Definições de conformidade do dispositivo para Windows 10 e mais tarde no Intune

Este artigo lista e descreve as diferentes definições de conformidade que pode configurar em Windows 10 e dispositivos posteriores no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para exigir o BitLocker, defina um sistema operativo mínimo e máximo, estabeleça um nível de risco utilizando o Microsoft Defender para Endpoint, e muito mais.

Esta funcionalidade aplica-se a:

• Windows 10 e posterior
• Windows Holographic for Business
• Surface Hub

Enquanto administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos da sua organização. Para saber mais sobre as políticas de conformidade e para o que servem, veja a introdução à conformidade de dispositivos.

Antes de começar

Criar uma política de conformidade. Em Plataforma, selecione Windows 10 e versões posteriores.

Estado de Funcionamento do Dispositivo

Windows Regras de avaliação do Serviço de Atestação de Saúde

• Requerer BitLocker:
  A Encriptação de Unidade BitLocker do Windows encripta todos os dados armazenados no volume do sistema operativo Windows. O BitLocker utiliza o Módulo plataforma fidedigna (TPM) para ajudar a proteger o sistema operativo Windows e os dados do utilizador. Também ajuda a confirmar que um computador não é adulterado, mesmo que a sua esquerda não seja atempresa, perdida ou roubada. Se o computador estiver equipado com um TPM compatível, o BitLocker utiliza o TPM para bloquear as chaves de encriptação que protegem os dados. Como resultado, as chaves não podem ser acedidas até que o TPM verifique o estado do computador.

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - O dispositivo pode proteger os dados armazenados na unidade a partir de acesso não autorizado quando o sistema está desligado, ou hiberna.

  Dispositivo HealthAttestation CSP - BitLockerStatus

• Exigir que o Arranque Seguro seja ativado no dispositivo:

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - O sistema é forçado a arrancar para uma fábrica de confiança. Os componentes centrais utilizados para o arranque da máquina devem ter assinaturas criptográficas corretas que são fidedignas pela organização que fabricou o dispositivo. O firmware UEFI verifica a assinatura antes de permitir que o computador seja iniciado. Se algum ficheiro for adulterado, o que quebra a sua assinatura, o sistema não arranca.

  Nota

  O Boot 'Require Secure Boot' a ser ativado na definição do dispositivo é suportado em alguns dispositivos TPM 1.2 e 2.0. Para os dispositivos que não suportam o TPM 2.0 ou posterior, o estado da política no Intune é mostrado como Não Conforme. Para obter mais informações sobre versões suportadas, consulte o Atestado de Saúde do Dispositivo.

• Requerer integridade do código:
  A integridade do código é uma funcionalidade que valida a integridade de um ficheiro do controlador ou do sistema cada vez que é carregado na memória.

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Exigir integridade do código, que detete se um controlador ou ficheiro do sistema não assinado estiver a ser carregado no núcleo. Também deteta se um ficheiro do sistema é alterado por software malicioso ou executado por uma conta de utilizador com privilégios de administrador.

Mais recursos:

• Para mais detalhes sobre como funciona o serviço de Atestado de Saúde, consulte A Attestation CSP de Saúde.
• Dica de suporte: Utilizar o Atestado de Saúde do Dispositivo Definições como parte da sua Política de Conformidade Intune.

Propriedades do Dispositivo

Versão do Sistema Operativo

Para descobrir versões de construção para todas as atualizações de funcionalidades Windows 10 e atualizações cumulativas (a utilizar em alguns dos campos abaixo), consulte Windows 10 informações de lançamento. Certifique-se de incluir o 10.0. prefixo antes dos números de construção, como ilustram os seguintes exemplos.

• Versão mínima de SO:
  Introduza a versão mínima permitida no formato número major.minor.build.revision. Para obter o valor correto, abra uma linha de comandos e escreva ver. O comando ver devolve a versão no seguinte formato:

  Microsoft Windows [Version 10.0.17134.1]

  Quando um dispositivo tem uma versão anterior do que a versão SO em que entra, é reportado como incompatível. É apresentada uma hiperligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo. Depois de atualizarem, podem aceder aos recursos da empresa.

• Versão máxima do SO:
  Introduza a versão máxima permitida, no formato número major.minor.build.revision. Para obter o valor correto, abra uma linha de comandos e escreva ver. O comando ver devolve a versão no seguinte formato:

  Microsoft Windows [Version 10.0.17134.1]

  Quando um dispositivo está a utilizar uma versão SO mais tarde do que a versão inserida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final para contactar o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão OS.

• Os sistemas mínimos de segurança exigidos para dispositivos móveis:
  Introduza a versão mínima permitida, no formato número major.minor.build.

  Quando um dispositivo tem uma versão anterior que a versão SO em que entra, é reportado como incompatível. É apresentada uma hiperligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo. Depois de atualizarem, podem aceder aos recursos da empresa.

• Máximo de SO necessário para dispositivos móveis:
  Introduza a versão máxima permitida, no número major.minor.build.

  Quando um dispositivo está a utilizar uma versão SO mais tarde do que a versão inserida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final para contactar o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão OS.

• Sistema operativo válido constrói:
  Especifique uma lista de construções de sistemas operativos mínimos e máximos. As construções válidas do sistema operativo proporcionam flexibilidade adicional quando comparadas com as versões de SO mínimas e máximas. Considere um cenário em que a versão so mínima está definida para 10.0.18362.xxx (Windows 10 1903) e a versão máxima do SO está definida para 10.0.18363.xxx (Windows 10 1909). Esta configuração pode permitir que um dispositivo Windows 10 de 1903 que não tenha atualizações cumulativas recentes instaladas seja identificado como conforme. As versões de SO mínimas e máximas podem ser adequadas se tiver padronizado numa única Windows 10 libertação, mas pode não atender aos seus requisitos se precisar de utilizar várias construções, cada uma com níveis de correção específicos. Neste caso, considere alavancar as construções válidas do sistema operativo, o que permite especificar várias construções de acordo com o exemplo seguinte.

  Exemplo:
  O quadro a seguir é um exemplo de uma gama para as versões aceitáveis dos sistemas operativos para diferentes versões Windows 10. Neste exemplo, foram permitidas três atualizações de recursos diferentes (1809, 1909 e 2004). Concretamente, apenas as versões de Windows e que tenham aplicado atualizações cumulativas de junho a setembro de 2020 serão consideradas conformes. Isto são apenas dados de amostra. A tabela inclui uma primeira coluna que inclui qualquer texto que pretenda descrever a entrada, seguida da versão de SO mínima e máxima para essa entrada. A segunda e terceira colunas devem aderir às versões de construção de SISTEMA válidas no formato número de revisão major.minor.build.revision. Depois de definir uma ou mais entradas, pode exportar a lista como um ficheiro de valores separados por vírgula (CSV).

  Descrição	Versão mínima do SO	Versão máxima do SO
  Vitória 10 2004 (Jun-Set 2020)	10.0.19041.329	10.0.19041.508
  Vitória 10 1909 (Jun-Set 2020)	10.0.18363.900	10.0.18363.1110
  Vitória 10 1809 (Jun-Set 2020)	10.0.17763.1282	10.0.17763.1490

Conformidade do gestor de configuração

Aplica-se apenas a dispositivos cogeridos que Windows 10 e posteriormente. Os dispositivos intune devolvem um estado não disponível.

• Requerer a conformidade do dispositivo do Gestor de Configuração:
  • Não configurado (predefinido)- A Intune não verifica nenhuma das definições do Gestor de Configuração para conformidade.
  • Exigir - Exija que todas as definições (itens de configuração) no Gestor de Configuração sejam compatíveis.

Segurança do sistema

Palavra-passe

• Requerer uma palavra-passe para desbloquear dispositivos móveis:

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Os utilizadores devem introduzir uma palavra-passe antes de poderem aceder ao seu dispositivo.

• Palavras-passe simples:

  • Não configurados (padrão)- Os utilizadores podem criar senhas simples, tais como 1234 ou 1111.
  • Bloco - Os utilizadores não podem criar senhas simples, como 1234 ou 1111.

• Tipo de senha:
  Escolha o tipo de palavra-passe ou PIN necessário. As opções são:

  • Padrão do dispositivo (padrão)- Requera uma palavra-passe, PIN numérico ou PIN alfanumérico
  • Numérico - Requer uma palavra-passe ou PIN numérico
  • Alfanumérico - Requer uma palavra-passe, ou PIN alfanumérico.

  Quando definido para Alfanumérico, estão disponíveis as seguintes definições:

  • Complexidade da palavra-passe:
    As opções são:

    • Requerem dígitos e letras minúsculas (padrão)
    • Requerem dígitos, letras minúsculas e letras maiúsculas
    • Requerem dígitos, letras minúsculas, letras maiúsculas e caracteres especiais

    Dica

    As políticas de senha alfanumérica podem ser complexas. Encorajamos os administradores a ler os CSPs para mais informações:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Comprimento mínimo da palavra-passe:
  introduza o número mínimo de dígitos ou carateres que a palavra-passe tem de ter.

• Minutos de inatividade antes de a palavra-passe ser exigida:
  introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe.

• Expiração da palavra-passe (dias):
  Introduza o número de dias antes do termo da senha, e eles devem criar um novo, a partir de 1-730.

• Número de palavras-passe anteriores para impedir a reutilização:
  introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas.

• Requerer a palavra-passe quando o dispositivo voltar do estado de marcha lenta (Mobile e Holographic):

  • Não configurado (padrão)
  • Exigir - Exija que os utilizadores do dispositivo introduzam a palavra-passe sempre que o dispositivo retorna de um estado ocioso.

  Importante

  Quando o requisito da palavra-passe é alterado num ambiente de trabalho Windows, os utilizadores são impactados na próxima vez que iniciarem seduca, já que é quando o dispositivo passa de inativo para ativo. Os utilizadores com senhas que satisfaçam o requisito ainda são solicitados a alterar as suas palavras-passe.

Encriptação

• Encriptação do armazenamento de dados num dispositivo:
  Esta definição aplica-se a todas as unidades de um dispositivo.

  • Não configurado (padrão)
  • Requerer - Utilizar Requerer para encriptar o armazenamento de dados nos seus dispositivos.

  DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

  Nota

  A encriptação do armazenamento de dados num dispositivo que define genericamente verifica a presença de encriptação no dispositivo, mais especificamente ao nível da unidade de sistema operativo. Atualmente, o Intune suporta apenas a verificação de encriptação com o BitLocker. Para uma definição de encriptação mais avançada, considere utilizar Exigir o BitLocker, que tira partido do Windows Device Health Attestation para validar o estado do Bitlocker ao nível do TPM.

Segurança do Dispositivo

• Firewall:

  • Não configurado (padrão)- O Intune não controla o Microsoft Defender Firewall, nem altera as definições existentes.
  • Require - Ligue o Microsoft Defender Firewall e evite que os utilizadores o desliguem.

  Firewall CSP

  Nota

  Se o dispositivo sincronizar imediatamente após um reboot, ou sincronizar imediatamente o despertar do sono, então esta definição pode reportar como um Erro. Este cenário pode não afetar o estado geral de conformidade do dispositivo. Para reavaliar o estado de conformidade, sincronizemanualmente o dispositivo .

• Módulo de plataforma fidedigno (TPM):

  • Não configurado (padrão)- A Intune não verifica o dispositivo para uma versão de chip TPM.
  • Exigir - Intune verifica a versão do chip TPM para o cumprimento. O dispositivo está em conformidade se a versão do chip TPM for superior a 0 (zero). O dispositivo não é compatível se não houver uma versão TPM no dispositivo.

  DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

• Antivírus:

  • Não configurado (padrão)- A Intune não verifica quaisquer soluções antivírus instaladas no dispositivo.
  • Exigir - Verifique a conformidade utilizando soluções antivírus registadas no Segurança do Windows Center, como a Symantec e a Microsoft Defender.

  DeviceStatus CSP - DeviceStatus/Antivírus/Estado

• Anti-artigos:

  • Não configurado (padrão)- A Intune não verifica se existem soluções anti-artigos instaladas no dispositivo.
  • Exigir - Verifique a conformidade utilizando soluções anti-artigos registadas no Segurança do Windows Center, como a Symantec e a Microsoft Defender.

  DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

As seguintes definições de conformidade são suportadas com Windows 10 Desktop.

• Antimalware Microsoft Defender:

  • Não configurado (padrão)- A Intune não controla o serviço, nem altera as definições existentes.
  • Require - Ligue o serviço anti-malware do Microsoft Defender e evite que os utilizadores o desliguem.

• Versão mínima do Microsoft Defender Antimalware:
  Introduza a versão mínima permitida do serviço anti-malware Microsoft Defender. Por exemplo, introduza 4.11.0.0. Quando deixada em branco, qualquer versão do serviço anti-malware do Microsoft Defender pode ser utilizada.

  Por predefinição, nenhuma versão está configurada.

• Inteligência de segurança do Microsoft Defender Antimalware atualizada:
  Controla as atualizações Segurança do Windows de vírus e proteção contra ameaças nos dispositivos.

  • Não configurado (padrão)- Intune não impõe quaisquer requisitos.
  • Require - Force a inteligência de segurança do Microsoft Defender a estar atualizada.

  Defender CSP - Defender/Saúde/SignatureOutOfDate CSP

  Para obter mais informações, consulte atualizações de inteligência de segurança para Antivírus do Microsoft Defender e outros antimalware da Microsoft.

• Proteção em tempo real:

  • Não configurado (padrão)- O Intune não controla esta funcionalidade, nem altera as definições existentes.
  • Require - Ligue a proteção em tempo real, que procura malware, spyware e outro software indesejado.

  Política CSP - Defender/Permitir a Monitorização de Tempos Civis cSP

Microsoft Defender para Ponto Final

Microsoft Defender para regras de Endpoint

Para obter informações adicionais sobre o Microsoft Defender para integração endpoint em cenários de acesso condicional, consulte o Acesso Condicional configurar no Microsoft Defender para Endpoint.

• Exigir que o dispositivo esteja na pontuação de risco da máquina ou sob a pontuação de risco da máquina:
  Use esta definição para tirar a avaliação de risco dos seus serviços de ameaça de defesa como condição para o cumprimento. Selecione o nível de ameaça máximo permitido:

  • Não configurado (padrão)
  • Esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se o dispositivo for detetado como tendo qualquer nível de ameaças, é avaliado como incompatível.
  • Baixo - O dispositivo é avaliado como conforme se apenas ameaças de baixo nível estiverem presentes. Qualquer nível mais alto coloca o dispositivo num estado de não conforme.
  • Médio - O dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de baixo ou médio nível. Se forem detetadas ameaças de nível alto no dispositivo, este será determinado como não conforme.
  • Alta - Esta opção é a menos segura, e permite todos os níveis de ameaça. Poderá ser útil se utilizar esta solução apenas para fins de relatórios.

  Para configurar o Microsoft Defender para Endpoint como o seu serviço de ameaça de defesa, consulte Ativar o Microsoft Defender para Endpoint com acesso condicional.

Windows Holographic for Business

O Windows Holographic for Business utiliza a plataforma Windows 10 e posterior. O Windows Holographic for Business suporta a seguinte definição:

• Segurança do Sistema > Encriptação > Encriptação do armazenamento de dados no dispositivo.

Para verificar a encriptação de dispositivos no Microsoft HoloLens, veja Verify device encryption (Verificar a encriptação de dispositivos).

Surface Hub

O Surface Hub utiliza a plataforma Windows 10 e posterior. Os Surface Hubs são suportados tanto para a conformidade como para o acesso condicional. Para ativar estas funcionalidades nos Surface Hubs, recomendamos que ative Windows 10 inscrição automática no Intune (requer Azure Ative Directory (Azure AD)) e direcione os dispositivos Surface Hub como grupos de dispositivos. Os Surface Hubs são obrigados a ser Azure AD unidos para o cumprimento e acesso condicional ao trabalho.

Para obter orientação, consulte a configuração das inscrições para Windows dispositivos.

Consideração especial para os Surface Hubs que executam Windows 10 Team OS:
Os Surface Hubs que funcionam Windows 10 Team OS não suportam as políticas de conformidade do Microsoft Defender para Endpoint e Password neste momento. Assim, para os Surface Hubs que executam Windows 10 Team OS definir as duas seguintes definições para o seu padrão de Não configurado:

• Na categoria Palavra-passe, desafie uma palavra-passe para desbloquear dispositivos móveis por defeito de Não configurado.

• Na categoria Microsoft Defender para Endpoint,desafie que o dispositivo esteja na pontuação de risco da máquina ou sob o padrão de Não configurado.

Passos seguintes

• Adicionar ações para dispositivos não conformes e utilizar etiquetas de âmbito para filtrar políticas.
• Monitorizar as políticas de conformidade.
• Consulte as definições da política de conformidade para dispositivos Windows 8.1.