Definir a autoridade de gestão de dispositivos móveis

  • Artigo

A definição da autoridade de gestão de dispositivos móveis (MDM) determina como gere os seus dispositivos. Como administrador de TI, tem de definir uma autoridade de MDM antes de os utilizadores poderem inscrever dispositivos para gestão.

As configurações possíveis são:

  • Intune Standalone - Gestão apenas em nuvem, que configura usando o portal Azure. Inclui o conjunto completo das funcionalidades que o Intune oferece. Defina a autoridade de MDM na consola do Intune.

  • Cogestão Intune - Integração da solução de nuvem Intune com Gestor de Configuração para dispositivos Windows 10. Configura o Intune com a consola do Configuration Manager. Configure a inscrição automática de dispositivos para o Intune.

  • Mobilidade Básica e Segurança para Microsoft 365 - Se tiver esta configuração ativada, verá a autoridade do MDM definida como "Office 365". Se quiser começar a usar o Intune, terá de comprar licenças Intune.

  • Mobilidade Básica e Segurança para Microsoft 365 convivência - Pode adicionar Intune ao seu inquilino se já estiver a utilizar a Mobilidade Básica e Segurança para Microsoft 365 e definir a autoridade de gestão para a Intune ou a Mobilidade Básica e Segurança para Microsoft 365 para cada utilizador ditar que serviço será usado para gerir os seus dispositivos matriculados pelo MDM. A autoridade de gestão de cada utilizador é definida com base na licença atribuída ao utilizador: Se o utilizador tiver apenas uma licença para Microsoft 365 Básico ou Standard, os seus dispositivos serão geridos pela Mobilidade Básica e Segurança para Microsoft 365. Se o utilizador tiver uma licença que intitune o Intune, os seus dispositivos serão geridos pela Intune. Se adicionar uma licença que inscreve o Intune a um utilizador anteriormente gerido pela Basic Mobility and Security para Microsoft 365, os seus dispositivos serão transferidos para a gestão da Intune. Certifique-se de que tem configurações Intune atribuídas aos utilizadores para substituir a Mobilidade Básica e Segurança por Microsoft 365 antes de mudar os utilizadores para Intune, caso contrário os seus dispositivos perderão Mobilidade e Segurança Básicas para Microsoft 365 configuração e não receberão qualquer substituição do Intune.

Definir a autoridade de MDM como o Intune

Para os inquilinos que usam a dispensa de serviço de 1911 e mais tarde, a autoridade MDM é automaticamente definida para Intune.

Para os inquilinos de serviço pré-1911, se ainda não definiram a autoridade do MDM, sigam os passos abaixo.

  1. No centro de administração Microsoft Endpoint Manager,selecione o banner laranja para abrir a definição da Autoridade de Gestão de Dispositivos Móveis. A faixa cor de laranja só é apresentada se ainda não tiver configurado a autoridade de MDM.
  2. Em Autoridade de Gestão de Dispositivos Móveis, selecione a sua autoridade de MDM a partir das seguintes opções:
  • Autoridade de MDM do Intune
  • Nenhuma

Captura de ecrã do ecrã Definir a autoridade de gestão de dispositivos móveis do Intune

Uma mensagem indica que definiu com êxito a autoridade de MDM como o Intune.

Fluxo de trabalho da IU de Administração do Intune

Quando a gestão de dispositivos Android ou Apple está ativada, o Intune envia informações sobre o dispositivo e o utilizador para se integrar com estes serviços de terceiros e gerir os respetivos dispositivos.

Os cenários que acrescentam uma janela de consentimento para partilhar dados são incluídos quando:

  • Você ativa perfis de trabalho de propriedade pessoal ou corporativa do Android Enterprise.
  • Ativar e carregar certificados Push de MDM da Apple.
  • Ativar qualquer um dos serviços da Apple, tal como o Programa de Registo de Aparelho, o School Manager e o Programa de Compras em Volume.

Em cada caso, o consentimento está estritamente relacionado com a execução de um serviço de gestão de dispositivos móveis. Por exemplo, confirmar que um administrador de TI autorizou a inscrição de dispositivos Google ou Apple. A documentação que aborda as informações que serão partilhadas quando o novo fluxo de trabalho for disponibilizado está disponível nas seguintes localizações:

Considerações-chave

Depois de mudar para a nova autoridade de MDM, provavelmente haverá um tempo de transição (até oito horas) até que o dispositivo faça o registo e sincronize com o serviço. É-lhe exigido que configure as definições na nova autoridade do MDM para garantir que os dispositivos matriculados continuarão a ser geridos e protegidos após a mudança.

  • Depois da alteração, os dispositivos têm de se ligar ao serviço para que as definições da nova autoridade de MDM (Intune autónomo) substituam as definições existentes no dispositivo.
  • Depois de alterar a autoridade MDM, algumas das definições básicas (como perfis) da anterior autoridade MDM permanecerão no dispositivo até sete dias ou até que o dispositivo se conecte ao serviço pela primeira vez. Recomenda-se que configufique aplicações e configurações (como políticas, perfis e aplicações) na nova autoridade DOM o mais rapidamente possível e implemente a definição para os grupos de utilizadores que contenham utilizadores que tenham dispositivos inscritos existentes. Assim que um dispositivo se ligar ao serviço após a alteração da autoridade de MDM, irá receber as novas definições da nova autoridade de MDM e impedir lacunas na gestão e proteção.
  • Os dispositivos que não têm utilizadores associados (normalmente quando tem o Programa de Inscrição de Dispositivos iOS/iPadOS ou cenários de inscrição a granel) não são migrados para a nova autoridade do MDM. Para mover estes dispositivos para a nova autoridade de MDM, terá de contactar o suporte para obter assistência.

Coexistência

Permitir a coexistência permite-lhe utilizar o Intune para um novo conjunto de utilizadores, ao mesmo tempo que continua a utilizar a Mobilidade Básica e a Segurança para os utilizadores existentes. Controla quais os dispositivos geridos pelo Intune através do utilizador. Se um utilizador receber uma licença Intune ou estiver a utilizar a cogestão intune com o Gestor de Configuração, então todos os seus dispositivos matriculados serão geridos pela Intune. Caso contrário, o utilizador é gerido pela Mobilidade Básica e Segurança.

Existem três passos importantes para permitir a coexistência:

  1. Preparação
  2. Adicionar autoridade intune MDM
  3. Migração do utilizador e do dispositivo (opcional).

Preparação

Antes de permitir a coexistência com mobilidade e segurança básicas, considere os seguintes pontos:

  • Certifique-se de que tem licenças Intune suficientes para os utilizadores que pretende gerir através do Intune.
  • Reveja quais os utilizadores que recebem licenças Intune. Depois de ativar a coexistência, qualquer utilizador que já tenha atribuído uma licença Intune terá os seus dispositivos comutadores para Intune. Para evitar comutadores inesperados do dispositivo, recomendamos não atribuir nenhuma licença Intune até que tenha ativado a coexistência.
  • Crie e implemente políticas Intune para substituir as políticas de segurança do dispositivo que foram originalmente implementadas através do portal Office 365 Security & Compliance. Esta substituição deve ser feita para qualquer utilizadores que espere mover-se de Mobilidade Básica e Segurança para Intune. Se não houver políticas Intune atribuídas a esses utilizadores, permitir a coexistência pode fazê-los perder as definições básicas de Mobilidade e Segurança. Estas definições serão perdidas sem substituição, como perfis de e-mail geridos. Mesmo ao substituir as políticas de segurança do dispositivo pelas políticas Intune, os utilizadores podem ser solicitados a reautenticar os seus perfis de e-mail após a deslocação do dispositivo para a gestão do Intune.

Adicionar autoridade intune MDM

Para permitir a coexistência, deve adicionar Intune como autoridade do MDM para o seu ambiente:

  1. Inscreva-se no centro de administração Microsoft Endpoint Manager com os direitos de administrador da Azure AD Global ou intune.
  2. Navegue para dispositivos.
  3. A lâmina add MDM Authority exibe.
  4. Para mudar a autoridade do MDM de Office 365 para Intune e permitir a coexistência, selecione Intune MDM Authority > Add. Screenshot do ecrã da Autoridade de Add MDM

Migrar utilizadores e dispositivos (opcional)

Após a ativação da autoridade Intune MDM, a coexistência é ativada e pode começar a gerir os utilizadores através do Intune. Opcionalmente, se pretender mover dispositivos previamente geridos pela Basic Mobility and Security para serem geridos pela Intune, atribua a esses utilizadores uma licença Intune. Os dispositivos dos utilizadores passarão para Intune no seu próximo check-in MDM. Definições aplicado a estes dispositivos através da Mobilidade Básica e Segurança deixará de ser aplicada e será removida dos dispositivos.

Limpeza de dispositivos móveis após a expiração do certificado MDM

O certificado MDM é renovado automaticamente quando os dispositivos móveis estão a comunicar com o serviço do Intune. Se os dispositivos móveis forem limpos ou não comunicarem com o serviço Intune durante algum tempo, o certificado MDM não será renovado. O dispositivo é removido do portal do Azure 180 dias depois da expiração do certificado MDM.

Remover a autoridade de MDM

A autoridade de MDM não pode ser novamente alterada para Desconhecida. A autoridade do MDM é utilizada pelo serviço para determinar a que portal os dispositivos inscritos reportam (Microsoft Intune ou Mobilidade Básica e Segurança para Microsoft 365).

O que esperar depois de alterar a autoridade de MDM

  • Quando o serviço Intune deteta que a autoridade mdm do arrendatário mudou, envia uma mensagem de notificação a todos os dispositivos inscritos para fazer o check-in e sincronizar com o serviço (esta notificação está fora do check-in regularmente programado). Assim, depois de a autoridade do MDM para o arrendatário ter sido alterada de Intune autónoma, todos os dispositivos que são alimentados e online ligar-se-ão ao serviço, receberão a nova autoridade do MDM e serão geridos pela nova autoridade do MDM. Não há interrupção na gestão e proteção destes dispositivos.
  • Mesmo nos dispositivos ligados e online durante (ou pouco depois) a alteração da autoridade de MDM, irá ocorrer um atraso de até oito horas (consoante a hora do próximo registo regular agendado) até que os dispositivos sejam registados com o serviço da nova autoridade de MDM.

Importante

Entre o momento em que muda a autoridade do MDM e quando o certificado APNs renovado é enviado para a nova autoridade, as novas matrículas de dispositivos e o check-in do dispositivo para dispositivos iOS/iPadOS falham. Como tal, é importante que reveja e carregue o certificado do APNs para a nova autoridade o mais rapidamente possível após a alteração da autoridade de MDM.

  • Os utilizadores podem mudar rapidamente para a nova autoridade de MDM ao iniciar manualmente um registo do dispositivo no serviço. Os utilizadores podem facilmente fazer esta alteração utilizando a aplicação Portal da Empresa e iniciando uma verificação de conformidade do dispositivo.
  • Para validar que as coisas estão a funcionar corretamente depois de os dispositivos terem feito o check-in e sincronizados com o serviço após a mudança na autoridade do MDM, procure os dispositivos na nova autoridade do MDM.
  • Há um período provisório em que um dispositivo está offline durante a mudança na autoridade mdm e quando o dispositivo faz check-in no serviço. Para ajudar a garantir que o dispositivo permanece protegido e funcional durante este período provisório, os seguintes perfis permanecem no dispositivo até sete dias (ou até que o serviço seja ligado à nova autoridade de MDM e receba as novas definições que substituirão as existentes):
    • Perfil e-mail
    • Perfil VPN
    • Perfil certificado
    • Perfil Wi-Fi
    • Perfis de configuração
  • Depois de mudar para a nova autoridade de MDM, poderá demorar uma semana até que os dados de conformidade sejam corretamente apresentados na consola de administração do Microsoft Intune. No entanto, os estados de conformidade no Azure Active Directory e no dispositivo serão exatos para que o dispositivo permaneça protegido.
  • Certifique-se de que as novas definições têm o mesmo nome que as definições antigas para garantir que as mesmas são substituídas. Caso contrário, os dispositivos poderão ficar com políticas e perfis redundantes.

Dica

Como melhor prática, deve criar todas as implementações, configurações e definições de gestão pouco depois de concluir a alteração da autoridade de MDM. Isto ajuda a garantir que os dispositivos estão protegidos e são geridos ativamente durante o período provisório.

  • Depois de alterar a autoridade de MDM, execute os seguintes passos para verificar se os dispositivos foram inscritos com êxito na nova autoridade:
    • Inscrever um novo dispositivo
    • Certifique-se de que o dispositivo recém-matriculado aparece na nova autoridade do MDM.
    • Execute uma ação para o dispositivo, como o Bloqueio Remoto, a partir da consola de administração. Se tiver êxito, significa que o dispositivo está a ser gerido pela nova autoridade de MDM.
  • Se tiver problemas com dispositivos específicos, pode desinscrevê-los e reinscrevê-los para os ligar à nova autoridade e gerido o mais rapidamente possível.

Passos seguintes

Com a autoridade de MDM definida, pode começar a inscrever dispositivos.