Utilize linhas de segurança para configurar dispositivos de Windows 10 em Intune

Utilize as linhas de segurança da Intune para o ajudar a proteger e proteger os seus utilizadores e dispositivos. As linhas de base de segurança são grupos pré-configurados de definições de Windows que o ajudam a aplicar as definições de segurança recomendadas pelas equipas de segurança relevantes. Também pode personalizar as linhas de base que implementa para impor apenas as configurações e valores que necessita. Quando cria um perfil de linha de base de segurança no Intune, cria um modelo constituído por vários perfis de configuração do dispositivo.

Esta funcionalidade aplica-se a:

• Windows 10 versão 1809 e mais tarde

Implementa linhas de segurança para grupos de utilizadores ou dispositivos no Intune, e as definições aplicam-se a dispositivos que funcionam Windows 10 ou posteriormente. Por exemplo, o Plano de Segurança DO MDM ativa automaticamente o BitLocker para unidades amovíveis, requer automaticamente uma palavra-passe para desbloquear um dispositivo, desativa automaticamente a autenticação básica e muito mais. Quando um valor predefinido não funcionar para o seu ambiente, personalize a linha de base para aplicar as definições de que necessita.

Tipos de base separados podem incluir as mesmas definições, mas utilizar diferentes valores predefinidos para essas definições. É importante compreender os padrão nas linhas de base que escolhe usar e, em seguida, modificar cada linha de base para se adequar às suas necessidades organizacionais.

Nota

A Microsoft não recomenda a utilização de versões de pré-visualização de linhas de base de segurança num ambiente de produção. As definições numa linha de base de pré-visualização podem mudar ao longo da pré-visualização.

As linhas de segurança podem ajudá-lo a ter um fluxo de trabalho seguro de ponta a ponta ao trabalhar com Microsoft 365. Alguns dos benefícios incluem:

• Uma linha de base de segurança inclui as melhores práticas e recomendações sobre as configurações que impactam a segurança. A Intune associa-se à mesma equipa de segurança Windows que cria linhas de segurança de política de grupo. Estas recomendações baseiam-se na orientação e na vasta experiência.
• Se és novo no Intune, e não sabes por onde começar, então as linhas de segurança dão-te uma vantagem. Pode criar e implementar rapidamente um perfil seguro, sabendo que está a ajudar a proteger os recursos e dados da sua organização.
• Se atualmente utilizar a política de grupo, migrar para Intune para gestão é muito mais fácil com estas linhas de base. Estas linhas de base são construídas de forma nativa para Intune, e incluem uma experiência de gestão moderna.

Windows bases de segurança é um ótimo recurso para saber mais sobre esta funcionalidade. A gestão de dispositivos móveis (MDM) é um grande recurso sobre o MDM, e o que você pode fazer em Windows dispositivos.

Linhas de base de segurança disponíveis

As seguintes instâncias de base de segurança estão disponíveis para utilização com o Intune. Utilize os links para visualizar as definições para a instância mais recente de cada linha de base.

• Linha de Base de Segurança DO MDM

  • Linha de Base de Segurança do MDM para dezembro de 2020
  • Linha de Base de Segurança do MDM para agosto de 2020
  • Linha de Base de Segurança DO MDM para maio de 2019
  • Pré-visualização: Linha de Base de Segurança do MDM para outubro de 2018

• Microsoft Defender para linha de base Endpoint
  (Para utilizar esta linha de base, o seu ambiente deve satisfazer os requisitos necessários para a utilização do Microsoft Defender para o Endpoint).

  • Microsoft Defender para linha de base Endpoint para dezembro de 2020 - versão 6
  • Microsoft Defender para linha de base Endpoint para agosto de 2020 - versão 5
  • Microsoft Defender para linha de base Endpoint para abril de 2020 - versão 4
  • Microsoft Defender para linha de base Endpoint para março de 2020 - versão 3

  Nota

  A linha de base de segurança Microsoft Defender for Endpoint foi otimizada para dispositivos físicos e não é atualmente recomendada para utilização em máquinas virtuais (VMs) ou pontos finais VDI. Certas definições de base podem ter impacto em sessões interativas remotas em ambientes virtualizados. Para obter mais informações, consulte Aumentar a conformidade com o Microsoft Defender para a linha de base de segurança Endpoint na documentação Windows.

• Microsoft Edge Linha de base

  • Microsoft Edge linha de base para setembro de 2020 (Versão Edge 85 e posterior)
  • Microsoft Edge linha de base para abril de 2020 (Versão edge 80 e mais tarde)
  • Pré-visualização: Microsoft Edge linha de base para outubro de 2019 (Versão Edge 77 e posterior)

Depois de uma nova versão para lançamentos de perfis, as definições nos perfis com base nas versões mais antigas tornam-se apenas para ler. Pode continuar a usar esses perfis mais antigos, incluindo editar o seu nome, descrição e atribuições, mas não poderá editar definições para eles ou criar novos perfis com base nas versões mais antigas.

Quando estiver pronto para usar a versão mais recente de uma linha de base, pode criar novos perfis ou atualizar os perfis existentes para a nova versão. Consulte alterar a versão de base para um perfil no artigo de perfis de base de segurança Gerir.

Sobre versões e instâncias de base

Cada nova versão de uma linha de base pode adicionar ou remover definições ou introduzir outras alterações. Por exemplo, à medida que novas configurações de Windows 10 se tornarem disponíveis com novas versões de Windows 10, o MDM Security Baseline poderá receber uma nova versão que inclui as definições mais recentes.

No centro de administração Microsoft Endpoint Manager,sob as linhas de base de segurança endpoint, > você verá uma lista das linhas de base disponíveis. A lista inclui:

• O nome do modelo de base.
• Quantos perfis tens que usam esse tipo de linha de base.
• Quantas instâncias separadas (versões) do tipo de linha de base estão disponíveis.
• Uma última data publicada que identifica quando a versão mais recente do modelo de base ficou disponível.

Para visualizar mais informações sobre as versões de base que utiliza, selecione um tipo de linha de base, como a Linha de Base de Segurança DO MDM para abrir o painel de perfis e, em seguida, selecione Versões. Intune exibe detalhes sobre as versões dessa linha de base que estão a ser utilizadas pelos seus perfis. Os detalhes incluem a versão mais recente e atual da linha de base. Pode selecionar uma única versão para visualizar detalhes mais profundos sobre os perfis que utilizam essa versão.

Pode optar por alterar a versão de uma linha de base que está em uso com um determinado perfil. Quando mudas a versão, não tens de criar um novo perfil de base para tirar partido das versões atualizadas. Em vez disso, pode selecionar um perfil de base e utilizar a opção incorporada para alterar a versão de exemplo para esse perfil para um novo.

Compare as versões de base

No painel de versões para uma linha de base de segurança está uma lista de cada versão desta linha de base que implementou. Esta lista também inclui a versão mais recente e ativa da linha de base. Quando cria um novo perfil de base de segurança, o perfil utiliza a versão mais recente da linha de base de segurança. Pode continuar a utilizar perfis baseados em versões mais antigas, incluindo a edição do seu nome, descrição e atribuições, mas não poderá editar definições para as versões de perfil mais antigas.

Para entender o que mudou entre versões, selecione as caixas de verificação para duas versões diferentes e, em seguida, selecione Compare linhas de base. Em seguida, é solicitado a descarregar um ficheiro CSV que detalha essas diferenças.

O download identifica cada definição nas duas versões de base, e observa se esta definição mudou (notEqual) ou se manteve a mesma (igual). Os detalhes também incluem o valor padrão para a definição por versão, e se a definição foi adicionada à versão mais recente, ou removida da versão mais recente.

Evitar conflitos

Pode utilizar uma ou mais das linhas de base disponíveis no seu ambiente Intune ao mesmo tempo. Também pode usar várias instâncias das mesmas linhas de segurança que têm diferentes personalizações.

Quando utilizar várias linhas de segurança, reveja as definições em cada uma para identificar quando as suas diferentes configurações de base introduzem valores contraditórios para a mesma definição. Uma vez que pode implementar linhas de base de segurança que são projetadas para diferentes intenções, e implementar múltiplas instâncias da mesma linha de base que incluem configurações personalizadas, pode criar conflitos de configuração para dispositivos que devem ser investigados e resolvidos.

Além disso, as linhas de base de segurança geralmente gerem as mesmas definições que pode definir com perfis de configuração do dispositivo ou outros tipos de política. Por isso, mantenha-se atento e considere as suas políticas e perfis adicionais para configurações quando procura evitar ou resolver conflitos.

Utilize as informações nos seguintes links para ajudar a identificar e resolver conflitos:

• Resolução de problemas de políticas e perfis no Intune
• Monitorize as suas linhas de segurança

Perguntas e Respostas

Por que estas configurações?

A equipa de segurança da Microsoft tem anos de experiência a trabalhar diretamente com Windows desenvolvedores e a comunidade de segurança para criar estas recomendações. As definições nesta linha de base são consideradas as opções de configuração mais relevantes relacionadas com a segurança. Em cada nova construção de Windows, a equipa ajusta as suas recomendações com base em funcionalidades recém-lançadas.

Existe uma diferença nas recomendações relativas a Windows linhas de base de segurança para a política de grupo vs. Intune?

A mesma equipa de segurança da Microsoft escolheu e organizou as definições para cada linha de base. Intune inclui todas as definições relevantes na linha de base de segurança Intune. Existem algumas definições na linha de base da política de grupo que são específicas para um controlador de domínio no local. Estas definições estão excluídas das recomendações da Intune. Todas as outras configurações são as mesmas.

As linhas de base de segurança Intune ICS ou NIST estão em conformidade?

Em rigor, não. A equipa de segurança da Microsoft consulta organizações, como o CIS, para compilar as suas recomendações. Mas não há um mapeamento um-para-um entre as linhas de base "compatível com o CIS" e a Microsoft.

Que certificações têm as linhas de base de segurança da Microsoft?

• A Microsoft continua a publicar linhas de segurança para políticas de grupo (GPOs) e o Kit de Ferramentas de Conformidadede Segurança , como tem vindo a publicar há muitos anos. Estas linhas de base são usadas por muitas organizações. As recomendações nestas linhas de base são do envolvimento da equipa de segurança da Microsoft com clientes empresariais e agências externas, incluindo o Departamento de Defesa (DoD), Instituto Nacional de Normas e Tecnologia (NIST), e muito mais. Partilhamos as nossas recomendações e linhas de base com estas organizações. Estas organizações também têm as suas próprias recomendações que espelham de perto as recomendações da Microsoft. À medida que a gestão de dispositivos móveis (MDM) continua a crescer na nuvem, a Microsoft criou recomendações equivalentes de MDM destas linhas de base de política de grupo. Estas linhas de base adicionais são incorporadas para Microsoft Intune, e incluem relatórios de conformidade sobre utilizadores, grupos e dispositivos que seguem (ou não seguem) a linha de base.

• Muitos clientes estão a usar as recomendações de base do Intune como ponto de partida e, em seguida, personalizando-as para atender às suas exigências de TI e segurança. O Windows 10 RS5 MDM Security Baseline da Microsoft é a primeira linha de base a ser lançada. Esta linha de base é construída como uma infraestrutura genérica que permite que os clientes eventualmente importem outras linhas de base de segurança com base em CIS, NIST, e outros padrões. Atualmente, está disponível para Windows e acabará por incluir iOS/iPadOS e Android.

• Migrar das políticas do grupo Ative Directory para uma solução de nuvem pura usando Azure Ative Directory (AD) com Microsoft Intune é uma viagem. Para ajudar, utilize as várias ferramentas do Kit de Ferramentas de Conformidade de Segurança que podem ajudá-lo a identificar opções baseadas na nuvem a partir de linhas de base de segurança que podem substituir as configurações de GPO no local.

Passos seguintes

• Criar perfis de base de segurança

• Verifique o estado e monitorize a linha de base e o perfil

• Veja as definições nas versões mais recentes das linhas de base disponíveis:

  • Linha de base de segurança DO MDM
  • Microsoft Defender para linha de base Endpoint