Gerir perfis de base de segurança em Microsoft Intune

Gerencie perfis para linhas de base de segurança para ajudar a proteger e proteger os seus utilizadores e dispositivos. As linhas de base de segurança são grupos pré-configurados de definições Windows que representam a postura de segurança recomendada pelas equipas de segurança relevantes. Pode implementar uma linha de base padrão (não modificada) ou criar um perfil personalizado para impor as definições que necessita para o seu ambiente.

Quando cria um perfil de base de segurança no Intune, está a criar um modelo que consiste em várias definições de configuração do dispositivo.

Esta funcionalidade aplica-se a:

• Windows 10 versão 1809 e mais tarde

Consulte a lista das linhas de base de segurança disponíveis.

As tarefas comuns ao trabalhar com bases de segurança incluem:

• Criar um perfil – Configurar as definições que pretende utilizar e atribuir a linha de base aos grupos.
• Alterar a versão - Alterar a versão de base em uso por um perfil.
• Remover uma atribuição de linha de base - Saiba o que acontece quando deixa de gerir as definições com uma linha de base de segurança.

Pré-requisitos

• Para gerir as linhas de base em Intune, a sua conta deve ter o papel de Gestor de Política e Perfil integrado.

• A utilização de algumas linhas de base poderá exigir que tenha uma subscrição ativa de serviços adicionais, como o Microsoft Defender para Endpoint.

Criar o perfil

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione linhas de segurança endpoint > para visualizar a lista de linhas de base disponíveis.

   

3. Selecione a linha de base que pretende utilizar e, em seguida, selecione Criar perfil.

4. No separador Básicos, especifique as seguintes propriedades:

   • Nome: Introduza um nome para o seu perfil de linha de base de segurança. Por exemplo, introduza o perfil Standard para Defender para Endpoint.

   • Descrição: Introduza algum texto que descreva o que esta linha de base faz. A descrição é para que introduza qualquer texto que queira. É opcional, mas recomendado.

   Selecione Next para ir para o separador seguinte. Depois de avançar para um novo separador, pode selecionar o nome do separador para voltar a um separador previamente visualizado.

5. No separador Definições de Configuração, veja os grupos de Definições que estão disponíveis na linha de base selecionada. Pode expandir um grupo para visualizar as definições desse grupo e os valores padrão para as definições na linha de base. Para encontrar configurações específicas:

   • Selecione um grupo para expandir e rever as definições disponíveis.
   • Utilize a barra de pesquisa e especifique palavras-chave que filtram a vista para exibir apenas os grupos que contêm os seus critérios de pesquisa.

   Cada definição numa linha de base tem uma configuração padrão para a versão de base. Reconfigure as definições padrão para atender às necessidades do seu negócio. Diferentes linhas de base podem conter a mesma definição e utilizar diferentes valores predefinidos para a definição, dependendo da intenção da linha de base.

   

6. No separador 'Etiquetas', selecione Selecione as etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.

7. No separador Atribuições, selecione Selecione grupos para incluir e, em seguida, atribua a linha de base a um ou mais grupos. Utilize grupos selecionados para excluir para afinar a atribuição.

   

8. Quando estiver pronto para implementar a linha de base, avance para o separador Review + crie e reveja os detalhes da linha de base. Selecione Criar para guardar e implementar o perfil.

   Assim que criar o perfil, é empurrado para o grupo designado e pode aplicar-se imediatamente.

   Dica

   Se guardar um perfil sem antes atribuí-lo a grupos, poderá editar mais tarde o perfil para o fazer.

   

9. Depois de criar um perfil, edite-o indo para > as linhas de base de segurança endpoint, selecione o tipo de linha de base que configura e, em seguida, selecione Perfis. Selecione o perfil da lista de perfis disponíveis e, em seguida, selecione Propriedades. Pode editar as definições de todos os separadores de configuração disponíveis e selecionar Rever + guardar para cometer as suas alterações.

Alterar a versão de base para um perfil

Quando for lançada uma nova versão para uma linha de base, planeie atualizar os perfis existentes para a nova versão:

• Os perfis existentes não atualizam automaticamente as novas versões.
• Definições em perfis de base que não usam a versão mais recente tornam-se apenas para ler. Pode continuar a usar esses perfis mais antigos, incluindo editar o seu nome, descrição e atribuições, mas não poderá editar definições para eles ou criar novos perfis com base nas versões mais antigas.

Recomendamos que teste a atualização da versão numa cópia dos seus perfis existentes antes de atualizar os seus perfis ao vivo.

Quando muda a versão de perfil:

• Selecione a última instância da mesma linha de base. Não é possível alterar entre dois tipos de linha de base diferentes, como alterar um perfil de usar uma linha de base para Defender para Endpoint para usar a linha de base de segurança MDM.

• Tem a opção de descarregar um ficheiro CSV que lista as alterações entre as duas versões de base envolvidas.

• Escolhe como atualizar o perfil:

  • Pode manter todas as suas personalizações a partir da versão original da linha de base.
  • Pode optar por utilizar os valores predefinidos para todas as definições na nova versão de base.

  Não tem a opção de alterar apenas algumas definições num perfil durante a atualização.

Durante a conversão:

• São adicionadas novas definições que não estavam na versão mais antiga que estava a usar. Quaisquer novas definições da nova versão utilizarão os seus valores predefinidos.

• Definições que não estão na nova versão de base que seleciona são removidos e já não são aplicados por este perfil de base de segurança.

  Quando uma definição já não é gerida por um perfil de base, esta definição não é reiniciada no dispositivo. Em vez disso, a definição do dispositivo permanece definida para a sua última configuração até que algum outro processo gere a definição para alterá-lo. Exemplos de processos que podem alterar uma definição depois de deixar de o gerir incluem um perfil de base diferente, uma definição de política de grupo ou configuração manual que é feita no dispositivo.

Após a conversão para a nova versão de base:

• A linha de base reimplantia imediatamente para grupos designados.
• Pode editar a linha de base para alterar as definições individuais.

Testar a conversão e a linha de base atualizada

Antes de atualizar um perfil de base para uma nova versão, crie uma cópia do mesmo para que possa testar a nova versão do seu perfil num grupo de dispositivos. Consulte a Duplicate uma linha de base de segurança mais tarde neste artigo.

• Quando se cria uma cópia, as atribuições de grupo não estão incluídas. Isto significa que a sua cópia de base não será implantada em nenhum dispositivo no momento em que então faz uma cópia, ou no momento em que a atualize para uma nova versão.
• Depois de atualizar o perfil para a versão mais recente, pode editar as suas definições. Pode atribuir a cópia atualizada a um grupo de dispositivos e editá-la para introduzir alterações nas definições individuais no perfil.

Para alterar a versão de base para um perfil

Antes de atualizar a versão de um perfil atribuído a grupos, teste a atualização da versão numa cópia de perfil para que possa validar as novas definições de linha de base no grupo de teste dos dispositivos.

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione > linhas de base de segurança de ponta de final e, em seguida, selecione o azulejo para o tipo de linha de base que tem o perfil que pretende alterar.

3. Em seguida, selecione Perfis e, em seguida, selecione a caixa de verificação para o perfil que pretende editar e, em seguida, selecione Change Version.

   

4. No painel 'Versão 'Alterar', utilize a linha de base de segurança para atualizar para o dropdown e selecione a instância de versão que pretende utilizar.

   

5. Selecione a atualização de Rever para descarregar um ficheiro CSV que apresente a diferença entre a versão atual dos perfis e a nova versão que selecionou. Reveja este ficheiro para que compreenda quais as definições novas ou removidas e quais os valores padrão destas definições no perfil atualizado.

   Quando estiver pronto, continue para o próximo passo.

6. Escolha uma das duas opções para Selecionar um método para atualizar o perfil:

   • Aceite alterações de linha de base mas mantenha as minhas personalizações de definição existentes - Esta opção mantém as personalizações que fez no perfil de base e aplica-as à nova versão que selecionou para utilizar.
   • Aceite alterações de linha de base e elimine as personalizações de definição existentes - Esta opção substitui completamente o seu perfil original. O perfil atualizado utilizará os valores predefinidos para todas as definições.

7. Selecione Submeter. O perfil atualiza para a versão de base selecionada e após a conversão estar concluída, a linha de base imediatamente reimplanta para grupos atribuídos.

Remover uma atribuição de linha de base de segurança

Quando uma definição de linha de base de segurança já não se aplica a um dispositivo, ou as definições numa linha de base são definidas para Não configuradas, essas definições num dispositivo não revertem para uma configuração pré-gerida. Em vez disso, as definições previamente geridas no dispositivo mantêm as suas últimas configurações recebidas da linha de base até que algum outro processo atualize essas definições no dispositivo.

Outros processos que poderão posteriormente alterar as definições no dispositivo incluem uma linha de base de segurança diferente ou nova, o perfil de configuração do dispositivo, as configurações da Política de Grupo ou a edição manual da definição no dispositivo.

Duplicar uma linha de base de segurança

Pode criar duplicados das suas linhas de segurança. Duplicar uma linha de base pode ser útil quando se pretende atribuir uma linha de base semelhante, mas distinta, a um subconjunto de dispositivos. Ao criar uma duplicata, não precisará de recriar manualmente toda a linha de base. Em vez disso, pode duplicar qualquer uma das suas linhas de base atuais e, em seguida, introduzir apenas as alterações que a nova instância requer. Só pode alterar uma definição específica e o grupo a que a linha de base é atribuída.

Quando criar uma duplicata, dará à cópia um novo nome. A cópia é feita com as mesmas configurações de definição e etiquetas de âmbito que as originais, mas não terá nenhuma atribuição. Terá de editar a nova linha de base para adicionar atribuições.

Todas as linhas de base de segurança suportam a criação de uma duplicação.

Depois de duplicar uma linha de base, reveja e edite a nova instância para fazer alterações na sua configuração.

Para duplicar uma linha de base

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
2. Vá para linhas de segurança endpoint > Security, selecione o tipo de linha de base que pretende duplicar e, em seguida, selecione Perfis.
3. Clique com o botão direito no perfil que pretende duplicar e selecionar Duplicado, ou selecione a elipse (...) à direita da linha de base e selecione Duplicate.
4. Forneça um novo nome para a linha de base e, em seguida, selecione Save.

Depois de um Refresh, o novo perfil de base aparece no centro de administração.

Para editar uma linha de base

1. Selecione a linha de base e, em seguida, selecione Propriedades.

2. A partir desta vista pode selecionar Editar para as seguintes categorias para modificar o perfil:

   • Noções básicas
   • Atribuições
   • Scope tags (Etiquetas de âmbito)
   • Definições de configuração

   Só é possível editar as definições de configuração de perfis quando esse perfil utilizar a versão mais recente dessa linha de base de segurança. Para perfis que usam versões mais antigas, pode expandir Definições para visualizar a configuração das definições no perfil, mas não pode modificá-las. Depois de um perfil ser atualizado para a versão de base mais recente, poderá editar as definições de perfis.

3. Depois de escoar as alterações, selecione Guardar para guardar as suas edições. Guarde as edições para uma categoria antes de introduzir edições em categorias adicionais.

Versões de base mais antigas

Microsoft Endpoint Manager atualiza as versões de Bases de Segurança incorporadas dependendo das necessidades em mudança de uma organização típica. Cada nova versão resulta numa atualização de versão para uma determinada linha de base. A expectativa é que os clientes utilizem a versão mais recente como ponto de partida para os seus perfis de Configuração de Dispositivos.

Quando já não houver perfis que utilizem uma linha de base mais antiga listada no seu inquilino, Microsoft Endpoint Manager apenas listará a versão mais recente disponível.

Se tiver um perfil associado a uma linha de base mais antiga, essa linha de base mais antiga continuará a ser listada.

Dispositivos cogeridos

As linhas de segurança em dispositivos geridos pelo Intune são semelhantes a dispositivos cogeridos com o Gestor de Configuração. Os dispositivos cogeridos utilizam o Gestor de Configuração e Microsoft Intune para gerir simultaneamente os dispositivos Windows 10. Permite-lhe anexar o investimento do Gestor de Configuração existente aos benefícios do Intune. A visão geral da cogestão é um ótimo recurso se usar o Gestor de Configuração, e também quiser os benefícios da nuvem.

Ao utilizar dispositivos cogeridos, deve mudar a carga de trabalho de configuração do dispositivo (as suas definições) para Intune. As cargas de trabalho de configuração do dispositivo fornecem mais informações.

Passos seguintes

• Verifique o estado e monitorize a linha de base e o perfil

• Veja as definições nas versões mais recentes das linhas de base disponíveis:

  • Linha de base de segurança DO MDM
  • Microsoft Defender para linha de base Endpoint
  • Microsoft Edge Linha de base