Níveis de proteção e configuração no Microsoft Intune

O Microsoft Intune dá aos administradores a capacidade de criar políticas que são aplicadas a utilizadores, dispositivos e aplicações. Estas políticas podem variar entre um conjunto mínimo e políticas mais seguras ou controladas. Estas políticas dependem das necessidades da organização, dos dispositivos utilizados e do que os dispositivos farão.

Quando estiver pronto para criar políticas, pode utilizar os diferentes níveis de proteção e configuração:

As suas necessidades de ambiente e negócio podem ter diferentes níveis definidos. Pode utilizar estes níveis como ponto de partida e, em seguida, personalizá-los de acordo com as suas necessidades. Por exemplo, pode utilizar as políticas de configuração do dispositivo no nível 1 e as políticas de aplicações no nível 3.

Escolha os níveis adequados para a sua organização. Não há uma escolha errada.

Nível 1 – Proteção e configuração mínimas

Este nível inclui políticas que todas as organizações devem ter, no mínimo. As políticas neste nível criam uma linha de base mínima de funcionalidades de segurança e dão aos utilizadores acesso aos recursos necessários para fazerem as suas tarefas.

Aplicações (nível 1)

Este nível impõe uma quantidade razoável de requisitos de acesso e proteção de dados e minimiza a interrupção do utilizador final. Este nível garante que as aplicações estão protegidas com um PIN & encriptação básica e executa operações de eliminação seletiva. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Este nível é uma configuração de nível de entrada que fornece um controlo de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online. Também introduz políticas de proteção de aplicações e ti e utilizadores finais.

Neste nível, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:

  • Ativar requisitos básicos de proteção de dados

    • Permitir a transferência de dados básicos da aplicação
    • Impor encriptação de aplicações básica
    • Permitir funcionalidades básicas de acesso
  • Ativar os requisitos básicos de acesso

    • Exigir PIN, ID facial e acesso biométrico
    • Impor o suporte das definições básicas de acesso
  • Ativar o início da aplicação condicional básica

    • Configurar tentativas de acesso básico da aplicação
    • Bloquear o acesso à aplicação com base em dispositivos desbloqueados por jailbreak/root
    • Restringir o acesso à aplicação com base na integridade básica dos dispositivos

Para obter mais informações, aceda a Proteção de aplicações básica de Nível 1.

Conformidade (nível 1)

Neste nível, a conformidade do dispositivo configura as definições ao nível do inquilino que se aplicam a todos os dispositivos. Também implementa políticas de conformidade mínimas em todos os dispositivos para impor um conjunto principal de requisitos de conformidade.

A Microsoft recomenda que estas configurações estejam implementadas antes de permitir que os dispositivos acedam aos recursos da sua organização. A conformidade do dispositivo de Nível 1 inclui:

  • As definições de política de conformidade são algumas definições ao nível do inquilino que afetam a forma como o serviço de conformidade do Intune funciona com os seus dispositivos.

  • As políticas de conformidade específicas da plataforma incluem definições para temas comuns entre plataformas. O nome e a implementação da definição reais podem variar consoante as diferentes plataformas:

    • Exigir antivírus, antisspyware e antimalware (apenas Windows)
    • Versão do sistema operacional
      • SO Máximo
      • SO mínimo
      • Versões de criação Secundárias e Principais
      • Níveis de patch do SO
    • Configurações de palavras-passe
      • Impor o ecrã de bloqueio após o período de inatividade, exigir uma palavra-passe ou afixar para desbloquear
      • Exigir palavras-passe complexas com combinações de letras, números e símbolos
      • Exigir uma palavra-passe ou PIN para desbloquear dispositivos
      • Exigir comprimento mínimo da palavra-passe
  • As ações de não conformidade são incluídas automaticamente em cada política específica da plataforma. Estas ações são uma ou mais ações ordenadas pelo tempo que configurar. Aplicam-se aos dispositivos que não cumprem os requisitos de conformidade da sua política. Por predefinição, marcar um dispositivo como não conforme é uma ação imediata fornecida com cada política.

Para obter mais informações, aceda ao Nível 1 – Compatibilidade mínima do dispositivo.

Configuração do dispositivo (nível 1)

Neste nível, os perfis incluem definições que se focam na segurança e no acesso a recursos. Especificamente, neste nível, a Microsoft recomenda que configure as seguintes funcionalidades:

  • Ative a segurança básica, incluindo:

    • Antivírus e análise
    • Deteção e resposta a ameaças
    • Firewall
    • Atualizações de software
    • Política forte de PIN e palavra-passe
  • Conceder aos utilizadores acesso à rede:

    • Email
    • VPN para acesso remoto
    • Wi-Fi para acesso no local

Para obter mais informações, aceda ao Passo 4 – Criar perfis de configuração de dispositivos para proteger dispositivos e criar ligações aos recursos da organização.

Nível 2 – Proteção e configuração melhoradas

Este nível expande o conjunto mínimo de políticas para incluir mais segurança e expandir a gestão de dispositivos móveis. As políticas neste nível protegem mais funcionalidades, fornecem proteção de identidade e gerem mais definições de dispositivos.

Utilize as definições neste nível para adicionar o que configurou no Nível 1.

Aplicações (nível 2)

Este nível recomenda um nível padrão de proteção de aplicações para dispositivos em que os utilizadores acedem a informações mais confidenciais. Este nível introduz mecanismos de prevenção de fuga de dados da política de proteção de aplicações e requisitos mínimos do SO. Este nível é a configuração aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais.

Além das definições de Nível 1, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:

  • Ativar requisitos de proteção de dados melhorados

    • Transferir dados relacionados com a organização
    • Isentar requisitos de transferência de dados de aplicações selecionadas (iOS/iPadOS)
    • Transferir dados de telecomunicações
    • Restringir cortar, copiar e colar entre aplicações
    • Bloquear captura de ecrã (Android)
  • Ativar a iniciação de aplicações condicionais melhorada

    • Bloquear a desativação de contas de aplicação
    • Impor requisitos mínimos do SO do dispositivo
    • Exigir a versão mínima do patch (Android)
    • Exigir tipo de avaliação do veredicto de integridade do Play (Android)
    • Exigir bloqueio do dispositivo (Android)
    • Permitir o acesso à aplicação com base no aumento da integridade do dispositivo

Para obter mais informações, aceda a Proteção de aplicações melhorada de Nível 2.

Conformidade (nível 2)

A este nível, a Microsoft recomenda a adição de opções mais granulares às suas políticas de conformidade. Muitas das definições neste nível têm nomes específicos da plataforma que fornecem resultados semelhantes. Seguem-se as categorias ou tipos de definições que a Microsoft recomenda que utilize quando estiverem disponíveis:

  • Aplicativos

    • Gerir onde os dispositivos obtêm aplicações, como o Google Play para Android
    • Permitir aplicações de localizações específicas
    • Bloquear aplicativos de fontes desconhecidas
  • Configurações de firewall

    • Definições da firewall (macOS, Windows)
  • Criptografia

    • Exigir a encriptação do armazenamento de dados
    • BitLocker (Windows)
    • FileVault (macOS)
  • Senhas

    • Expiração e reutilização de palavras-passe
  • Proteção de arranque e ficheiro ao nível do sistema

    • Bloquear a depuração USB (Android)
    • Bloquear dispositivos desbloqueados por jailbreak ou rooting (Android, iOS)
    • Exigir proteção da integridade do sistema (macOS)
    • Exigir integridade do código (Windows)
    • Exigir que o arranque seguro esteja ativado (Windows)
    • Trusted Platform Module (Windows)

Para obter mais informações, aceda a Nível 2 – Definições de conformidade de dispositivos melhoradas.

Configuração do dispositivo (nível 2)

Neste nível, está a expandir as definições e funcionalidades que configurou no nível 1. A Microsoft recomenda que crie políticas que:

  • Adicione outra camada de segurança ao ativar a encriptação do disco, o arranque seguro e o Trusted Platform Module (TPM) nos seus dispositivos.
  • Configure os seus PINs & palavras-passe para expirar e gerir se/quando as palavras-passe podem ser reutilizadas.
  • Configure funcionalidades, definições e comportamentos de dispositivos mais granulares.
  • Determine se existem Objetos de Política de Grupo (GPOs) no local disponíveis no Intune.

Para obter informações mais específicas sobre as políticas de configuração de dispositivos a este nível, aceda a Nível 2 – Proteção e configuração melhoradas.

Nível 3 – Alta proteção e configuração

Este nível inclui políticas de nível empresarial e pode envolver diferentes administradores na sua organização. Estas políticas continuam a ser movidas para autenticação sem palavra-passe, têm mais segurança e configuram dispositivos especializados.

Utilize as definições neste nível para adicionar o que configurou nos Níveis 1 e 2.

Aplicações (nível 3)

Este nível recomenda um nível padrão de proteção de aplicações para dispositivos em que os utilizadores acedem a informações mais confidenciais. Este nível introduz proteção de dados avançada, configuração de PIN melhorada e política de proteção de aplicações com a Defesa Contra Ameaças para Dispositivos Móveis. Esta configuração destina-se a utilizadores que acedem a dados de alto risco.

Além das definições de nível 1 e 2, a Microsoft recomenda que configure a seguinte proteção e acesso para aplicações:

  • Ativar requisitos de proteção de dados elevados

    • Proteção elevada ao transferir dados de telecomunicações
    • Receber dados apenas de aplicações geridas por políticas
    • Bloquear a abertura de dados em documentos da organização
    • Permitir que os usuários abram dados dos serviços selecionados
    • Bloquear parceiros indesejados ou teclados que não sejam da Microsoft
    • Exigir/selecionar teclados aprovados (Android)
    • Bloquear a impressão de dados da organização
  • Ativar requisitos de acesso elevado

    • Bloquear PIN simples e exigir comprimento mínimo do PIN específico
    • Exigir a reposição do PIN após o número de dias
    • Exigir Biometria de classe 3 (Android 9.0+)
    • Exigir a substituição de Biometria com PIN após atualizações biométricas (Android)
  • Ativar o lançamento de aplicações condicionais elevadas

    • Exigir bloqueio do dispositivo (Android)
    • Exigir o nível máximo de ameaça permitido
    • Exigir a versão máxima do SO

Para obter mais informações, aceda a Proteção de aplicações de nível 3 elevada.

Conformidade (nível 3)

A este nível, pode expandir as funcionalidades de conformidade incorporadas do Intune através das seguintes capacidades:

  • Integrar dados do parceiro de Defesa Contra Ameaças para Dispositivos Móveis (MTD)

    • Com um parceiro mtd, as políticas de conformidade podem exigir que os dispositivos estejam ao nível ou abaixo de um nível de ameaça de dispositivo ou classificação de risco da máquina, conforme determinado por esse parceiro.
  • Utilize um parceiro de conformidade não microsoft com o Intune.

  • Utilize scripts para adicionar definições de conformidade personalizadas às suas políticas para definições que não estão disponíveis na IU do Intune. (Windows, Linux)

  • Utilize dados de políticas de conformidade com políticas de Acesso Condicional para controlar o acesso aos recursos da sua organização.

Para obter mais informações, aceda a Nível 3 – Configurações avançadas de conformidade do dispositivo.

Configuração do dispositivo (nível 3)

Este nível centra-se nos serviços e funcionalidades de nível empresarial e pode exigir um investimento na infraestrutura. Neste nível, pode criar políticas que:

  • Expanda a autenticação sem palavra-passe para outros serviços na sua organização, incluindo a autenticação baseada em certificados, o início de sessão único para aplicações, a autenticação multifator (MFA) e o gateway de VPN do Túnel da Microsoft.

  • Expanda o Microsoft Tunnel ao implementar o Microsoft Tunnel para Gestão de Aplicações Móveis (Túnel para MAM), que expande o suporte do Túnel para dispositivos iOS e Android que não estão inscritos no Intune. O túnel para MAM está disponível como um suplemento do Intune.

    Para obter informações, aceda a Utilizar as capacidades de suplemento do Intune Suite.

  • Configure as funcionalidades do dispositivo que se aplicam à camada de firmware do Windows. Utilize o modo de critérios comuns do Android.

  • Utilize a política do Intune para a Solução de Palavra-passe de Administrador Local (LAPS) do Windows para ajudar a proteger a conta de administrador local incorporada nos seus dispositivos Windows geridos.

    Para obter informações, aceda a Suporte do Intune para LAPS do Windows.

  • Proteger dispositivos Windows através do Endpoint Privilege Management (EPM). O EPM ajuda-o a executar os utilizadores da sua organização como utilizadores padrão (sem direitos de administrador) e permite que esses mesmos utilizadores concluam tarefas que requerem privilégios elevados.

    O EPM está disponível como um suplemento do Intune. Para obter informações, aceda a Utilizar as capacidades de suplemento do Intune Suite.

  • Configure dispositivos especializados, como quiosques e dispositivos partilhados.

  • Implemente scripts, se necessário.

Para obter informações mais específicas sobre as políticas de configuração de dispositivos a este nível, aceda ao Nível 3 – Alta proteção e configuração.

Artigo relacionado

Para obter uma lista completa de todos os perfis de configuração de dispositivos que pode criar, aceda a Aplicar funcionalidades e definições nos seus dispositivos através de perfis de dispositivo no Microsoft Intune.