Políticas de Conformidade no Configuration Manager
Aplica-se A: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
As informações deste tópico aplicam-se apenas ao System Center 2012 Configuration Manager SP1 ou posterior e ao System Center 2012 R2 Configuration Manager ou posterior.
As políticas de conformidade do Gestor de configuração definem as regras e as definições que um dispositivo tem de cumprir para ser considerado conforme com as políticas de acesso condicional. Também pode utilizar as políticas de conformidade para monitorizar e resolver problemas de conformidade com dispositivos independentemente do acesso condicional.
Importante |
---|
As políticas de conformidade só se aplicam aos dispositivos geridos pelo Microsoft Intune. |
Estas regras incluem:
PINs e palavras-passe
Encriptação
Se o dispositivo está desbloqueado por jailbrake ou rooting
Se o e-mail no dispositivo é gerido por uma política do Intune
Versão mínima de SO obrigatória - normalmente, depende das políticas de conformidade da empresa e requisitos de segurança. Ajuda a evitar o acesso aos dispositivos que poderão ter vulnerabilidades de segurança por estarem a utilizar uma versão mais antiga do SO.
Versão do SO máxima permitida - pode optar por não suportar a versão mais recente do SO disponível antes dos testes ou por outros motivos. Pode optar por bloquear dispositivos que tenham uma versão posterior à especificada. O dispositivo só conseguirá aceder aos recursos de empresa depois de a política ser alterada.
Nota
Para utilizar as regras de Versão Mínima ou Máxima do SO, tem de utilizar a Extensão de acesso condicional mais recente para o System Center 2012 R2 Configuration Manager SP1.
Nota
-
Em PCs Windows, versão 8.1 do Sistema Operativo Windows é reportada como 6.3 em vez de 8.1. Se a regra de versão do SO estiver definida como Windows 8.1 para o Windows, o dispositivo será reportado como não conforme mesmo que tenha o sistema operativo Windows 8.1. Certifique-se de que define a versão reportada correta do Windows para as regras de SO Mínimo e Máximo. O número de versão tem de corresponder à versão devolvida pelo comando winver.
Os dispositivos Windows Phone não têm este problema; a versão é reportada como 8.1 conforme esperado.
-
Nos PCs Windows com o sistema operativo Windows 10, a versão deve ser definida como "10.0" + o número de Compilação do SO devolvido pelo comando winver. Por exemplo, poderia ser semelhante a 10.0.10586.
O Windows 10 Mobile não tem este problema.
As políticas de conformidade são implementas em coleções de utilizadores. Quando uma política de conformidade é implementada num utilizador, todos os dispositivos do utilizador são verificados relativamente à conformidade.
A tabela seguinte lista os tipos de dispositivos suportados pelas políticas de conformidade e como são geridas as definições não conformes quando as políticas são utilizadas com uma política de acesso condicional.
Tipo de dispositivo |
Configuração do PIN ou da palavra-passe |
Encriptação do dispositivo |
Dispositivo desbloqueado por jailbreak ou obtenção de controlo de raiz |
Perfil de e-mail |
Versão mínima do SO |
Versão máxima do SO |
---|---|---|---|---|---|---|
Windows 8.1 e posterior |
Corrigido |
N/D |
N/D |
N/D |
Em quarentena |
Em quarentena |
Windows Phone 8.1 e posterior |
Corrigido |
Corrigido |
N/D |
N/D |
Em quarentena |
Em quarentena |
iOS 6.0 e posterior |
Corrigido |
Corrigido (ao definir um PIN) |
Em quarentena (não é uma definição) |
Em quarentena |
Em quarentena |
Em quarentena |
Android 4.0 e posterior |
Em quarentena |
Em quarentena |
Em quarentena (não é uma definição) |
N/D |
Em quarentena |
Em quarentena |
Samsung KNOX Standard 4.0 e posterior |
Em quarentena |
Em quarentena |
Em quarentena (não é uma definição) |
N/D |
Em quarentena |
Em quarentena |
Corrigido = a conformidade é imposta pelo sistema operativo do dispositivo (por exemplo, o utilizador é forçado a definir um PIN). Nunca se dá o caso de a definição não ser conforme.
Em quarentena = o sistema operativo do dispositivo não impõe a conformidade (por exemplo, os dispositivos Android não forçam o utilizador a encriptar o dispositivo). Neste caso:
O dispositivo será bloqueado se for aplicada uma política de acesso condicional ao utilizador.
O portal da empresa ou o portal Web notificará o utilizador sobre eventuais problemas de conformidade.
Passo 1: Criar uma política de conformidade
-
Na consola do Gestor de configuração, clique em Ativos e Conformidade.
-
Na área de trabalho Ativos e Conformidade, expanda Definições de Conformidade e clique em Políticas de Conformidade.
-
No separador Home Page, no grupo Criar, clique em Criar Política de Conformidade.
-
Na página Geral do Assistente para Criar Política de Conformidade, especifique as seguintes informações:
Definição
Mais informações
Nome
Introduza um nome exclusivo para a política de conformidade. Pode utilizar até 256 carateres.
Descrição
Introduza uma descrição que apresente uma perspetiva geral do perfil VPN e que ajude a identificá-lo na consola do Gestor de configuração. Pode utilizar até 256 carateres.
Gravidade de não conformidade para relatórios
Especifica o nível de gravidade comunicado se esta política de compatibilidade for avaliada como incompatível. Os níveis de gravidade disponíveis são os seguintes:
Nenhum Os dispositivos que não cumpram esta regra de compatibilidade não comunicam uma gravidade de falha para os relatórios do Gestor de configuração.
Informações Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Informações para os relatórios do Gestor de configuração.
Aviso Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Aviso para os relatórios do Gestor de configuração.
Crítico Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Crítica para os relatórios do Gestor de configuração.
Crítico com evento Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Crítica para os relatórios do Gestor de configuração. Este nível de gravidade é também registado como um evento do Windows no registo de eventos da aplicação.
-
Na página Plataformas Suportadas, selecione as plataformas de dispositivos nas quais esta política de conformidade será avaliada ou clique em Selecionar tudo para escolher todas as plataformas de dispositivos.
-
Na página Regras, pode definir uma ou mais regras que definem a configuração que os dispositivos têm de ter para serem avaliados como conformes. A tabela seguinte mostra as regras disponíveis. Quando cria uma política de conformidade, algumas regras são ativadas por predefinição, mas pode editá-las ou eliminá-las.
Nome da regra
Mais informações
Plataformas suportadas
Exigir definições de palavra-passe em dispositivos móveis
Requer que os utilizadores introduzam uma palavra-passe antes de poderem aceder ao respetivo dispositivo.
(Ativado por predefinição)
Windows Phone 8 e posterior
iOS 6 e posterior
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
Permitir palavras-passe simples
Permitir aos utilizadores criar palavras-passe simples, como «1234» ou «1111».
(Desativado por predefinição)
Windows Phone 8 e posterior
iOS 6 e posterior
Comprimento mínimo da palavra-passe1
Especifica o número mínimo de dígitos ou carateres que a palavra-passe do utilizador deve ter.
(6 por predefinição)
Windows Phone 8 e posterior
Windows 8,1
iOS 6 e posterior
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
Encriptação de ficheiros em dispositivo móvel
Requer que o dispositivo seja encriptado para se ligar aos recursos.
Os dispositivos que executam o Windows Phone 8 são encriptados automaticamente.
Importante Os dispositivos que executam o iOS são encriptados quando configura a definição Exigir definições de palavra-passe em dispositivos móveis.
(Ativado por predefinição)
Windows Phone 8 e posterior
Windows 8,1
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
O dispositivo não deve ser desbloqueado por jailbreak ou obtenção de controlo de raiz
Se estiver ativado, os dispositivos desbloqueados por jailbreak (iOS) ou por obtenção de controlo de raiz (Android) não estarão em conformidade.
(Desativado por predefinição)
iOS 6 e posterior
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
O perfil de e-mail tem de ser gerido pelo Intune
Se esta opção estiver definida como Sim, o dispositivo tem de utilizar o perfil de e-mail implementado no dispositivo. O dispositivo é considerado não conforme nas seguintes situações:
O perfil de e-mail também tem de ser implementado no mesmo grupo de utilizadores como grupo de utilizadores visado pela política de conformidade; caso contrário, os dispositivos dos utilizadores serão considerados não conformes.
O dispositivo será considerado como não conforme se o utilizador tiver configurado uma conta de e-mail no dispositivo que corresponda ao perfil de e-mail do Intune implementado no dispositivo.
O Intune não pode substituir o perfil aprovisionado pelo utilizador, pelo que não o consegue gerir. Para garantir a conformidade, o utilizador tem de remover as definições de e-mail existentes e o Intune poderá, então, instalar o perfil de e-mail gerido.
Para detalhes sobres os perfis de e-mail, consulte Ativar acesso ao e-mail empresarial utilizando perfis de e-mail com o Microsoft Intune.
(Desativado por predefinição)
iOS 6 e posterior
Perfil de e-mail
Se a opção Conta de e-mail tem de ser gerida pelo Intune estiver selecionada, clique em Selecionar para escolher o perfil de e-mail através do qual os dispositivos têm de ser geridos. O perfil de e-mail tem de estar presente no dispositivo.
iOS 6 e posterior
SO Mínimo obrigatório
Quando um dispositivo não cumpre o requisito de versão mínima do SO, será reportado como não conforme. Será apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo para poder aceder aos recursos de empresa.
Windows Phone 8 e posterior
Windows 8,1
iOS 6 e posterior
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
Versão máxima de SO permitida
Quando um dispositivo está a utilizar uma versão do SO posterior à especificada na regra, o acesso aos recursos da empresa é bloqueado e é pedido ao utilizador que contacte o administrador de TI. Até a regra ser alterada para permitir a versão do SO, este dispositivo não pode ser utilizado no acesso aos recursos da empresa.
Windows Phone 8 e posterior
Windows 8,1
iOS 6 e posterior
Android 4.0 e posterior
Samsung KNOX Standard 4.0 e posterior
1 Para dispositivos que executam o Windows e estão protegidos com uma Conta Microsoft, a política de conformidade não será avaliada corretamente se o Comprimento mínimo da palavra-passe for maior que oito carateres ou se o Número mínimo de conjuntos de carateres for maior que dois.
-
Na página Resumo do assistente, reveja as definições efetuadas e conclua o assistente.
A nova política é apresentada no nó Políticas de Conformidade da área de trabalho Ativos e Conformidade.
Implementar uma política de conformidade
-
Na consola do Gestor de configuração, clique em Ativos e Conformidade.
-
Na área de trabalho Ativos e Conformidade, expanda Definições de Conformidade e clique em Políticas de Conformidade.
-
No separador Home Page, no grupo Implementação, clique em Implementar.
-
Na caixa de diálogo Implementar Política de Conformidade, clique em Procurar para selecionar a coleção de utilizadores na qual a política será implementada.
Além disso, pode selecionar opções de geração de alertas quando a política não está em conformidade, bem como configurar a agenda com base na qual a política será avaliada em termos de conformidade.
-
Quando tiver terminado, clique em OK.
Monitorizar a política de conformidade
Para ver os resultados de conformidade na consola do Configuration Manager
-
Na consola do Gestor de configuração, clique em Monitorização.
-
Na área de trabalho Monitorização, clique em Implementações.
-
Na lista Implementações, selecione a implementação de política de conformidade cujas informações de conformidade pretende rever.
-
Poderá rever as informações de resumo sobre a conformidade da implementação da política na página principal. Para ver informações mais detalhadas, selecione a implementação e, no separador Home Page, no grupo Implementação, clique em Ver Estado para abrir a página Estado da Implementação.
A página Estado da Implementação contém os seguintes separadores:
- **Conforme:** apresenta a conformidade da política com base no número de ativos afetados. Pode clicar numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos conformes com esta regra. O painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos conformes com a política. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar informações adicionais. - **Erro**: apresenta uma lista de todos os erros da implementação da política selecionada com base no número de ativos afetados. Pode fazer duplo clique numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos que geraram erros com esta regra. Quando seleciona um utilizador ou dispositivo, o painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos que são afetados pelo problema selecionado. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar informações adicionais sobre o problema. - **Não conforme:** apresenta uma lista de todas as regras de não conformidade na política com base no número de ativos afetados. Pode clicar numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos não conformes com esta regra. Quando seleciona um utilizador ou dispositivo, o painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos que são afetados pelo problema selecionado. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar mais informações sobre o problema. - **Desconhecido:** apresenta uma lista de todos os utilizadores e dispositivos que não reportaram conformidade para a implementação da política selecionada, juntamente com o estado atual do cliente dos dispositivos.
Próximos Passos
Agora, pode utilizar a política de conformidade com políticas de acesso condicional para controlar o acesso aos serviços da sua organização.