Partilhar via

Gerir dispositivos com o Intune - Visão Geral

Um componente principal da segurança ao nível da empresa inclui a gestão e proteção de dispositivos. Quer esteja a construir uma arquitetura de segurança Confiança Zero, a reforçar o seu ambiente contra ransomware ou a implementar proteções para apoiar trabalhadores remotos, gerir dispositivos faz parte da estratégia. Embora o Microsoft 365 inclua várias ferramentas e metodologias para gerir e proteger dispositivos, esta orientação percorre as recomendações da Microsoft usando o Microsoft Intune. Esta é a orientação certa para si se:

  • Planeia inscrever dispositivos no Intune através do Microsoft Entra join (incluindo o Microsoft Entra hybrid join).
  • Planeie inscrever dispositivos manualmente no Intune.
  • Permita que traga os seus próprios dispositivos (BYOD) com planos para implementar proteção para aplicações e dados e/ou inscrever estes dispositivos no Intune.

Por outro lado, se o seu ambiente incluir planos para co-gestão, incluindo Microsoft Configuration Manager, consulte Documentação de co-gestão para desenvolver o melhor caminho para a sua organização. Se o seu ambiente incluir planos para Windows 365 PC na Cloud, consulte a documentação do Windows 365 Enterprise para desenvolver o melhor caminho para a sua organização.

Veja este vídeo para obter uma descrição geral do processo de implementação.

Porquê gerir pontos finais?

A empresa moderna tem uma incrível diversidade de pontos finais que acedem aos seus dados. Esta configuração cria uma superfície de ataque massiva e, como resultado, os endpoints podem facilmente tornar-se o elo mais fraco da sua estratégia de segurança Confiança Zero.

Maioritariamente impulsionado pela necessidade à medida que o mundo mudava para um modelo de trabalho remoto ou híbrido, os utilizadores trabalham a partir de qualquer lugar, a partir de qualquer dispositivo, mais do que em qualquer momento da história. Os atacantes estão a ajustar rapidamente as suas táticas para tirar partido desta alteração. Muitas organizações enfrentam recursos restritos à medida que navegam nestes novos desafios empresariais. Virtualmente de um dia para o outro, as empresas aceleraram a transformação digital. Resumidamente, a forma como as pessoas trabalham mudou. Já não esperamos aceder aos inúmeros recursos empresariais apenas a partir do escritório e em dispositivos pertencentes à empresa.

Obter visibilidade sobre os endpoints que acedem aos seus recursos corporativos é o primeiro passo na sua estratégia de dispositivos Confiança Zero. Normalmente, as empresas são proativas na proteção de PCs contra vulnerabilidades e ataques, enquanto os dispositivos móveis muitas vezes não são monitorizados e sem proteções. Para garantir que não está a expor os seus dados a riscos, temos de monitorizar todos os pontos finais relativamente a riscos e utilizar controlos de acesso granulares para fornecer o nível de acesso adequado com base na política organizacional. Por exemplo, se um dispositivo pessoal for desbloqueado por jailbreak, pode bloquear o acesso para impedir que as aplicações empresariais sejam expostas a vulnerabilidades conhecidas.

Esta série de artigos explica um processo recomendado para gerir dispositivos que acedem aos seus recursos. Se seguir os passos recomendados, a sua organização obterá uma proteção muito sofisticada para os seus dispositivos e os recursos a que acedem.

Implementar as camadas de proteção em e para dispositivos

Proteger os dados e as aplicações nos dispositivos e nos próprios dispositivos é um processo de várias camadas. Existem algumas proteções que pode obter em dispositivos não geridos. Depois de inscrever dispositivos na gestão, pode implementar controlos mais sofisticados. Quando a proteção contra ameaças é implementada nos seus pontos finais, ganha ainda mais informações e a capacidade de remediar automaticamente alguns ataques. Por fim, se a sua organização se dedicou a identificar dados sensíveis, aplicar classificação e etiquetas, e configurar políticas de Prevenção de Perda de Dados Microsoft Purview, pode obter uma proteção ainda mais detalhada para os dados nos seus endpoints.

O diagrama seguinte ilustra os blocos de construção para alcançar uma postura de segurança Confiança Zero para o Microsoft 365 e outras aplicações SaaS que introduz neste ambiente. Os elementos relacionados com os dispositivos são numerados de 1 a 7. Os administradores de dispositivos serão coordenados com outros administradores para realizar estas camadas de proteção.

Diagrama dos blocos de construção da postura de segurança Confiança Zero.

Nesta ilustração:

  Passo Descrição Requisitos de licenciamento
1 Configurar as políticas de identidade Confiança Zero e de acesso ao dispositivo no ponto de partida Passo 1. Implemente políticas de proteção de aplicações para estabelecer uma base de proteção dos dispositivos, utilizando as políticas de proteção de aplicações do Intune, que não exigem gestão de dispositivos. Em seguida, colabore com o administrador da sua equipa de identidade para implementar políticas de Acesso Condicional que exijam aplicações aprovadas e definir a proteção de dados melhorada para empresas de nível 2, que é o nível de início recomendado para dispositivos em que os utilizadores acedem a informações confidenciais. E3, E5, F1, F3, F5
2 Inscrever dispositivos para Intune Esta tarefa requer mais planeamento e tempo para implementar. A Microsoft recomenda a utilização de Intune para inscrever dispositivos, uma vez que esta ferramenta proporciona uma integração ideal. Existem várias opções para inscrever dispositivos, consoante a plataforma. Por exemplo, dispositivos Windows podem ser registados usando o Microsoft Entra join ou usando o Autopilot. Tem de rever as opções de cada plataforma e decidir qual a melhor opção de inscrição para o seu ambiente. Consulte o Passo 2. Inscreva dispositivos no Intune para obter mais informações. E3, E5, F1, F3, F5
3 Configurar políticas de conformidade Quer ter a certeza de que os dispositivos que estão a aceder às suas aplicações e dados cumprem os requisitos mínimos. Por exemplo, os dispositivos estão protegidos por palavra-passe ou por PIN e o sistema operativo está atualizado. As políticas de conformidade são a forma de definir os requisitos que os dispositivos têm de cumprir. Passo 3. Defina políticas de conformidade para o ajudar a configurá-las. E3, E5, F3, F5
4 Configurar as políticas de identidade e de acesso a dispositivos Confiança Zero empresariais (recomendado) Agora que os seus dispositivos estão inscritos, pode trabalhar com o seu administrador de identidade para ajustar as políticas de Acesso Condicional para exigir dispositivos em bom estado de funcionamento e em conformidade. E3, E5, F3, F5
5 Implementar perfis de configuração Ao contrário das políticas de conformidade do dispositivo que simplesmente marcam um dispositivo como conforme ou não com base nos critérios que configurar, os perfis de configuração alteram efetivamente a configuração das definições num dispositivo. Pode utilizar políticas de configuração para proteger os dispositivos contra ciberameaças. Consulte o Passo 5. Implementar perfis de configuração. E3, E5, F3, F5
6 Monitorizar o risco e a conformidade do dispositivo com linhas de base de segurança Neste passo, liga o Intune ao Microsoft Defender para Endpoint. Com esta integração, poderá posteriormente monitorizar o risco do dispositivo como uma condição de acesso. Os dispositivos que se encontram num estado de risco estão bloqueados. Também pode monitorizar a conformidade com as linhas de base de segurança. Consulte o Passo 6. Monitorizar o risco e a conformidade do dispositivo com as linhas de base de segurança. E5, F5
7 Implementar a prevenção de perda de dados (DLP) com capacidades de proteção de informações Se a sua organização tiver colocado o trabalho na identificação de dados confidenciais e na etiquetagem de documentos, pode trabalhar com o seu administrador de proteção de informações para proteger informações confidenciais e documentos nos seus dispositivos. Suplemento de conformidade E5, F5

Coordenação da gestão de endpoints com políticas de identidade e acesso ao dispositivo Confiança Zero

Esta orientação está rigidamente coordenada com a política recomendada de identidade e acesso ao dispositivo Confiança Zero. Trabalhará com a sua equipa de identidade para integrar a proteção configurada com o Intune nas políticas de Acesso Condicional no Microsoft Entra ID.

Segue-se uma ilustração do conjunto de políticas recomendadas com marcadores de passos para o trabalho que vai realizar no Intune e as políticas de Acesso Condicional relacionadas que vai ajudar a coordenar no Microsoft Entra ID.

Confiança Zero Políticas de identidade e acesso ao dispositivo.

Nesta ilustração:

  • No Passo 1, as políticas de proteção de aplicações de nível 2 são configuradas como o nível recomendado de proteção de dados com as políticas de proteção de aplicações do Intune. A seguir, trabalhe com a sua equipa de identidade para configurar a regra de Acesso Condicional relacionada para exigir a utilização desta proteção.
  • Nos Passos 2, 3 e 4, inscreve dispositivos para gestão com Intune, define políticas de conformidade de dispositivos e, em seguida, coordena com a sua equipa de identidade para configurar a regra de Acesso Condicional relacionada para permitir apenas o acesso a dispositivos conformes.

Registar dispositivos vs. integração de dispositivos

Se seguir esta orientação, irá inscrever os dispositivos na gestão através do Intune e depois incorporar os dispositivos para as seguintes funcionalidades do Microsoft 365:

  • Microsoft Defender para Endpoint
  • Microsoft Purview (para prevenção de perda de dados em endpoints (DLP))

A ilustração seguinte detalha como funciona com Intune.

Processo de registo e integração de dispositivos.

Na ilustração:

  1. Inscrever dispositivos para gestão com Intune.
  2. Use o Intune para adicionar dispositivos ao Defender para Endpoint.
  3. Os dispositivos integrados no Defender for Endpoint também estão integrados para funcionalidades do Microsoft Purview, incluindo o DLP do Endpoint.

Tenha em atenção que apenas Intune está a gerir dispositivos. A integração refere-se à capacidade de um dispositivo de partilhar informações com um serviço específico. A tabela seguinte resume as diferenças entre inscrever dispositivos em gestão e a integração de dispositivos para um serviço específico.

  Inscrever-se Integrar
Descrição A inscrição aplica-se à gestão de dispositivos. Os dispositivos são registados para gestão através do Intune ou Gestor de Configuração. O onboarding configura um dispositivo para funcionar com um conjunto específico de capacidades no Microsoft 365. Atualmente, a integração aplica-se ao Microsoft Defender para Endpoint e às capacidades de conformidade da Microsoft.

Nos dispositivos Windows, o processo de integração inicial envolve ativar uma configuração no Microsoft Defender, permitindo ao Defender conectar-se ao serviço online e aceitar políticas aplicáveis ao dispositivo.
Âmbito de aplicação Estas ferramentas de gestão de dispositivos gerem todo o dispositivo, incluindo a configuração do dispositivo para cumprir objetivos específicos, como a segurança. A inclusão só afeta os serviços que se aplicam.
Método recomendado O Microsoft Entra join inscreve automaticamente os dispositivos no Intune. O Intune é o método preferido para integrar dispositivos no Windows Defender for Endpoint e, consequentemente, nas capacidades do Microsoft Purview.

Dispositivos que são adicionados às funcionalidades do Microsoft Purview por outros métodos não são automaticamente inscritos no "Defender for Endpoint".
Outros métodos Outros métodos de inscrição dependem da plataforma do dispositivo e quer seja BYOD ou gerido pela sua organização. Outros métodos para integrar dispositivos incluem, por ordem recomendada:
  • Gestor de Configuração
  • Outra ferramenta de gestão de dispositivos móveis (se o dispositivo for gerido por um)
  • Script local
  • Pacote de configuração VDI para integrar dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes
  • Política de Grupo
    		•

    Aprendizagem para administradores

    Os seguintes recursos ajudam os administradores a aprender conceitos sobre como utilizar Intune:

    • Simplificar a gestão de dispositivos com o módulo de treino Microsoft Intune

      Saiba como as soluções de gestão empresarial do Microsoft 365 proporcionam às pessoas uma experiência de ambiente de trabalho segura e personalizada, ajudando as organizações a gerir atualizações facilmente para todos os dispositivos com uma experiência administrativa simplificada.

    • Avaliar Microsoft Intune

      O Microsoft Intune ajuda-o a proteger os dispositivos, aplicações e dados que as pessoas da sua organização utilizam para serem produtivas. Este artigo explica-lhe como configurar o Microsoft Intune. A configuração inclui rever as configurações suportadas, inscrever-se no Intune, adicionar utilizadores e grupos, atribuir licenças aos utilizadores, conceder permissões de administrador e definir a autoridade Mobile Gestão de Dispositivos (MDM).

    Próximo passo

    Vá para o Passo 1. Implementar políticas de proteção de aplicações.

    • Last updated on