possam ligar-se a um servidor de correio e aceder ao seu trabalho ou e-mail escolar. Para obter uma descrição das definições nesta área, consulte a referência de definições de e-mail. |
| Restringir as funcionalidades do dispositivo | Proteja os utilizadores de acessos e distrações não autorizados limitando as funcionalidades do dispositivo que podem usar no trabalho ou na escola. Para uma descrição das definições nesta área, consulte a referência de restriçõesdo dispositivo . |
| Configure perfil personalizado | Adicione e atribua as definições e funcionalidades do dispositivo que não são incorporadas no Intune. |
| Personalizar a experiência de marca e inscrição | Personalize a experiência de Portal da Empresa do Intune e Microsoft Intune com as palavras da sua própria organização, branding, preferências de ecrã e informações de contacto. |
| Configure a política de atualização de software | Agende atualizações e instalações automáticas de SO para dispositivos iOS/iPadOS supervisionados. |
Configurar métodos de autenticação segura
Crie métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acedam aos seus recursos internos. A Intune suporta a autenticação de vários fatores, certificados e credenciais derivadas. Os certificados também podem ser usados para a assinatura e encriptação de e-mail usando S/MIME.
| Tarefa | Detalhes |
|---|---|
| Requerem autenticação de vários fatores (MFA) | Exigir que as pessoas forneçam duas formas de credenciais no momento da inscrição. |
| Criar um perfil de certificado de confiança | Crie e implemente um perfil de certificado de confiança antes de criar um perfil de certificado importado SCEP, PKCS ou PKCS. O perfil de certificado fidedigno implementa o certificado de raiz fidedigno para dispositivos e utilizadores que utilizam certificados importados SCEP, PKCS e PKCS. |
| Utilizar certificados SCEP com Intune | Saiba o que é necessário para usar certificados SCEP com Intune, e configuure a infraestrutura necessária. Depois de o fazer, pode criar um perfil de certificado SCEP ou criar uma autoridade de certificação de terceiros com a SCEP. |
| Utilizar certificados PKCS com Intune | Configure a infraestrutura necessária (como conectores de certificado no local), exporte um certificado PKCS e adicione o certificado a um perfil de configuração do dispositivo Intune. |
| Utilizar certificados PKCS importados com Intune | Configurar certificados PKCS importados, que lhe permitem configurar e utilizar o S/MIME para encriptar o e-mail. |
| Criar um emitente de credenciais derivado | Fornecimento de dispositivos iOS/iPadOS com certificados derivados de cartões inteligentes do utilizador. |
Implementar aplicações
Ao configurar apps e políticas de aplicações, pense nos requisitos da sua organização, como as plataformas que irá suportar, as tarefas que as pessoas precisam de fazer, o tipo de apps que precisam para completar essas tarefas e, finalmente, os grupos que precisam dessas aplicações. Pode utilizar o Intune para gerir todo o dispositivo (incluindo aplicações) ou utilizar o Intune apenas para gerir as aplicações.
| Tarefa | Detalhes |
|---|---|
| Adicionar aplicativos de loja | Adicione aplicações iOS/iPadOS da App Store ao Intune e atribua a grupos. |
| Adicionar aplicativos web | Adicione aplicativos web ao Intune e atribua a grupos. |
| Adicionar aplicativos incorporados | Adicione aplicativos incorporados ao Intune e atribua a grupos. |
| Adicionar aplicativos de linha de negócio | Adicione aplicações da linha de negócios iOS/iPadOS (LOB) ao Intune e atribua a grupos. |
| Atribuir aplicativos a grupos | Atribuir aplicações a utilizadores e dispositivos. |
| Incluir e excluir atribuições de aplicações | Controlar o acesso e a disponibilidade a uma aplicação, incluindo e excluindo grupos selecionados da atribuição. |
| Gerir aplicações iOS/iPadOS adquiridas através do Apple Business Manager | Sincronizar, gerir e atribuir aplicações adquiridas através do Apple Business Manager. |
| Gerir iOS/iPadOS eBooks comprados através do Apple Business Manager | Sincronizar, gerir e atribuir livros adquiridos através do Apple Business Manager. |
| Criar uma política de proteção de aplicações iOS/iPadOS | Mantenha os dados da sua organização contidos em apps geridas como Outlook e Word. Consulte as definições da política de proteção de aplicações iOS/iPadOS para obter detalhes sobre cada configuração. |
| Criar um perfil de provisionamento de aplicativos | Impedir que os certificados de aplicações expirem atribuindo proativamente novos perfis de provisionamento a dispositivos que tenham apps perto de expirar. |
| Criar uma política de configuração de aplicação | Aplique configurações de configuração personalizadas para aplicações iOS/iPadOS em dispositivos inscritos. Também pode aplicar este tipo de políticas a aplicações geridas sem inscrição de dispositivos. |
| Configure Microsoft Edge (Configurar o Microsoft Edge) | Utilize políticas de proteção e configuração de aplicações Intune com Edge para iOS/iPadOS para garantir que os websites corporativos são acedidos com salvaguardas no local. |
| Configurar aplicativos de Microsoft Office | Utilize políticas de proteção e configuração de aplicações Intune com aplicações Office para garantir que os ficheiros corporativos são acedidos com salvaguardas no local. |
| Configure Microsoft Teams (Configurar o Microsoft Teams) | Utilize políticas de proteção e configuração de aplicações Intune com Teams para garantir que as experiências colaborativas da equipa sejam acedidas com salvaguardas no local. |
| Configurar o microsoft Outlook | Utilize políticas de proteção e configuração de aplicações Intune com Outlook para garantir que os e-mails corporativos e calendários são acedidos com salvaguardas no local. |
Inscrever dispositivos
Os dispositivos de inscrição permitem-lhes receber as políticas que cria, por isso, tenha os grupos de utilizadores AZure AD prontos.
Para obter informações sobre cada método de inscrição e como escolher um que seja adequado para a sua organização, consulte o guia de inscrição do dispositivo iOS/iPadOS para Microsoft Intune.
| Tarefa | Detalhes |
|---|---|
| Configurar a Inscrição de Dispositivo Automatizado apple (ADE) em Intune | Crie uma experiência de inscrição fora da caixa para dispositivos corporativos adquiridos através do Apple School Manager ou do Apple Business Manager. Para uma análise detalhada deste processo, consulte Tutorial: Use as funcionalidades de Inscrição de Dispositivos Corporativos da Apple no Apple Business Manager (ABM) para inscrever dispositivos iOS/iPadOS |
| Configurar o Apple School Manager em Intune | Configurar o Intune para inscrever os dispositivos que adquiriu através do programa Apple School Manager. |
| Configurar inscrição de dispositivo com o Configurador da Apple | Criar um perfil Apple Configurator para inscrever dispositivos de propriedade corporativa (sem afinidade do utilizador) através de inscrição direta; ou para inscrever dispositivos limpos ou novos (com afinidade do utilizador) através do Assistente de Configuração. Terá de exportar o perfil do Configurador apple da Intune, que requer uma ligação USB a um computador Mac que executa o Apple Configurator. |
| Identificar os dispositivos como pertencentes à empresa | Atribuir o estatuto de propriedade corporativa a dispositivos para permitir mais capacidades de gestão e identificação no Intune. O estatuto de propriedade corporativa não pode ser atribuído a dispositivos matriculados através do Apple Business Manager. |
| Configurar a Inscrição do Utilizador apple (na pré-visualização) | Crie um perfil de inscrição de utilizadores para implementar a experiência de inscrição de utilizadores da Apple em dispositivos usando um Apple ID gerido. O suporte para esta funcionalidade encontra-se atualmente em pré-visualização. |
| Configurar dispositivos de iPad partilhados | Configure os dispositivos para que possam ser utilizados por mais de uma pessoa (o tipo de configuração que se vê numa biblioteca ou ambiente educativo). |
| Dispositivos de backup e restauro | Recue e restaure um dispositivo para prepará-lo para a inscrição ou migração no Intune, como durante a configuração de Inscrição de Dispositivos Automatizados. |
| Alterar a propriedade dos dispositivos | Depois de um dispositivo ter sido matriculado, pode alterar a sua etiqueta de propriedade no Intune para propriedade corporativa ou pessoal. Este ajuste altera a forma como pode gerir o dispositivo. |
| Resolver problemas de inscrição | Resolução de problemas e encontrar resoluções para problemas que ocorrem durante a inscrição. |
Executar ações remotas
Após a configuração dos dispositivos, pode utilizar ações remotas no Intune para gerir e resolver problemas à distância. A disponibilidade varia por plataforma do dispositivo. Se uma ação estiver ausente ou desativada no portal, então não é suportada no dispositivo.
| Tarefa | Detalhes |
|---|---|
| Tome medidas remotas em dispositivos | Aprenda a perfurar e a gerir remotamente e a resolver dispositivos individuais em Intune. Este artigo lista todas as ações remotas disponíveis no Intune e liga-se a esses procedimentos. |
| Utilizar o TeamViewer para administrar remotamente dispositivos do Intune | Configure o TeamViewer dentro do Intune e aprenda a administrar remotamente um dispositivo. |
| Corrigir vulnerabilidades identificadas pelo Microsoft Defender para Endpoint | Integre Intune com o Microsoft Defender para Endpoint para aproveitar o Defender para o Gestão de Vulnerabilidades e Ameaças do Endpoint e utilizar o Intune para remediar a fraqueza do ponto final identificada pela capacidade de gestão de vulnerabilidade do Defender. |
Passos seguintes
Confira estes tutoriais de inscrição para aprender a fazer algumas das principais tarefas em Intune. Os tutoriais são conteúdos de 100 a 200 níveis para pessoas novas no Intune ou um cenário específico.
- Caminhe pela Intune em Microsoft Endpoint Manager
- Utilize funcionalidades de inscrição de dispositivos corporativos da Apple no Apple Business Manager (ABM) para inscrever dispositivos iOS/iPadOS no Intune
- Proteger o e-mail do Exchange Online em dispositivos geridos
- Proteja Exchange Online e-mail em dispositivos não geridos
- Configure Slack para usar Intune para EMM e configuração de aplicativos
Para a versão Android deste guia, consulte o guia de implementação: Gerir dispositivos Android em Microsoft Intune.