Utilize políticas de conformidade para definir regras para dispositivos que gere com o Intune

Soluções móveis de gestão de dispositivos (MDM) como o Intune podem ajudar a proteger os dados organizacionais, exigindo que os utilizadores e dispositivos cumpram alguns requisitos. No Intune, esta funcionalidade é chamada de políticas de conformidade.

Políticas de conformidade em Intune:

• Defina as regras e configurações que os utilizadores e dispositivos devem cumprir para serem compatíveis.
• Incluir ações que se aplicam a dispositivos que não são conformes. As ações de incumprimento podem alertar os utilizadores para as condições de incumprimento e salvaguardar dados em dispositivos não conformes.
• Pode ser combinado com o Acesso Condicional, que pode depois bloquear utilizadores e dispositivos que não cumprem as regras.

Existem duas partes para as políticas de conformidade no Intune:

• Definições de política de conformidade – Configurações em todo o inquilina do inquilino que são como uma política de conformidade incorporada que cada dispositivo recebe. As definições de política de conformidade definem uma linha de base para o funcionamento da política de conformidade no seu ambiente Intune, incluindo se os dispositivos que não receberam nenhuma política de conformidade do dispositivo são compatíveis ou não conformes.

• Política de conformidade com dispositivos – Regras específicas da plataforma que configura e implementa para grupos de utilizadores ou dispositivos. Estas regras definem requisitos para dispositivos, como sistemas operativos mínimos ou a utilização de encriptação de discos. Os dispositivos devem cumprir estas regras para serem considerados conformes.

Tal como outras políticas intune, as avaliações da política de conformidade para um dispositivo dependem do momento em que o dispositivo faz check-in com o Intune, e de ciclos de atualização de políticas e perfis.

Definições da política de conformidade

As definições da política de conformidade são configurações em todo o inquilino que determinam como o serviço de conformidade da Intune interage com os seus dispositivos. Estas definições são distintas das configurações que configura numa política de conformidade do dispositivo.

Para gerir as definições da política de conformidade, inscreva-se no centro de administração Microsoft Endpoint Manager e vá para as > > definições da política de conformidade do dispositivo de conformidade com o dispositivo de segurança Endpoint .

As definições da política de conformidade incluem as seguintes definições:

• Marque dispositivos sem política de conformidade atribuída como

  Esta definição determina como a Intune trata dispositivos que não foram atribuídos a uma política de conformidade do dispositivo. Esta definição tem dois valores:

  • Conformidade (padrão): Esta função de segurança está desligada. Os dispositivos que não são enviados uma política de conformidade do dispositivo são considerados compatíveis.
  • Não conforme: Esta função de segurança está acesa. Os dispositivos que não tenham recebido uma política de conformidade do dispositivo são considerados incompatíveis.

  Se utilizar o Acesso Condicional com as políticas de conformidade do seu dispositivo, recomendamos que altere esta definição para Não conforme para garantir que apenas os dispositivos que estão confirmados como conformes podem aceder aos seus recursos.

  Se um utilizador final não for compatível porque uma apólice não lhes é atribuída, então a aplicação Portal da Empresa mostra que não foram atribuídas políticas de conformidade.

• Deteção de jailbreak melhorada (aplica-se apenas ao iOS/iPadOS)

  Esta definição funciona apenas com dispositivos que visa com uma política de conformidade do dispositivo que bloqueia dispositivos de jailbro. (Ver definições de saúde do dispositivo para iOS/iPadOS).

  Esta definição tem dois valores:

  • Desativado (padrão): Esta função de segurança está desligada. Esta definição não tem qualquer efeito nos seus dispositivos que recebem a política de conformidade do dispositivo que bloqueia os dispositivos desmesudo.
  • Ativado: Esta função de segurança está ativada. Os dispositivos que recebem a política de conformidade do dispositivo para bloquear dispositivos de jailbros usam a deteção de jailbreak melhorada.

  Quando ativado num dispositivo iOS/iPadOS aplicável, o dispositivo:

  • Permite serviços de localização ao nível do SO.
  • Permite sempre que o Portal da Empresa utilize serviços de localização.
  • Usa os seus serviços de localização para desencadear a deteção de jailbreak com mais frequência em segundo plano. Os dados de localização do utilizador não são armazenados pelo Intune.

  A deteção de jailbreak melhorada faz uma avaliação quando:

  • A aplicação Portal da Empresa abre
  • O dispositivo move-se fisicamente uma distância significativa, que é aproximadamente 500 metros ou mais. A Intune não pode garantir que cada alteração significativa da localização resulte numa verificação de deteção de jailbreak, uma vez que a verificação depende da ligação de rede de um dispositivo no momento.

  No iOS 13 e superior, esta funcionalidade requer que os utilizadores selecionem Sempre Permitir que o dispositivo lhes indique que continuem a permitir que Portal da Empresa utilizem a sua localização em segundo plano. Se estiver ativado, isto permitirá verificações mais frequentes de deteção de fugas de prisões.

• Prazo de validade do estado de conformidade (dias)

  Especificar um período em que os dispositivos devem apresentar com sucesso um relatório sobre todas as suas políticas de conformidade recebidas. Se um dispositivo não reportar o seu estado de conformidade para uma apólice antes do termo do período de validade, o dispositivo é tratado como incompatível.

  Por predefinição, o prazo é definido para 30 dias. Pode configurar um período de 1 a 120 dias.

  Pode ver detalhes sobre a conformidade do dispositivo com a definição do período de validade. Inscreva-se no centro de administração Microsoft Endpoint Manager e vá para a conformidade de > > Definição do Monitor de Dispositivos . Esta definição tem um nome de Is ativo na coluna Definição. Para obter mais informações sobre esta e as visões de estado de conformidade relacionadas, consulte a conformidade do dispositivo monitor.

Políticas de conformidade de dispositivo

Políticas de conformidade do dispositivo intune:

• Defina as regras e configurações que os utilizadores e dispositivos geridos devem cumprir para serem compatíveis. Exemplos de regras incluem exigir que os dispositivos executem uma versão de SO mínimo, não sendo quebrados ou enraizados na cadeia, e estar em um nível de ameaça como especificado pelo software de gestão de ameaças que integrou com o Intune.
• Apoiar ações que se aplicam a dispositivos que não cumprem as suas regras de conformidade. Exemplos de ações incluem estar bloqueado remotamente ou enviar um e-mail do utilizador do dispositivo sobre o estado do dispositivo para que possam corrigi-lo.
• Implementar para utilizadores em grupos de utilizadores ou dispositivos em grupos de dispositivos. Quando uma política de conformidade é implementada para um utilizador, todos os dispositivos do utilizador são verificados para a conformidade. Utilizar grupos de dispositivos neste cenário ajuda com os relatórios de conformidade.

Se utilizar o Acesso Condicional, as suas políticas de Acesso Condicional podem utilizar os resultados de conformidade do seu dispositivo para bloquear o acesso a recursos de dispositivos não conformes.

As definições disponíveis que pode especificar numa política de conformidade do dispositivo dependem do tipo de plataforma que seleciona quando cria uma política. Diferentes plataformas de dispositivos suportam diferentes configurações, e cada tipo de plataforma requer uma política separada.

Os seguintes temas ligam-se a artigos dedicados para diferentes aspetos da política de configuração do dispositivo.

• Ações de incumprimento - Cada política de conformidade do dispositivo inclui uma ou mais ações para incumprimento. Estas ações são regras que são aplicadas a dispositivos que não cumprem as condições definidas na apólice.

  Por predefinição, cada política de conformidade do dispositivo inclui a ação para marcar um dispositivo como incompatível se não cumprir uma regra de política. A política aplica-se então ao dispositivo quaisquer ações adicionais de incumprimento que configuraste, com base nos horários que definiu para essas ações.

  As ações de incumprimento podem ajudar a alertar os utilizadores quando o seu dispositivo não está em conformidade, ou a salvaguardar dados que possam estar num dispositivo. Exemplos de ações incluem:

  • Envio de alertas de e-mail para utilizadores e grupos com detalhes sobre o dispositivo não conforme. Pode configurar a política para enviar um e-mail imediatamente após ser marcado como incompatível e, novamente, periodicamente, até que o dispositivo se torne conforme.
  • Bloqueiem remotamente dispositivos que não são conformes há algum tempo.
  • Retirem os dispositivos depois de não cumprirem há algum tempo. Esta ação remove o dispositivo da gestão da Intune e remove todos os dados da empresa do dispositivo.

• Configurar as localizações da rede - Suportado por dispositivos Android, pode configurar as localizações da rede e depois usar esses locais como regra de conformidade com o dispositivo. Este tipo de regra pode sinalizar um dispositivo como incompatível quando está fora ou deixa uma rede especificada. Antes de especificar uma regra de localização, tem de configurar as localizações da rede.

• Criar uma política – Com as informações neste artigo, pode rever os pré-requisitos, trabalhar através das opções para configurar regras, especificar ações para incumprimento e atribuir a política aos grupos. Este artigo também inclui informações sobre os tempos de atualização de políticas.

  Consulte as definições de conformidade do dispositivo para as diferentes plataformas do dispositivo:

  • Android device administrator (Administrador de dispositivos Android)
  • Android Enterprise
  • iOS
  • macOS
  • Windows Holographic for Business
  • Windows 8.1 e posterior
  • Windows 10 e posterior

Monitorizar o estado de conformidade

O Intune inclui um painel de conformidade do dispositivo que utiliza para monitorizar o estado de conformidade dos dispositivos e para perfurar políticas e dispositivos para obter mais informações. Para saber mais sobre este painel de instrumentos, consulte a conformidade do dispositivo Monitor.

Integrar-se com Acesso Condicional

Quando utilizar o Acesso Condicional, pode configurar as suas políticas de Acesso Condicional para utilizar os resultados das políticas de conformidade do seu dispositivo para determinar quais os dispositivos que podem aceder aos seus recursos organizacionais. Este controlo de acesso é além e separado das ações de incumprimento que inclui nas políticas de conformidade do seu dispositivo.

Quando um dispositivo se inscreve no Intune, regista-se em Azure AD. O estado de conformidade dos dispositivos é comunicado à Azure AD. Se as suas políticas de Acesso Condicional tiverem os controlos de acesso definidos para exigir que o dispositivo seja marcado como conforme, o acesso condicional usa esse estado de conformidade para determinar se concede ou bloqueia o acesso a e-mails e outros recursos da organização.

Se utilizar o estado de conformidade do dispositivo com as políticas de Acesso Condicional, reveja como o seu inquilino configura dispositivos Mark sem nenhuma política de conformidade atribuída como, que gere ao abrigo das definições de política de conformidade.

Para obter mais informações sobre a utilização do Acesso Condicional às políticas de conformidade do seu dispositivo, consulte Acesso Condicional baseado no Dispositivo

Saiba mais sobre o Acesso Condicional na documentação AZure AD:

• O que é acesso condicional
• O que é uma identidade de dispositivo

Referência para incumprimento e acesso condicional nas diferentes plataformas

O quadro que se segue descreve como as definições não conformes são geridas quando uma política de conformidade é utilizada com uma política de acesso condicional.

• Remediado: O sistema operativo do dispositivo impõe a conformidade. Por exemplo, forçar o utilizador a definir um PIN.

• Quarentena: O sistema operativo do dispositivo não impõe a conformidade. Por exemplo, os dispositivos Android e Android Enterprise não forçam o utilizador a encriptar o dispositivo. Quando o dispositivo não é conforme, são realizadas as seguintes ações:

  • Se uma política de acesso condicional se aplicar ao utilizador, o dispositivo está bloqueado.
  • A aplicação do Portal da Empresa notifica o utilizador sobre eventuais problemas de conformidade.

---

Definição de política	Plataforma
Configuração do PIN ou da palavra-passe	- Android 4.0 e mais tarde: Quarentena - Samsung Knox Standard 4.0 e mais tarde: Quarentena - Android Enterprise: Quarentena - iOS 8.0 e posterior: Remediado - macOS 10.11 e mais tarde: Remediado - Windows 8.1 e mais tarde: Remediado
Encriptação do dispositivo	- Android 4.0 e mais tarde: Quarentena - Samsung Knox Standard 4.0 e mais tarde: Quarentena - Android Enterprise: Quarentena - iOS 8.0 e posteriormente: Remediado (definindo PIN) - macOS 10.11 e mais tarde: Quarentena - Windows 8.1 e posteriormente: Não aplicável
Dispositivo desbloqueado por jailbreak ou obtenção de controlo de raiz	- Android 4.0 e posteriormente: Quarentena (não uma definição) - Samsung Knox Standard 4.0 e mais tarde: Quarentena (não uma definição) - Android Enterprise: Quarentena (não uma definição) - iOS 8.0 e posterior: Quarentena (não uma definição) - macOS 10.11 e posteriormente: Não aplicável - Windows 8.1 e posteriormente: Não aplicável
Perfil de e-mail	- Android 4.0 e posteriormente: Não aplicável - Samsung Knox Standard 4.0 e mais tarde: Não aplicável - Android Enterprise: Não aplicável - iOS 8.0 e mais tarde: Quarentena - macOS 10.11 e mais tarde: Quarentena - Windows 8.1 e posteriormente: Não aplicável
Versão mínima do SO	- Android 4.0 e mais tarde: Quarentena - Samsung Knox Standard 4.0 e mais tarde: Quarentena - Android Enterprise: Quarentena - iOS 8.0 e mais tarde: Quarentena - macOS 10.11 e mais tarde: Quarentena - Windows 8.1 e mais tarde: Quarentena
Versão máxima do SO	- Android 4.0 e mais tarde: Quarentena - Samsung Knox Standard 4.0 e mais tarde: Quarentena - Android Enterprise: Quarentena - iOS 8.0 e mais tarde: Quarentena - macOS 10.11 e mais tarde: Quarentena - Windows 8.1 e mais tarde: Quarentena
Atestado do estado de funcionamento do Windows	- Android 4.0 e posteriormente: Não aplicável - Samsung Knox Standard 4.0 e mais tarde: Não aplicável - Android Enterprise: Não aplicável - iOS 8.0 e posteriormente: Não aplicável - macOS 10.11 e posteriormente: Não aplicável - Windows 10: Quarentena - Windows 8.1 e mais tarde: Quarentena

---

Passos seguintes

• Configurar localizações para uso com dispositivos Android
• Criar e implementar políticas e rever pré-requisitos
• Monitorizar a conformidade do dispositivo
• Questões, questões e resoluções comuns com políticas e perfis de dispositivos em Microsoft Intune
• A referência para entidades políticas tem informações sobre as entidades políticas do Intune Data Warehouse