Explore a política de conformidade de dispositivos
As políticas de conformidade definem as regras e configurações que devem ser configuradas em um dispositivo para que ele seja considerado compatível. Depois de configurar e implantar uma política de conformidade, você pode monitorar o status de conformidade do dispositivo e os dispositivos individuais configurados da maneira esperada.
Antes de poder aplicar uma política de conformidade a um dispositivo, primeiro tem de ser inscrita no Intune. Após o registro, o dispositivo pode ser adicionado automaticamente a um grupo de dispositivos. Se uma política de conformidade for atribuída a esse grupo, a política será avaliada no dispositivo, com seu status de conformidade automaticamente relatado ao Intune e exibido no portal.
As políticas de conformidade do dispositivo estabelecem as configurações necessárias para:
- Palavras-chave
- Encriptação
- Dispositivos com jailbreak ou rooteados
- Versão mínima do sistema operacional
- Versão máxima do sistema operacional
- Nível máximo de defesa contra ameaças móveis
Quando um dispositivo se inscreve no Intune, as suas informações, incluindo o estado de conformidade, são adicionadas ao Microsoft Entra ID. As políticas de conformidade são atribuídas aos usuários e não aos dispositivos. As políticas de acesso condicional utilizam as informações do Microsoft Entra para bloquear ou conceder acesso a emails e outros dados organizacionais. Não é obrigatório usar políticas de conformidade em conjunto com o acesso condicional; As políticas de conformidade podem ser empregadas apenas para fins de relatórios.
As políticas de conformidade do Intune são criadas na secção Dispositivos do centro de administração do Intune. O painel de conformidade do dispositivo para monitoramento pode ser encontrado em Relatórios.
Por predefinição, quando o Intune deteta um dispositivo que não está em conformidade, marca imediatamente o dispositivo como não conforme. Em cada política de conformidade, você pode configurar ações para dispositivos não compatíveis, o que lhe proporciona flexibilidade extra para decidir o que fazer. Por exemplo, em um cenário típico, as organizações bloquearão o acesso aos recursos da empresa a partir de um dispositivo não compatível. No entanto, você pode configurar uma política de conformidade que, em vez disso, permita que um dispositivo não compatível acesse os recursos da empresa, desde que o dispositivo seja tornado compatível dentro de um período de cortesia especificado. Se a conformidade não for alcançada até esse momento, o dispositivo não poderá mais acessar os recursos da empresa.
Existem dois tipos de ações não conformes:
- Notifique os usuários finais por e-mail. Você pode personalizar uma notificação por e-mail antes de enviá-la ao usuário final. Você pode personalizar os destinatários, o assunto e o corpo da mensagem, incluindo o logotipo da empresa e as informações de contato. O Intune inclui detalhes sobre o dispositivo não compatível na notificação por email.
- Marque o dispositivo como não compatível. Você pode especificar o número de dias após os quais o dispositivo é marcado como não compatível. Isso pode ser imediatamente após o dispositivo ser sinalizado como não compatível, ou você pode dar ao usuário um período de carência no qual ele ou ela pode atualizar o dispositivo para torná-lo compatível. Se o dispositivo continuar a não estar em conformidade após o número de dias especificado, será marcado como não conforme.
As políticas de conformidade de dispositivos podem ser usadas da seguinte maneira:
- Com acesso condicional. Para dispositivos que cumprem as regras de política, pode permitir que esses dispositivos acedam ao correio eletrónico e a outros recursos da empresa. Se os dispositivos não estiverem em conformidade com as regras da política, eles não terão acesso aos recursos da empresa.
- Sem acesso condicional. Você também pode usar políticas de conformidade de dispositivo sem qualquer acesso condicional. Quando você usa políticas de conformidade sem acesso condicional, não há restrições de acesso aos recursos da empresa.
Usar grupos de dispositivos do Microsoft Entra para políticas
É recomendável usar grupos do Microsoft Entra para usuários e dispositivos para aplicar qualquer tipo de políticas implementadas com o Intune. Você pode criar um grupo no Microsoft Entra ID com associação dinâmica especificando uma regra para determinar a associação com base nas propriedades do usuário ou dispositivo. Quando os atributos de um usuário ou dispositivo mudam, o Microsoft Entra ID avalia todos os grupos dinâmicos em um diretório para ver se a alteração acionaria qualquer grupo adicionado ou removido. Se um usuário ou dispositivo satisfizer uma regra em um grupo, ele será adicionado como membro desse grupo. Se não cumprirem mais a regra, serão removidos do grupo.
Uma regra de associação de grupo é usada para preencher automaticamente um grupo com usuários ou dispositivos. Esta é uma expressão binária que resulta em um resultado Verdadeiro ou Falso. As três partes de uma regra de associação de grupo simples incluem:
- Imóvel. Especifica o atributo object; por exemplo, você pode usar user.department para fazer referência ao atributo Department de um objeto de usuário ou device.displayName para fazer referência ao atributo displayName de um objeto de dispositivo.
- Operador. Pode ser um dos muitos operadores suportados, como Equals (-eq), Starts With (-startsWith), Contains (-contains) ou Match (-match).
- valor. O valor em relação ao qual você deseja avaliar a propriedade usando o operador.
Por exemplo, você usaria a seguinte regra de associação de grupo para incluir todos os dispositivos fabricados pela Microsoft:
device.deviceManufacturer -eq "Microsoft