Utilizar grupos reutilizáveis de definições com políticas de Intune
Esta funcionalidade está em pré-visualização pública.
Intune suporta grupos de definições reutilizáveis que pode adicionar a políticas de configuração e perfis para ajudar a simplificar a gestão de definições comuns. Uma boa altura para utilizar grupos reutilizáveis é quando precisa de utilizar as definições com a mesma configuração em mais do que um único perfil.
Quando edita as definições num grupo reutilizável, as alterações que fizer aplicam-se automaticamente a cada perfil que inclua o grupo. Quando guarda as alterações ao grupo de definições reutilizáveis, Intune atualiza os perfis com essas novas configurações e implementa o perfil atualizado em dispositivos com base nas atribuições do perfil.
Os seguintes perfis suportam grupos reutilizáveis:
- Controlo do dispositivo, disponível através da segurança de ponto final Política de Redução da Superfície de Ataque .
- Regras de Firewall do Windows, disponíveis através da política de Firewall de segurança de ponto final.
Descrição geral dos grupos de definições reutilizáveis
Cada grupo de definições reutilizáveis é um único objeto que pode incluir várias definições. Depois de configurar um ou mais grupos reutilizáveis para utilização com um tipo de perfil específico, crie ou edite um perfil para adicionar os grupos. Os perfis podem suportar vários grupos.
Para gerir grupos de definições reutilizáveis, no centro de administração do Microsoft Intune, utilize o separador Definições reutilizáveis associado à política e aos perfis com os quais pretende utilizar um grupo. No separador, pode criar um grupo, editar as definições num grupo e ver a contagem de políticas que herdam definições de cada grupo. Cada grupo de definições reutilizáveis é utilizado apenas com o tipo de perfil relacionado.
Por exemplo, a imagem seguinte mostra o separador Definições reutilizáveis que utilizaria para gerir grupos reutilizáveis para o perfil de Regras de Firewall da Firewall do Windows:
Depois de criar grupos reutilizáveis, utilize uma opção na página Definições de configuração de perfis para adicionar grupos a esse perfil. Os perfis que incluem um ou mais grupos reutilizáveis utilizam cada definição de cada grupo incluído como se as definições estivessem configuradas diretamente no perfil.
Pré-requisitos
Os seguintes perfis suportam a utilização de grupos de definições reutilizáveis:
Política de segurança do ponto de extremidade
Firewall>Regras da Firewall do Windows:
- Plataformas: Windows
- Versões do Windows: os dispositivos têm de executar Windows 10 20H2 ou posterior ou Windows 11
Redução da superfície de ataque>Controlo do dispositivo:
- Plataformas: Windows
Endpoint Privilege Management
- Política de regras de elevação do Windows
Observação
Atualmente, os grupos de definições reutilizáveis não são suportados para utilização com a Gestão de Segurança para Microsoft Defender para Ponto de Extremidade.
Criar um grupo reutilizável
Cada grupo de definições reutilizáveis inclui um subconjunto de definições do perfil completo para o qual está a criar o grupo. Utilize as seguintes ligações para ver as definições que pode configurar num grupo de definições para cada perfil:
Para criar um grupo de definições reutilizáveis:
Abra o Microsoft Intune centro de administração, navegue para a política para a qual pretende criar um grupo reutilizável e, em seguida, selecione o separador Definições reutilizáveis (pré-visualização).
Selecione Adicionar para abrir o fluxo de trabalho Configurar definições reutilizáveis (pré-visualização ).
Na página Informações básicas , configure um nome. A descrição é opcional.
Na página Definições de configuração , selecione Adicionar e, em seguida, configure as definições para este grupo como se estivesse a configurar as definições diretamente no perfil suportado.
Para Controlo de Dispositivos, quando seleciona Adicionar , tem de escolher o tipo de definições de grupo a configurar e, em seguida, selecionar Editar instância para continuar. Se adicionar mais do que uma instância, reveja a configuração Tipo de correspondência para o grupo.
Existe um limite de 100 instâncias por grupo. Utilize o texto de informações no centro de administração para cada definição no grupo de definições reutilizáveis como orientação. Siga a ligação Saiba mais para obter uma definição para ver detalhes sobre a definição dessa origem de conteúdo de definições.
Dica
Atribua um nome a cada grupo reutilizável que criar para garantir que consegue identificá-lo mais tarde. Isto é importante porque cada grupo reutilizável que criar, para qualquer tipo de política, é visível ao adicionar grupos reutilizáveis a uma política, mesmo que o grupo contenha definições que normalmente não se aplicariam à política que está a configurar. Por exemplo, se tiver um grupo reutilizável criado para as regras da Firewall do Windows, esse grupo estará visível e poderá ser selecionado ao adicionar grupos reutilizáveis às políticas de Controlo de Dispositivos.
Na página Rever + Adicionar , selecione Adicionar para guardar o grupo de definições reutilizáveis.
Modificar um grupo reutilizável
Quando edita a configuração de um grupo reutilizável, cada perfil que utiliza esse grupo atualiza automaticamente para aplicar a nova configuração aos dispositivos.
Abra o Microsoft Intune centro de administração, navegue para a política para a qual pretende criar um grupo reutilizável e, em seguida, selecione o separador Definições reutilizáveis (pré-visualização).
Selecione o grupo de definições reutilizáveis que pretende editar. Esta ação abre o fluxo de trabalho de configuração que se assemelha ao fluxo de trabalho para criar um novo grupo reutilizável.
Na página Informações básicas , pode mudar o nome do grupo e, na página Definições de configuração , pode reconfigurar as definições. Na última página, selecione Guardar para guardar a configuração e atualizar os perfis que utilizam o grupo de definições.
Adicionar grupos reutilizáveis a um perfil de regra de firewall do Windows
Adicione grupos de definições reutilizáveis a perfis durante a edição ou criação do perfil. Na página Definições de configuração dos perfis, utilize uma opção que suporte a adição de um ou mais grupos criados anteriormente.
Observação
As regras FQDN de entrada não são suportadas nativamente. No entanto, é possível utilizar scripts de pré-hidratação para gerar entradas de IP de entrada para a regra. Para obter mais informações, veja Palavras-chave dinâmicas da Firewall do Windows na documentação da Firewall do Windows.
No Microsoft Intune centro de administração, crie um novo perfil ou selecione e edite um perfil existente.
Na página Definições de configuração , selecione Adicionar para adicionar uma nova regra ou Editar regra para gerir uma regra criada anteriormente.
No painel Configurar instância da regra, configure a Ação para determinar como esta regra gere definições como Endereços IP ou FQDNs. Por exemplo, pode definir Ação para permitir ou bloquear. Esta configuração aplica-se às definições que adiciona diretamente a esta regra e às definições que estão em cada grupo reutilizável que é adicionado a esta regra.
Guarde a configuração da regra.
Para a regra que guardou, selecione Definir definições reutilizáveis para abrir o painel Selecionar definições reutilizáveis .
Selecione um ou mais dos grupos disponíveis para os adicionar a esta regra e, em seguida, guarde as suas seleções.
Depois de adicionar grupos reutilizáveis a um perfil, guarde a configuração. Quando guardado, Intune inclui as definições dos grupos reutilizáveis e implementa o perfil em dispositivos com base nas atribuições do perfil.
Adicionar grupos reutilizáveis a um perfil de Controlo de Dispositivos
Adicione grupos de definições reutilizáveis a perfis durante a edição ou criação do perfil. Os grupos reutilizáveis para perfis de Controlo de Dispositivos suportam os seguintes tipos de definições:
- Dispositivo de impressora
- Repositório removível
Na página Definições de configuração dos perfis, utilize uma opção que suporte a adição de um ou mais grupos criados anteriormente.
No Microsoft Intune centro de administração, crie um novo perfil ou selecione e edite um perfil existente.
Na página Definições de configuração , expanda a categoria Controlo de Dispositivos e selecione Adicionar para adicionar uma nova regra ou Editar Entrada para gerir uma regra criada anteriormente.
- Selecione Adicionar para adicionar mais regras.
- Selecione Editar Entrada para abrir o painel Configurar Entrada para configurar ainda mais a utilização do grupo.
No painel Configurar Entrada , atribua um Nome à entrada e, em seguida, configure o seguinte e, em seguida, selecione OK para guardar a regra:
- Tipo: define a ação para os grupos de armazenamento amovíveis. Quando existem conflitos para Tipo para o mesmo suporte de dados, é aplicado o primeiro tipo definido na política.
- Opções: define se pretende apresentar uma notificação ao utilizador do dispositivo. As opções disponíveis dependem do Tipo que está selecionado.
- Máscara de acesso: escolha uma ou mais de Leitura, Escrita, Execução.
- Sid: o sid do utilizador local ou o grupo sid do utilizador ou o Sid do objeto do AD, define se deve aplicar esta política a um utilizador ou grupo de utilizadores específico; uma entrada pode ter um máximo de um Sid e uma entrada sem qualquer Sid significa que aplica a política através do computador.
- Sid do Computador: o sid do computador local ou o grupo Sid do computador ou o Sid do objeto do AD, define se deve aplicar esta política a um computador ou grupo de máquinas específicas; uma entrada pode ter um máximo de um ComputerSid e uma entrada sem Qualquer ComputerSid significa que aplica a política no computador. Se quiser aplicar uma Entrada a um utilizador específico e a um computador específico, adicione Sid e ComputerSid à mesma Entrada.
Para obter mais informações sobre estas opções, veja os seguintes artigos na documentação do Microsoft Defender para Ponto de Extremidade:
- Microsoft Defender para Ponto de Extremidade Controle de Acesso de Armazenamento Amovível do Controlo de Dispositivos na documentação do Microsoft Defender para Ponto de Extremidade.
- Descrição Geral da Proteção de Impressoras
Para a regra que guardou, selecione Definir definições reutilizáveis para ID Incluído e ID Excluído para satisfazer as suas necessidades. Ambas as seleções abrem um painel Selecionar definições reutilizáveis .
Selecione um ou mais dos grupos disponíveis para os adicionar a esta regra e, em seguida, guarde as suas seleções. Segue-se uma configuração com apenas um grupo selecionado para O ID Excluído:
Depois de adicionar grupos reutilizáveis a um perfil, conclua a configuração da política. Quando guardado, Intune inclui as definições dos grupos reutilizáveis e implementa o perfil em dispositivos com base nas atribuições do perfil. Pode ser adicionado um máximo de 100 grupos reutilizáveis por perfil.
Se tiver uma licença E5, pode utilizar Microsoft Defender para Ponto de Extremidade para ver eventos de controlo de dispositivos no relatório Controlo de Dispositivos e Investigação avançada. Consulte Proteger os dados da sua organização com controlo de dispositivos | Microsoft Docs na documentação do Defender para Endpoint.
Utilizar grupos reutilizáveis para o Endpoint Privilege Manager
Para obter informações sobre o suporte para utilizar grupos reutilizáveis para o Endpoint Privilege Manager, veja Políticas para o Endpoint Privilege Manager
Acerca dos conflitos de políticas
As definições do dispositivo que pode gerir através de grupos de definições reutilizáveis são aplicadas ao Intune o mesmo que as definições configuradas diretamente num perfil. Se forem introduzidos conflitos ou sobreposições pelas definições dos grupos reutilizáveis, pode utilizar o mesmo processo de resolução de problemas para identificar e resolve esses conflitos.
Para obter mais informações, veja as orientações que podem ser específicas dos tipos de perfil que utiliza. Para obter orientações gerais, veja Resolver problemas de políticas e perfis no Microsoft Intune e Perguntas e respostas comuns com políticas e perfis de dispositivos no Microsoft Intune.