Gerir a segurança do ponto final em Microsoft Intune

Como Administrador de Segurança, utilize o nó de segurança Endpoint no Intune para configurar a segurança do dispositivo e para gerir tarefas de segurança para dispositivos quando esses dispositivos estiverem em risco. As políticas de segurança de pontos finais foram concebidas para ajudá-lo a concentrar-se na segurança dos seus dispositivos e a mitigar o risco. As tarefas disponíveis podem ajudá-lo a identificar dispositivos de risco, a remediar esses dispositivos e a restaurá-los para um estado compatível ou mais seguro.

O nó de segurança Endpoint agrupe as ferramentas disponíveis através do Intune que utilizará para manter os dispositivos seguros:

• Reveja o estado de todos os seus dispositivos geridos. Utilize a vista todos os dispositivos onde pode ver a conformidade do dispositivo a partir de um nível elevado. Em seguida, faça um broca em dispositivos específicos para entender quais as políticas de conformidade que não são cumpridas para que possa resolvê-las.

• Implemente linhas de base de segurança que estabelecem configurações de segurança de melhores práticas para dispositivos. O Intune inclui linhas de base de segurança para dispositivos Windows e uma lista crescente de aplicações, como o Microsoft Defender para Endpoint e Microsoft Edge. As linhas de base de segurança são grupos pré-configurados de definições de Windows que o ajudam a aplicar uma configuração recomendada pelas equipas de segurança relevantes.

• Faça a gestão de configurações de segurança em dispositivos através de políticas bem direcionadas. Cada política de segurança endpoint foca-se em aspetos da segurança do dispositivo como antivírus, encriptação de discos, firewalls e várias áreas disponibilizadas através da integração com o Microsoft Defender para Endpoint.

• Estabeleça requisitos de dispositivo e utilizador através da política de conformidade. Com as políticas de conformidade,define as regras que os dispositivos e utilizadores devem cumprir para serem considerados conformes. As regras podem incluir versões do SO, requisitos de palavras-passe, níveis de ameaça do dispositivo, entre outros.

  Quando se integra com Azure Ative Directory políticas de acesso condicional (Azure AD) para impor políticas de conformidade, pode aceder a recursos corporativos tanto para dispositivos geridos como para dispositivos que ainda não são geridos.

• Integre a Intune com a sua equipa Microsoft Defender para Endpoint. Ao integrar-se com o Microsoft Defender para Endpoint, terá acesso a tarefas de segurança. As tarefas de segurança ligam de perto o Microsoft Defender para Endpoint e Intune para ajudar a sua equipa de segurança a identificar dispositivos que estão em risco e a distribuir passos de remediação detalhados aos administradores do Intune que podem agir.

As seguintes secções deste artigo discutem as diferentes tarefas que pode fazer a partir do nó de segurança do ponto final do centro de administração, e as permissões de controlo de acesso baseado em funções (RBAC) que são necessárias para usá-las.

Gerir dispositivos

O nó de segurança Endpoint inclui a vista todos os dispositivos, onde pode ver uma lista de todos os dispositivos do seu AD Azure que estão disponíveis em Microsoft Endpoint Manager.

A partir desta vista, pode selecionar dispositivos para perfurar para obter mais informações, como as políticas com que um dispositivo não está em conformidade. Também pode utilizar o acesso a partir desta vista para remediar problemas para um dispositivo, incluindo, reiniciar um dispositivo, iniciar uma verificação de malware ou rodar as teclas BitLocker num dispositivo da Janela 10.

Para obter mais informações, consulte Gerir os dispositivos com segurança no ponto final em Microsoft Intune.

Gerir linhas de base de segurança

As linhas de base de segurança no Intune são grupos pré-configurados de definições que são recomendações de boas práticas das equipas de segurança relevantes da Microsoft para o produto. A Intune suporta linhas de segurança para Windows 10 configurações do dispositivo, Microsoft Edge, Microsoft Defender para Proteção de Pontos Finais e muito mais.

Pode utilizar linhas de base de segurança para implementar rapidamente uma melhor prática de configuração de definições de dispositivos e aplicações para proteger os seus utilizadores e dispositivos. As linhas de base de segurança são suportadas para dispositivos que executam a versão 1809 e posterior do Windows 10.

Para obter mais informações, consulte as linhas de base de segurança para configurar Windows 10 dispositivos no Intune.

As linhas de base de segurança são um dos vários métodos em Intune para configurar configurações em dispositivos. Ao gerir as definições, é importante entender que outros métodos estão a ser utilizados no seu ambiente que podem configurar os seus dispositivos para evitar conflitos. Ver Evitar conflitos políticos mais tarde neste artigo.

Rever tarefas de segurança do Microsoft Defender para Endpoint

Quando integrar o Intune com o Microsoft Defender para o Endpoint, pode rever as tarefas de Segurança no Intune que identifiquem dispositivos de risco e forneçam medidas para mitigar esse risco. Em seguida, pode utilizar as tarefas para reportar ao Microsoft Defender para o Endpoint quando esses riscos forem atenuados com sucesso.

• A sua equipa microsoft Defender for Endpoint determina quais os dispositivos em risco e passa essa informação para a sua equipa Intune como uma tarefa de segurança. Com alguns cliques, criam uma tarefa de segurança para o Intune que identifica os dispositivos em risco, a vulnerabilidade, e fornece orientações sobre como mitigar esse risco.

• Os Intune Admins analisam as tarefas de segurança e, em seguida, atuam no Intune para remediar essas tarefas. Uma vez atenuado, definem a tarefa para completar, o que comunica esse estatuto de volta para a equipa do Microsoft Defender para endpoint.

Através das tarefas de Segurança, ambas as equipas permanecem sincronizadas sobre quais os dispositivos em risco, e como e quando esses riscos são remediados.

Para saber mais sobre a utilização de tarefas de Segurança, consulte Use Intune para remediar as vulnerabilidades identificadas pelo Microsoft Defender para Endpoint.

Utilizar políticas para gerir a segurança do dispositivo

Como administrador de segurança, utilize as políticas de segurança encontradas no nó de segurança Endpoint. Com estas políticas, pode configurar a segurança do dispositivo sem a sobrecarga de navegar no corpo maior e na gama de configurações a partir de perfis de configuração do dispositivo e linhas de base de segurança.

Para saber mais sobre a utilização destas políticas de segurança, consulte Gerir a segurança do dispositivo com as políticas de segurança do ponto final.

As políticas de segurança de ponto final são um dos vários métodos em Intune para configurar definições em dispositivos. Ao gerir definições, é importante compreender que outros métodos estão a ser utilizados no seu ambiente que possam configurar os dispositivos, de modo a evitar conflitos. Ver Evitar conflitos políticos mais tarde neste artigo.

Também encontradas em Manage são as políticas de conformidade do dispositivo e de acesso condicional. Estes tipos de políticas não são políticas de segurança focadas para configurar pontos finais, mas são ferramentas importantes para gerir dispositivos e acesso aos seus recursos corporativos.

Utilize a política de conformidade do dispositivo

Utilize a política de conformidade do dispositivo para estabelecer as condições pelas quais os dispositivos e utilizadores podem aceder à sua rede e recursos da empresa.

As definições de conformidade disponíveis dependem da plataforma que utiliza, mas as regras de política comuns incluem:

• Exigir que os dispositivos executem uma versão de SO mínima ou específica
• Definição de requisitos de palavra-passe
• Especificando um nível máximo de ameaça de dispositivo permitido, conforme determinado pelo Microsoft Defender para Endpoint ou outro parceiro de Defesa de Ameaças Móveis

Para além das regras políticas, as políticas de conformidade apoiam:

• Localizações que define no Intune. Quando utiliza locais com uma política de conformidade, a política pode garantir que os dispositivos estão ligados a uma rede de trabalho para serem compatíveis.
• Ações de incumprimento. Estas ações são uma sequência de ações ordenadas pelo tempo a aplicar a dispositivos não conformes. As ações incluem o envio de e-mails ou notificações para alertar os utilizadores do dispositivo sobre incumprimento, bloqueio remoto de dispositivos ou até mesmo retirar dispositivos não conformes e remover quaisquer dados da empresa que possam estar nele.

Quando integra a Intune com políticas de acesso condicional AD Azure para impor políticas de conformidade, o acesso condicional pode usar os dados de conformidade para impedir o acesso a recursos corporativos para dispositivos geridos e a partir de dispositivos que não gere.

Para saber mais, consulte regras definidas em dispositivos para permitir o acesso aos recursos na sua organização utilizando o Intune.

As políticas de conformidade do dispositivo são um dos vários métodos no Intune para configurar as definições nos dispositivos. Ao gerir as definições, é importante entender que outros métodos estão a ser utilizados no seu ambiente que podem configurar os seus dispositivos e evitar conflitos. Ver Evitar conflitos políticos mais tarde neste artigo.

Configurar o acesso condicional

Para proteger os seus dispositivos e recursos corporativos, pode utilizar Azure Ative Directory políticas de acesso condicional (Azure AD) com o Intune.

A Intune passa os resultados das políticas de conformidade do seu dispositivo para o Azure AD, que depois utiliza políticas de acesso condicional para impor quais dispositivos e aplicações podem aceder aos seus recursos corporativos. As políticas de acesso condicional também ajudam a impedir o acesso a dispositivos que não são geridos pelo Intune e podem usar detalhes de conformidade dos parceiros de Defesa de Ameaças Móveis que integra com o Intune.

Seguem-se dois métodos comuns de utilização do acesso condicional com o Intune:

• Acesso condicional baseado em dispositivos, para garantir que apenas dispositivos geridos e compatíveis podem aceder aos recursos da rede.
• Acesso condicional baseado em aplicações, que utiliza políticas de proteção de aplicações para gerir o acesso aos recursos de rede pelos utilizadores em dispositivos que não gere com o Intune.

Para saber mais sobre a utilização de acesso condicional com o Intune, consulte Saiba mais sobre acesso condicional e Intune.

Configurar a integração com o Microsoft Defender para o Endpoint

Quando integra o Microsoft Defender para Endpoint com o Intune, melhora a sua capacidade de identificar e responder aos riscos.

Enquanto o Intune pode integrar-se com vários parceiros de Defesa de Ameaças Móveis, quando utiliza o Microsoft Defender para Endpoint, ganha uma integração apertada entre o Microsoft Defender para Endpoint e o Intune com acesso a opções de proteção de dispositivos profundos, incluindo:

• Tarefas de segurança – Comunicação perfeita entre os administradores do Defender para Endpoint e Intune sobre dispositivos em risco, como remediar os mesmos e confirmação quando esses riscos são atenuados.
• Aerodinâmico de bordo para o Microsoft Defender para Endpoint nos clientes.
• Utilização de sinais de risco do dispositivo Defender para dispositivos Endpoint nas políticas de conformidade intune e nas políticas de proteção de aplicações.
• Acesso às capacidades de proteção de Tamper.

Para saber mais sobre a utilização do Microsoft Defender para Endpoint com Intune, consulte a conformidade do Microsoft Defender para Endpoint com Acesso Condicional em Intune.

Requisitos de controlo de acesso baseados em funções

Para gerir tarefas no nó de segurança Endpoint do centro de administração Microsoft Endpoint Manager, uma conta deve:

• Ser-lhe atribuída uma licença para a Intune.
• Ter permissões de controlo de acesso baseados em funções (RBAC) iguais às permissões fornecidas pelo papel incorporado intune do Endpoint Security Manager. A função de Gestor de Segurança Endpoint concede acesso ao centro de administração Microsoft Endpoint Manager. Esta função pode ser utilizada por indivíduos que gerem funcionalidades de segurança e conformidade, incluindo linhas de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Endpoint.

Para obter mais informações, consulte o controlo de acesso baseado em funções (RBAC) com Microsoft Intune

Permissões concedidas pelo cargo de Gestor de Segurança Endpoint

Pode ver a seguinte lista de permissões no centro de administração Microsoft Endpoint Manager indo para a administração do > Arrendatário > Todas as Funções, selecione Endpoint Security Manager > Properties.

Permissões:

• Android for Work
  • Ler
• Dados de auditoria
  • Ler
• Identificadores de dispositivos corporativos
  • Ler
• Políticas de conformidade de dispositivo
  • Atribuir
  • Criar
  • Eliminar
  • Ler
  • Atualizar
  • Ver relatórios
• Configurações de dispositivo
  • Ler
• Gestores de inscrição de dispositivos
  • Ler
• Relatórios de proteção de pontos finais
  • Ler
• Programas de inscrição
  • Dispositivo de leitura
  • Ler perfil
  • Ler ficha
• Armazém de dados intune
  • Ler
• Aplicações geridas
  • Ler
• Dispositivos geridos
  • Eliminar
  • Ler
  • Definir utilizador primário
  • Atualizar
• Aplicações móveis
  • Ler
• Organização
  • Ler
• Conjuntos de Políticas
  • Ler
• Assistência remota
  • Ler
• Tarefas remotas
  • Obtenha a tecla FileVault
  • Iniciar ação de Manger de configuração
  • Microsoft Defender
  • Reiniciar agora
  • Bloqueio remoto
  • Rotate BitLockerKeys (Pré-visualização)
  • Girar a tecla FileVault
  • Dispositivos sincronizados
• Funções
  • Ler
• Linhas de base de segurança
  • Atribuir
  • Criar
  • Eliminar
  • Ler
  • Atualizar
• Tarefas de segurança
  • Ler
  • Atualizar
• Despesas de telecomunicações
  • Ler
• Termos e condições
  • Ler

Evitar conflitos políticos

Muitas das definições que pode configurar para dispositivos podem ser geridas por diferentes funcionalidades no Intune. Estas funcionalidades incluem, mas não se limitam a:

• Políticas de segurança de ponto final
• Linhas de base de segurança
• Políticas de configuração do dispositivo
• Políticas de inscrição Windows 10

Por exemplo, as definições encontradas nas políticas de segurança endpoint são um subconjunto das definições que são encontradas em perfis de proteção de pontos finais e restrições de dispositivos na política de configuração do dispositivo, e que também são geridas através de várias linhas de segurança.

Uma forma de evitar conflitos é não utilizar diferentes linhas de base, casos da mesma linha de base, ou diferentes tipos e instâncias de política para gerir as mesmas configurações num dispositivo. Isto requer planeamento de quais métodos utilizará para implementar configurações em diferentes dispositivos. Quando utilizar vários métodos ou instâncias do mesmo método para configurar a mesma definição, certifique-se de que os seus diferentes métodos concordam ou não são implantados nos mesmos dispositivos.

Se os conflitos acontecerem, pode usar as ferramentas incorporadas da Intune para identificar e resolver a origem desses conflitos. Para obter mais informações, consulte:

• Resolução de problemas de políticas e perfis no Intune
• Monitorize as suas linhas de segurança

Passos seguintes

Configure:

• Linhas de base de segurança
• Políticas de conformidade
• Políticas de acesso condicional
• Integração com o Microsoft Defender para Endpoint