Gerir a segurança do dispositivo com políticas de segurança de ponto final em Microsoft Intune
Como administrador de segurança, utilize as políticas de segurança encontradas no nó de segurança Endpoint do Intune para configurar a segurança do dispositivo. Ao utilizar estas políticas focadas na segurança, evita-se a sobrecarga de navegar através de um corpo maior de configurações diversas encontradas nos perfis de configuração do dispositivo e nas linhas de base de segurança.
Cada tipo de política suporta um ou mais perfis. Os perfis são onde configura definições e pode agrupar configurações para diferentes plataformas, ou para diferentes áreas de foco na área de política maior.
Você encontrará estas políticas sob Gestão no nó de segurança Endpoint do centro de administração Microsoft Endpoint Manager.
Seguem-se breves descrições de cada tipo de política de segurança de ponto final. Para saber mais sobre eles, incluindo os perfis disponíveis para cada um, siga os links para conteúdos dedicados a cada tipo de política:
Antivírus - As políticas antivírus ajudam os administradores de segurança a concentrarem-se na gestão do grupo discreto de configurações antivírus para dispositivos geridos. Para utilizar a política antivírus, integre o Intune com o Microsoft Defender para Endpoint como solução de Defesa de Ameaças Móveis.
Encriptação do disco - Os perfis de encriptação do disco de segurança Endpoint focam-se apenas nas definições relevantes para um método de encriptação incorporado de dispositivos, como FileVault ou BitLocker. Este foco facilita aos administradores de segurança gerir as definições de encriptação do disco sem ter de navegar por uma série de definições não relacionadas.
Firewall - Utilize a política de firewall de segurança de ponto final no Intune para configurar uma firewall incorporada para dispositivos que executam macOS e Windows 10.
Deteção e resposta de pontos finais - Quando integrar o Microsoft Defender for Endpoint com o Intune, utilize as políticas de segurança de ponto final para deteção e resposta de pontos finais (DRP) para gerir as definições de DRP e dispositivos de bordo para o Microsoft Defender para o Endpoint.
Redução da superfície de ataque - Quando o antivírus do Defender estiver a ser utilizado nos seus dispositivos Windows 10, utilize as políticas de segurança do ponto final Intune para a redução da superfície de ataque para gerir essas definições para os seus dispositivos.
Proteção de conta - As políticas de proteção de conta ajudam-no a proteger a identidade e as contas dos seus utilizadores. A política de proteção de contas centra-se nas definições para Windows Hello e Guarda Credencial, que faz parte da Windows gestão de identidade e acesso.
As seguintes secções aplicam-se a todas as políticas de segurança do ponto final.
Criar uma política de segurança de ponto final
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione a segurança do ponto de terminação e, em seguida, selecione o tipo de política que pretende configurar e, em seguida, selecione Criar Política. Escolha entre os seguintes tipos de política:
- Antivírus
- Disk encryption (Encriptação de discos)
- Firewall
- Endpoint detection and response (Deteção e resposta de pontos finais)
- Attack surface reduction (Redução da superfície de ataque)
- Account protection (Proteção de contas)
Introduza as seguintes propriedades:
- Plataforma: Escolha a plataforma para a qual está a criar uma política. As opções disponíveis dependem do tipo de política selecionado:
- macOS
- Windows 10 e posterior
- Perfil: Escolha entre os perfis disponíveis para a plataforma selecionada. Para obter informações sobre os perfis, consulte a secção dedicada neste artigo para o seu tipo de política escolhida.
- Plataforma: Escolha a plataforma para a qual está a criar uma política. As opções disponíveis dependem do tipo de política selecionado:
Selecione Criar.
Na página Basics, insira um nome e descrição para o perfil e, em seguida, escolha Seguinte.
Na página de definições de Configuração, expanda cada grupo de definições e configufique as definições que pretende gerir com este perfil.
Quando terminar as definições, selecione Seguinte.
Na página de tags Scope, escolha Selecionar etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.
Selecione Seguinte para continuar.
Na página Atribuições, selecione os grupos que receberão este perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.
Selecione Seguinte.
Na página 'Rever + criar', quando terminar, escolha Criar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.
Duplicar uma política
As políticas de segurança endpoint apoiam a duplicação para criar uma cópia da política original. Um cenário ao duplicar uma política é útil, é se precisar de atribuir políticas semelhantes a diferentes grupos, mas não quer recriar manualmente toda a política. Em vez disso, pode duplicar a política original e, em seguida, introduzir apenas as alterações que a nova política exige. Só pode alterar uma definição específica e o grupo a que a apólice é atribuída.
Ao criar uma duplicata, dará à cópia um novo nome. A cópia é feita com as mesmas configurações de definição e etiquetas de âmbito que as originais, mas não terá nenhuma atribuição. Terá de editar a nova política mais tarde para criar atribuições.
Os seguintes tipos de política suportam a duplicação:
- Antivírus
- Disk encryption (Encriptação de discos)
- Firewall
- Endpoint detection and response (Deteção e resposta de pontos finais)
- Attack surface reduction (Redução da superfície de ataque)
- Account protection (Proteção de contas)
Depois de criar a nova política, reveja e edite a política para fazer alterações na sua configuração.
Para duplicar uma política
- Inicie sessão no centro de administração do Microsoft Endpoint Manager.
- Selecione a política que pretende copiar. Em seguida, selecione Duplicate ou selecione a elipse (...) à direita da apólice e selecione Duplicate.
- Forneça um novo nome para a apólice e, em seguida, selecione Save.
Para editar uma política
- Selecione a nova política e, em seguida, selecione Propriedades.
- Selecione Definições para expandir uma lista das definições de configuração na política. Não é possível modificar as definições a partir desta vista, mas pode rever como estão configuradas.
- Para modificar a política, selecione Editar para cada categoria onde pretende fazer uma alteração:
- Noções básicas
- Atribuições
- Scope tags (Etiquetas de âmbito)
- Definições de configuração
- Depois de escoar as alterações, selecione Guardar para guardar as suas edições. As edições para uma categoria devem ser guardadas antes de poder introduzir edições em categorias adicionais.
Gerir conflitos
Muitas das definições do dispositivo que pode gerir com as políticas de segurança endpoint (políticas de segurança) também estão disponíveis através de outros tipos de políticas no Intune. Estes outros tipos de política incluem a política de configuração do dispositivo e as linhas de base de segurança. Como as configurações podem ser geridas através de vários tipos de políticas diferentes ou por múltiplas instâncias do mesmo tipo de política, esteja preparado para identificar e resolver conflitos políticos para dispositivos que não aderem às configurações que espera.
- As linhas de base de segurança podem definir um valor não padrão para uma definição para cumprir com a configuração recomendada que os endereços de base.
- Outros tipos de política, incluindo as políticas de segurança do ponto final, definem um valor de Não configurado por padrão. Estes outros tipos de política requerem que você configufique explicitamente as definições na política.
Independentemente do método da política, gerir a mesma definição no mesmo dispositivo através de vários tipos de política, ou através de múltiplas instâncias do mesmo tipo de política pode resultar em conflitos que devem ser evitados.
As informações nos seguintes links podem ajudá-lo a identificar e resolver conflitos: