Partilhar via

Definir a autoridade de gerenciamento de dispositivo móvel

  • Artigo

A configuração de autoridade de gerenciamento de dispositivo móvel (MDM) determina como você gerenciar seus dispositivos. Como administrador de TI, você deverá definir uma autoridade MDM antes que os usuários possam registrar dispositivos para gerenciamento. Também deve ser-lhe atribuída uma licença do Intune para definir a Autoridade de MDM.

As configurações possíveis são:

  • Intune Autônomo – gerenciamento apenas na nuvem, que você pode configurar usando o portal do Azure. Inclui o conjunto completo de recursos que o Intune oferece. Defina a autoridade de MDM no centro de administração do Microsoft Intune.

  • Cogerenciamento do Intune – integração da solução de nuvem do Intune com o Configuration Manager para dispositivos Windows 10. Você configura o Intune usando o console do Configuration Manager. Configure o registro automático de dispositivos ao Intune.

  • Mobilidade e Segurança Básicas para o Microsoft 365 – após esta configuração ser ativada, a autoridade de MDM está definida como "Office 365". Se quiser começar a utilizar o Intune, terá de comprar licenças do Intune.

  • Mobilidade e Segurança Básicas para a coexistência do Microsoft 365 – pode adicionar o Intune ao seu inquilino se já estiver a utilizar o Basic Mobility and Security para o Microsoft 365. Pode definir a autoridade de gestão para o Intune ou o Basic Mobility and Security para o Microsoft 365 para cada utilizador para ditar que serviço é utilizado para gerir os respetivos dispositivos inscritos na MDM. A autoridade de gestão de cada utilizador é definida com base na licença atribuída ao utilizador:

    • A Mobilidade e Segurança Básicas do Microsoft 365 gere os dispositivos dos utilizadores que têm apenas uma licença do Microsoft 365 Basic ou Standard.
    • O Intune gere os dispositivos dos utilizadores que têm uma licença que os autoriza a utilizá-la.
    • Se adicionar uma licença que dá direito ao Intune a um utilizador anteriormente gerido pelo Basic Mobility and Security para o Microsoft 365, os respetivos dispositivos serão mudados para a gestão do Intune. Para evitar perder a configuração básica de Mobilidade e Segurança do Microsoft 365 nos dispositivos dos utilizadores, certifique-se de que atribui configurações do Intune aos utilizadores antes de os mudar para o Intune.

Definir a autoridade de MDM para o Intune

Para locatários que usam a versão de serviço 1911 e posterior, a autoridade de MDM é definida automaticamente como o Intune.

Para inquilinos que utilizem o lançamento do serviço 1911 e posterior, se tiver ativado a Mobilidade e Segurança Básicas, siga os passos nesta secção.

Para inquilinos de versão de serviço anteriores a 1911, se ainda não tiver definido a autoridade de MDM, siga os passos nesta secção.

  1. No centro de administração do Microsoft Intune, selecione a faixa laranja para abrir a definição Autoridade de Gestão de Dispositivos Móveis . A faixa laranja somente será exibida se você ainda não tiver definido a autoridade de MDM.

  2. Em Autoridade de Gerenciamento de Dispositivo Móvel, escolha sua autoridade MDM entre as seguintes opções:

    • Autoridade MDM do Intune
    • Nenhum

    Captura de ecrã a mostrar o ecrã da autoridade de gestão de dispositivos móveis definida pelo Intune.

Uma mensagem indica que você configurou com êxito o Intune como autoridade MDM.

Fluxo de trabalho da Interface do Usuário da administração do Intune

Quando o gerenciamento de dispositivo Android ou Apple está habilitado, o Intune envia informações do dispositivo e do usuário a serem integradas com esses serviços de terceiros para que eles gerenciem seus respectivos dispositivos.

Os cenários que adicionam um consentimento para compartilhar dados estão inclusos quando:

  • Você habilita perfis de trabalho de propriedade pessoal ou corporativa do Android Enterprise.
  • Você habilita e carrega os certificados por Push de MDM da Apple.
  • Você habilita qualquer um dos serviços da Apple, como o Programa de Registro de Dispositivos, o School Manager ou o Volume Purchase Program.

Em cada caso, o consentimento está estritamente relacionado à execução de um serviço de gerenciamento de dispositivos móveis. Por exemplo, confirmar que um Administrador de TI autorizou os dispositivos do Google ou da Apple a se inscreverem. A documentação que trata das informações que serão compartilhadas quando os novos fluxos de trabalho forem ativados está disponível nos seguintes locais:

Principais Considerações

Depois de mudar para a nova autoridade de MDM, existe algum tempo de transição (até oito horas) antes de o dispositivo dar entrada e sincronizar com o serviço. Tem de configurar as definições na nova autoridade de MDM para garantir que os dispositivos inscritos continuam a ser geridos e protegidos após a alteração.

  • Os dispositivos devem se conectar ao serviço após a alteração para que as configurações da nova autoridade de MDM (Intune autônomo) substituam as configurações existentes no dispositivo.
  • Depois que você alterar a autoridade de MDM, algumas das configurações básicas (como perfis) da autoridade de MDM anterior permanecerão no dispositivo por até sete dias ou até que o dispositivo se conecte ao serviço pela primeira vez. Deve configurar aplicações e definições (como políticas, perfis e aplicações) na nova autoridade de MDM o mais rapidamente possível e implementar a definição nos grupos de utilizadores que contêm utilizadores com dispositivos inscritos existentes. Assim que um dispositivo se conectar ao serviço após a alteração na autoridade de MDM, ele receberá as novas configurações da nova autoridade de MDM e evitará falhas na proteção e no gerenciamento.
  • Os dispositivos que não têm usuários associados (normalmente quando você tem o Programa de registro de dispositivos iOS/iPadOS ou cenários de registro em massa) não são migrados para a nova autoridade de MDM. Para esses dispositivos, você precisa chamar o suporte para obter assistência para movê-los para a nova autoridade de MDM.

Coexistência

Ao ativar a coexistência, pode utilizar o Intune para um novo conjunto de utilizadores e continuar a utilizar o Basic Mobility and Security para os utilizadores existentes. Pode controlar que dispositivos são geridos pelo Intune através do utilizador. O Intune gere todos os dispositivos inscritos por um utilizador, se o utilizador tiver uma licença do Intune ou utilizar a cogestão do Intune com o Configuration Manager. Caso contrário, o usuário será gerenciado pela Mobilidade e Segurança Básicas.

Há três etapas principais para habilitar a coexistência:

  1. Preparação
  2. Adicionar autoridade de MDM do Intune
  3. Migração de usuário e dispositivo (opcional).

Preparação

Antes de habilitar a coexistência com Mobilidade e Segurança Básicas, considere os seguintes pontos:

  • Verifique se você tem licenças do Intune suficientes para os usuários que pretende gerenciar por meio do Intune.
  • Revise quais usuários receberam licenças do Intune. Depois que você habilitar a coexistência, qualquer usuário que já tenha uma licença do Intune terá seus dispositivos alternados para o Intune. Para evitar alterações inesperadas de dispositivo, recomendamos não atribuir nenhuma licença do Intune até habilitar a coexistência.
  • Crie e implante políticas do Intune para substituir as políticas de segurança de dispositivo que foram implantadas originalmente por meio do portal de Segurança e Conformidade do Office 365. Essa substituição deve ser feita para todos os usuários que você pretende mover da Mobilidade e Segurança Básicas para o Intune. Se não houver nenhuma política do Intune atribuída a esses usuários, habilitar a coexistência poderá fazer com que eles percam as configurações de Mobilidade e Segurança Básicas. Estas definições são perdidas sem substituição, como perfis de e-mail geridos. Mesmo ao substituir as políticas de segurança do dispositivo por políticas do Intune, os usuários podem ser solicitados a reautenticar seus perfis de email após o dispositivo ser movido para o gerenciamento do Intune.
  • Não é possível desprovisionar a Mobilidade e a Segurança Básicas após a configuração. No entanto, há etapas que podem ser tomadas para desativar as políticas. Para obter mais informações, consulte Desativar Mobilidade e Segurança Básicas.

Adicionar autoridade de MDM do Intune

Para habilitar a coexistência, você deve adicionar o Intune como a autoridade de MDM do seu ambiente:

  1. Inicie sessão no centro de administração do Microsoft Intune com os direitos de administrador do serviço Microsoft Entra Global ou Intune.

  2. Navegue até Dispositivos.

  3. É exibida a folha Adicionar Autoridade de MDM.

  4. Para alternar a autoridade de MDM do Office 365 para o Intune e habilitar a coexistência, selecione Autoridade de MDM do Intune>Adicionar.

    Captura de ecrã do ecrã Adicionar Autoridade de MDM.

Migrar usuários e dispositivos (opcional)

Depois de ativar a autoridade de MDM do Intune, a coexistência é ativada e pode começar a gerir utilizadores através do Intune. Opcionalmente, pode mover dispositivos que eram anteriormente geridos pelo Basic Mobility and Security para serem geridos pelo Intune ao atribuir a esses utilizadores uma licença do Intune. Os dispositivos dos usuários mudarão para o Intune no próximo check-in de MDM. As definições que foram aplicadas a estes dispositivos através do Basic Mobility and Security já não são aplicadas e são removidas dos dispositivos.

Limpeza do dispositivo móvel após a expiração do certificado MDM

O certificado MDM é renovado automaticamente quando os dispositivos móveis estão se comunicando com o serviço Intune. Se os dispositivos móveis são apagados ou se eles não conseguem se comunicar com o serviço do Intune por algum tempo, o certificado do MDM não é renovado. O dispositivo será removido do Portal do Microsoft Azure 180 dias após a expiração do certificado MDM.

Remover a autoridade de MDM

A autoridade de MDM não pode ser alterada novamente para Desconhecida. A autoridade de MDM é usada pelo serviço a fim de determinar para qual portal os dispositivos registrados devem se reportar (Microsoft Intune ou Mobilidade e Segurança Básicas para o Microsoft 365).

O que esperar após a alteração da autoridade de MDM

  • Quando o serviço do Intune deteta uma alteração na autoridade mdm de um inquilino, envia uma mensagem de notificação para todos os dispositivos inscritos. A mensagem de notificação pede aos dispositivos para darem entrada e sincronizarem com o serviço, fora da agenda normal. Como resultado, todos os dispositivos ligados e online ligam-se ao serviço e recebem a nova autoridade de MDM. A nova autoridade gere e protege os dispositivos sem qualquer interrupção. Por conseguinte, após a alteração da autoridade de MDM do inquilino do Intune autónomo, os dispositivos continuarão a funcionar normalmente sob a nova autoridade de MDM.

  • Os dispositivos ligados e online durante ou pouco depois da alteração da autoridade de MDM têm um atraso. O atraso pode durar até oito horas, consoante o tempo da próxima entrada regular agendada. Durante o atraso, os dispositivos não são registados no serviço sob a nova autoridade de MDM. Após o atraso, os dispositivos estão totalmente registados e operacionais sob a nova autoridade de MDM.

    Importante

    Entre o momento em que você altera a autoridade de MDM e em que o certificado APNs renovado é carregado para a nova autoridade, novos registros de dispositivo e check-in de dispositivo para dispositivos iOS/iPadOS falham. Portanto, é importante que você analise e carregue o certificado de APNs para a nova autoridade assim que possível após a alteração na autoridade de MDM.

  • Os usuários podem alterar rapidamente para a nova autoridade de MDM iniciando manualmente um check-in do dispositivo para o serviço. Os usuários podem fazer essa alteração facilmente usando o aplicativo Portal da Empresa e iniciando uma verificação de conformidade do dispositivo.

  • Para verificar se tudo está funcionando corretamente depois que os dispositivos fizerem check-in e forem sincronizados com o serviço após a alteração da autoridade de MDM, procure os dispositivos na nova autoridade de MDM.

  • Há um período intermediário em que um dispositivo fica offline durante a alteração na autoridade de MDM até ele fazer check-in no serviço. Durante o período provisório, é importante proteger e manter a funcionalidade do dispositivo. Para proteger e manter a funcionalidade do dispositivo, os seguintes perfis permanecem no dispositivo. Estes perfis permanecem no dispositivo até sete dias ou até que o dispositivo se ligue à nova autoridade de MDM. Assim que o dispositivo se ligar e receber novas definições, os perfis existentes são substituídos:

    • Perfil de email
    • Perfil da VPN
    • Perfil de certificado
    • Perfil de Wi-Fi
    • Perfis de configuração

  • Depois de mudar para a nova autoridade de MDM, os dados de conformidade no centro de administração do Microsoft Intune podem demorar até uma semana a comunicar com precisão. No entanto, os estados de conformidade no Microsoft Entra ID e no dispositivo são precisos, pelo que o dispositivo ainda está protegido.

  • Certifique-se de que as novas definições destinadas a substituir as definições existentes têm o mesmo nome que as anteriores para garantir que as definições antigas são substituídas. Caso contrário, os dispositivos podem acabar com políticas e perfis redundantes.

    Dica

    Como prática recomendada, você deve criar todos os parâmetros de gerenciamento e as configurações, além das implantações, logo após a alteração para a autoridade de MDM ser concluída. Isso ajuda a garantir que os dispositivos estejam protegidos e sejam gerenciados ativamente durante o período intermediário.

  • Depois de alterar a autoridade MDM, execute as etapas a seguir para validar que os novos dispositivos sejam registrados com êxito para a nova autoridade:

    • Registrar um novo dispositivo
    • Verifique se o dispositivo recém-registrado é mostrado na nova autoridade de MDM.
    • Execute uma ação, como o Bloqueio Remoto, do centro de administração do Microsoft Intune para o dispositivo. Se for bem-sucedido, a nova autoridade de MDM está a gerir o dispositivo.

  • Se você tiver problemas com dispositivos específicos, poderá cancelar o registro deles e registrá-los novamente para que se conectem à nova autoridade e sejam gerenciados o mais rapidamente possível.

Confirmar a autoridade de MDM do inquilino

Para confirmar que a sua autoridade de MDM está definida como Intune, siga os seguintes passos:

  1. No centro de administração do Microsoft Intune, selecione Estado doinquilinoda administração> do inquilino.
  2. No separador Detalhes do inquilino , localize Autoridade de MDM.

Próximas etapas

Com a autoridade de MDM definida, você pode começar o registro de dispositivos.