Gerir dispositivos com a Descrição Geral do Intune

  • Artigo

Um componente principal da segurança ao nível da empresa inclui a gestão e proteção de dispositivos. Quer esteja a criar uma arquitetura de segurança Confiança Zero, a proteger o seu ambiente contra ransomware ou a criar proteções para suportar trabalhadores remotos, a gestão de dispositivos faz parte da estratégia. Embora o Microsoft 365 inclua várias ferramentas e metodologias para gerir e proteger dispositivos, esta documentação de orientação explica as recomendações da Microsoft através de Microsoft Intune. Esta é a documentação de orientação certa para si se:

  • Planeie inscrever dispositivos no Intune através da associação Microsoft Entra (incluindo Microsoft Entra associação híbrida).
  • Planeie inscrever manualmente dispositivos no Intune.
  • Permitir que dispositivos BYOD com planos implementem proteção para aplicações e dados e/ou inscrevam estes dispositivos para Intune.

Por outro lado, se o seu ambiente incluir planos de cogestão, incluindo Microsoft Configuration Manager, veja Documentação de cogestão para desenvolver o melhor caminho para a sua organização. Se o seu ambiente incluir planos para PC na Nuvem do Windows 365, consulte Windows 365 Enterprise documentação para desenvolver o melhor caminho para a sua organização.

Veja este vídeo para obter uma descrição geral do processo de implementação.

Porquê gerir pontos finais?

A empresa moderna tem uma incrível diversidade de pontos finais que acedem aos seus dados. Esta configuração cria uma superfície de ataque massiva e, como resultado, os pontos finais podem facilmente tornar-se a ligação mais fraca na sua estratégia de segurança Confiança Zero.

Maioritariamente impulsionados pela necessidade à medida que o mundo mudava para um modelo de trabalho remoto ou híbrido, os utilizadores estão a trabalhar a partir de qualquer lugar, a partir de qualquer dispositivo, mais do que em qualquer altura da história. Os atacantes estão a ajustar rapidamente as suas táticas para tirar partido desta alteração. Muitas organizações enfrentam recursos restritos à medida que navegam nestes novos desafios empresariais. Virtualmente de um dia para o outro, as empresas aceleraram a transformação digital. Resumidamente, a forma como as pessoas trabalham mudou. Já não esperamos aceder à miríade de recursos empresariais apenas a partir do escritório e em dispositivos pertencentes à empresa.

Obter visibilidade sobre os pontos finais que acedem aos seus recursos empresariais é o primeiro passo na sua estratégia de dispositivo Confiança Zero. Normalmente, as empresas são proativas na proteção de PCs contra vulnerabilidades e ataques, enquanto os dispositivos móveis muitas vezes não são monitorizados e sem proteções. Para garantir que não está a expor os seus dados a riscos, temos de monitorizar todos os pontos finais relativamente a riscos e utilizar controlos de acesso granulares para fornecer o nível de acesso adequado com base na política organizacional. Por exemplo, se um dispositivo pessoal for desbloqueado por jailbreak, pode bloquear o acesso para garantir que as aplicações empresariais não são expostas a vulnerabilidades conhecidas.

Esta série de artigos explica um processo recomendado para gerir dispositivos que acedem aos seus recursos. Se seguir os passos recomendados, a sua organização obterá uma proteção muito sofisticada para os seus dispositivos e os recursos a que acedem.

Implementar as camadas de proteção em e para dispositivos

Proteger os dados e as aplicações nos dispositivos e nos próprios dispositivos é um processo de várias camadas. Existem algumas proteções que pode obter em dispositivos não geridos. Depois de inscrever dispositivos na gestão, pode implementar controlos mais sofisticados. Quando a proteção contra ameaças é implementada nos seus pontos finais, ganha ainda mais informações e a capacidade de remediar automaticamente alguns ataques. Por fim, se a sua organização tiver colocado o trabalho na identificação de dados confidenciais, na aplicação de classificações e etiquetas e na configuração de políticas de Prevenção de Perda de Dados do Microsoft Purview, pode obter proteção ainda mais granular para dados nos seus pontos finais.

O diagrama seguinte ilustra os blocos modulares para alcançar uma postura de segurança Confiança Zero para o Microsoft 365 e outras aplicações SaaS que introduz neste ambiente. Os elementos relacionados com os dispositivos são numerados de 1 a 7. Os administradores de dispositivos serão coordenados com outros administradores para realizar estas camadas de proteção.

desc.

Nesta ilustração:

  Passo Descrição Requisitos de licenciamento
1 Configurar o ponto de partida Confiança Zero políticas de identidade e acesso de dispositivos Trabalhe com o seu administrador de identidade para Implementar a proteção de dados de Políticas de Proteção de Aplicações de Nível 2 (APP). Estas políticas não requerem que faça a gestão de dispositivos. Pode configurar as políticas de APLICAÇÃO no Intune. O administrador de identidade configura uma política de Acesso Condicional para exigir aplicações aprovadas. E3, E5, F1, F3, F5
2 Inscrever dispositivos para Intune Esta tarefa requer mais planeamento e tempo para implementar. A Microsoft recomenda a utilização de Intune para inscrever dispositivos, uma vez que esta ferramenta proporciona uma integração ideal. Existem várias opções para inscrever dispositivos, consoante a plataforma. Por exemplo, os dispositivos Windows podem ser inscritos através de Microsoft Entra associação ou através do Autopilot. Tem de rever as opções de cada plataforma e decidir qual a melhor opção de inscrição para o seu ambiente. Consulte o Passo 2. Inscreva dispositivos para Intune para obter mais informações. E3, E5, F1, F3, F5
3 Configurar políticas de conformidade Quer ter a certeza de que os dispositivos que estão a aceder às suas aplicações e dados cumprem os requisitos mínimos, por exemplo, os dispositivos têm palavra-passe ou estão protegidos por pin e o sistema operativo está atualizado. As políticas de conformidade são a forma de definir os requisitos que os dispositivos têm de cumprir. Passo 3. Configurar políticas de conformidade ajuda-o a configurar estas políticas. E3, E5, F3, F5
4 Configurar políticas de identidade e acesso de dispositivos de Confiança Zero Enterprise (recomendado) Agora que os seus dispositivos estão inscritos, pode trabalhar com o seu administrador de identidade para ajustar as políticas de Acesso Condicional para exigir dispositivos em bom estado de funcionamento e em conformidade. E3, E5, F3, F5
5 Implementar perfis de configuração Ao contrário das políticas de conformidade do dispositivo que simplesmente marcam um dispositivo como conforme ou não com base nos critérios que configurar, os perfis de configuração alteram efetivamente a configuração das definições num dispositivo. Pode utilizar políticas de configuração para proteger os dispositivos contra ciberameaças. Consulte o Passo 5. Implementar perfis de configuração. E3, E5, F3, F5
6 Monitorizar o risco e a conformidade do dispositivo com linhas de base de segurança Neste passo, vai ligar Intune a Microsoft Defender para Endpoint. Com esta integração, pode monitorizar o risco do dispositivo como uma condição de acesso. Os dispositivos que se encontram num estado de risco estão bloqueados. Também pode monitorizar a conformidade com as linhas de base de segurança. Consulte o Passo 6. Monitorizar o risco e a conformidade do dispositivo com as linhas de base de segurança. E5, F5
7 Implementar a prevenção de perda de dados (DLP) com capacidades de proteção de informações Se a sua organização tiver colocado o trabalho na identificação de dados confidenciais e na etiquetagem de documentos, pode trabalhar com o seu administrador de proteção de informações para proteger informações confidenciais e documentos nos seus dispositivos. Suplemento de conformidade E5, F5

Coordenar a gestão de pontos finais com Confiança Zero políticas de identidade e acesso de dispositivos

Esta orientação é totalmente coordenada com as políticas de identidade e acesso de dispositivos recomendadas Confiança Zero. Irá trabalhar com a sua equipa de identidade para levar a cabo a proteção que configura com Intune em políticas de Acesso Condicional no Microsoft Entra ID.

Eis uma ilustração do conjunto de políticas recomendado com notas de aviso de passo para o trabalho que irá fazer no Intune e as políticas de Acesso Condicional relacionadas que irá ajudar a coordenar no Microsoft Entra ID.

Confiança Zero políticas de identidade e acesso de dispositivos.

Nesta ilustração:

  • No Passo 1, Implemente Políticas de Proteção de Aplicações (APP) de Nível 2 , configure o nível recomendado de proteção de dados com políticas de APLICAÇÃO. Em seguida, trabalha com a sua equipa de identidade para configurar a regra de Acesso Condicional relacionada para exigir a utilização desta proteção.
  • Nos Passos 2, 3 e 4, inscreve dispositivos para gestão com Intune, define políticas de conformidade de dispositivos e, em seguida, coordena com a sua equipa de identidade para configurar a regra de Acesso Condicional relacionada para permitir apenas o acesso a dispositivos conformes.

Inscrever dispositivos vs. integração de dispositivos

Se seguir esta documentação de orientação, irá inscrever dispositivos para gestão através de Intune e irá integrar dispositivos para as seguintes capacidades do Microsoft 365:

  • Microsoft Defender para Endpoint
  • Microsoft Purview (para prevenção de perda de dados de ponto final (DLP))

A ilustração seguinte detalha como funciona com Intune.

Processo de inscrição e inclusão de dispositivos.

Na ilustração:

  1. Inscrever dispositivos para gestão com Intune.
  2. Utilize Intune para integrar dispositivos no Defender para Endpoint.
  3. Os dispositivos integrados no Defender para Ponto Final também estão integrados para as funcionalidades do Microsoft Purview, incluindo o Endpoint DLP.

Tenha em atenção que apenas Intune está a gerir dispositivos. A inclusão refere-se à capacidade de um dispositivo partilhar informações com um serviço específico. A tabela seguinte resume as diferenças entre inscrever dispositivos em dispositivos de gestão e integração para um serviço específico.

  Inscrever Onboard
Descrição A inscrição aplica-se à gestão de dispositivos. Os dispositivos são inscritos para gestão com Intune ou Configuration Manager. A inclusão configura um dispositivo para trabalhar com um conjunto específico de capacidades no Microsoft 365. Atualmente, a integração aplica-se às capacidades de conformidade do Microsoft Defender para Endpoint e da Microsoft.

Em dispositivos Windows, a integração envolve alternar uma definição no Windows Defender que permite ao Defender ligar ao serviço online e aceitar políticas que se aplicam ao dispositivo.
Âmbito Estas ferramentas de gestão de dispositivos gerem todo o dispositivo, incluindo a configuração do dispositivo para cumprir objetivos específicos, como a segurança. A inclusão só afeta os serviços que se aplicam.
Método recomendado Microsoft Entra associação inscreve automaticamente dispositivos em Intune. Intune é o método preferencial para integrar dispositivos para Windows Defender para o Ponto Final e, consequentemente, as capacidades do Microsoft Purview.

Tenha em atenção que os dispositivos integrados nas capacidades do Microsoft Purview com outros métodos não são inscritos automaticamente no Defender para Endpoint.
Outros métodos Outros métodos de inscrição dependem da plataforma do dispositivo e quer seja BYOD ou gerido pela sua organização. Outros métodos para integrar dispositivos incluem, por ordem recomendada:
  • Configuration Manager
  • Outra ferramenta de gestão de dispositivos móveis (se o dispositivo for gerido por um)
  • Script local
  • Pacote de configuração VDI para integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes
  • Política de Grupo
    		•

    Aprendizagem para administradores

    Os seguintes recursos ajudam os administradores a aprender conceitos sobre como utilizar Intune.

    • Simplificar a gestão de dispositivos com Microsoft Intune módulo de preparação

      Saiba como as soluções de gestão empresarial através do Microsoft 365 fornecem às pessoas uma experiência de ambiente de trabalho segura e personalizada e ajudam as organizações a gerir facilmente as atualizações para todos os dispositivos com uma experiência de administração simplificada.

    • Avaliar Microsoft Intune

      Microsoft Intune ajuda-o a proteger os dispositivos, aplicações e dados que as pessoas na sua organização utilizam para serem produtivos. Este artigo indica-lhe como configurar Microsoft Intune. A configuração inclui rever as configurações suportadas, inscrever-se no Intune, adicionar utilizadores e grupos, atribuir licenças a utilizadores, conceder permissões de administrador e definir a autoridade de Gestão de Dispositivos Móvel (MDM).

    Passo seguinte

    Vá para o Passo 1. Implementar Políticas de Proteção de Aplicações.