Definições de Conformidade do Dispositivo para Windows 10/11 no Intune
Este artigo lista e descreve as diferentes definições de compatibilidade que pode configurar em dispositivos Windows no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para exigir o BitLocker, definir um sistema operativo mínimo e máximo, definir um nível de risco com o Microsoft Defender para Endpoint e muito mais.
Esse recurso aplica-se a:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
Como administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos organizacionais. Para saber mais sobre as políticas de conformidade e o que fazem, veja Introdução à conformidade do dispositivo.
Antes de começar
Crie uma política de conformidade. Em Plataforma, selecione Windows 10 e posteriores.
Integridade do dispositivo
Para garantir que os dispositivos arrancam num estado fidedigno, o Intune utiliza os serviços de atestado de dispositivos da Microsoft. Os dispositivos nos serviços comerciais do Intune, GCC High e DoD do Us Government com o Windows 10 utilizam o serviço Atestado de Estado de Funcionamento do Dispositivo (DHA).
Para saber mais, confira:
Regras de avaliação do Serviço de Atestado de Estado de Funcionamento do Windows
Exigir BitLocker:
A Encriptação de Unidade BitLocker do Windows encripta todos os dados armazenados no volume do sistema operativo Windows. O BitLocker utiliza o Trusted Platform Module (TPM) para ajudar a proteger o sistema operativo Windows e os dados do utilizador. Também ajuda a confirmar que um computador não é adulterado, mesmo que seja deixado sem vigilância, perdido ou roubado. Se o computador estiver equipado com um TPM compatível, o BitLocker utiliza o TPM para bloquear as chaves de encriptação que protegem os dados. Como resultado, as chaves não podem ser acedidas até que o TPM verifique o estado do computador.- Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
- Exigir – o dispositivo pode proteger os dados armazenados na unidade contra acesso não autorizado quando o sistema está desligado ou hiberna.
Estado de Funcionamento do DispositivoAttestation CSP – BitLockerStatus
Observação
Se utilizar uma política de conformidade de dispositivos no Intune, tenha em atenção que o estado desta definição só é medido no momento do arranque. Por conseguinte, mesmo que a encriptação BitLocker possa ter sido concluída, será necessário reiniciar para que o dispositivo o detete e se torne compatível. Para obter mais informações, consulte o seguinte blogue de suporte da Microsoft sobre o Atestado de Estado de Funcionamento do Dispositivo.
Exigir que o Arranque Seguro seja ativado no dispositivo:
- Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
- Exigir – o sistema é forçado a arrancar para um estado fidedigno de fábrica. Os componentes principais que são utilizados para arrancar a máquina têm de ter assinaturas criptográficas corretas que sejam consideradas fidedignas pela organização que fabricou o dispositivo. O firmware UEFI verifica a assinatura antes de permitir o arranque do computador. Se algum ficheiro for adulterado, que quebra a assinatura, o sistema não arranca.
Observação
A definição Exigir Que o Arranque Seguro seja ativado no dispositivo é suportada em alguns dispositivos TPM 1.2 e 2.0. Para dispositivos que não suportam o TPM 2.0 ou posterior, o estado da política no Intune é apresentado como Não Conforme. Para obter mais informações sobre as versões suportadas, consulte Atestado de Estado de Funcionamento do Dispositivo.
Exigir integridade do código:
A integridade do código é uma funcionalidade que valida a integridade de um controlador ou ficheiro de sistema sempre que é carregado para a memória.- Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
- Exigir – requer integridade do código, que deteta se um ficheiro de sistema ou controlador não assinado está a ser carregado para o kernel. Também deteta se um ficheiro de sistema é alterado por software malicioso ou executado por uma conta de utilizador com privilégios de administrador.
Para saber mais, confira:
- Para obter detalhes sobre como funciona o serviço Atestado de Estado de Funcionamento, veja Health Attestation CSP (CSP do Atestado de Estado de Funcionamento).
- Sugestão de Suporte: utilizar as Definições de Atestado de Estado de Funcionamento do Dispositivo como Parte da Política de Conformidade do Intune.
Propriedades do Dispositivo
Versão do Sistema Operativo
Para descobrir versões de compilação para todas as Atualizações de Funcionalidades e Atualizações Cumulativas do Windows 10/11 (a utilizar em alguns dos campos abaixo), consulte Informações de versão do Windows. Certifique-se de que inclui o prefixo de versão adequado antes dos números de compilação, como 10.0 para Windows 10, como ilustram os exemplos seguintes.
Versão mínima do SO:
Introduza a versão mínima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escrevaver
. Over
comando devolve a versão no seguinte formato:Microsoft Windows [Version 10.0.17134.1]
Quando um dispositivo tem uma versão anterior à versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.
Versão máxima do SO:
Introduza a versão máxima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escrevaver
. Over
comando devolve a versão no seguinte formato:Microsoft Windows [Version 10.0.17134.1]
Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.
SO mínimo necessário para dispositivos móveis:
Introduza a versão mínima permitida no formato de número major.minor.build.Quando um dispositivo tem uma versão anterior da versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.
SO máximo necessário para dispositivos móveis:
Introduza a versão máxima permitida, no número major.minor.build.Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.
Compilações válidas do sistema operativo:
Especifique uma lista de compilações mínimas e máximas do sistema operativo. As compilações válidas do sistema operativo proporcionam flexibilidade adicional quando comparadas com as versões mínimas e máximas do SO. Considere um cenário em que a versão mínima do SO está definida como 10.0.18362.xxx (Windows 10 1903) e a versão máxima do SO está definida como 10.0.18363.xxx (Windows 10 1909). Esta configuração pode permitir que um dispositivo Windows 10 1903 que não tenha atualizações cumulativas recentes instaladas seja identificado como conforme. As versões mínimas e máximas do SO poderão ser adequadas se tiver padronizado numa única versão do Windows 10, mas poderá não cumprir os seus requisitos se precisar de utilizar várias compilações, cada uma com níveis de patch específicos. Nesse caso, considere tirar partido de compilações válidas do sistema operativo, o que permite especificar várias compilações de acordo com o exemplo seguinte.O maior valor suportado para cada uma das versões, principais, secundárias e campos de compilação é 65535. Por exemplo, o maior valor que pode introduzir é 65535.65535.65535.65535.
Exemplo:
A tabela seguinte é um exemplo de um intervalo para as versões aceitáveis dos sistemas operativos para diferentes versões do Windows 10. Neste exemplo, foram permitidas três Atualizações de Funcionalidades diferentes (1809, 1909 e 2004). Especificamente, apenas as versões do Windows e que tenham aplicado atualizações cumulativas de junho a setembro de 2020 serão consideradas conformes. Trata-se apenas de dados de exemplo. A tabela inclui uma primeira coluna que inclui qualquer texto que pretenda descrever a entrada, seguido da versão mínima e máxima do SO dessa entrada. A segunda e terceira colunas têm de cumprir versões de compilação válidas do SO no formato de número major.minor.build.revision . Depois de definir uma ou mais entradas, pode Exportar a lista como um ficheiro de valores separados por vírgulas (CSV).Descrição Versão mínima do sistema operacional Versão máxima do sistema operacional Vitória 10 2004 (jun-setembro de 2020) 10.0.19041.329 10.0.19041.508 Vitória 10 1909 (jun-setembro de 2020) 10.0.18363.900 10.0.18363.1110 Vitória 10 1809 (jun-setembro de 2020) 10.0.17763.1282 10.0.17763.1490 Observação
Se especificar vários intervalos de compilações de versões do SO na sua política e um dispositivo tiver uma compilação fora dos intervalos em conformidade, o Portal da Empresa notificará o utilizador do dispositivo de que o dispositivo não está em conformidade com esta definição. No entanto, tenha em atenção que, devido a limitações técnicas, a mensagem de remediação de compatibilidade só mostra o primeiro intervalo de versões do SO especificado na política. Recomendamos que documente os intervalos de versões do SO aceitáveis para dispositivos geridos na sua organização.
Conformidade do Configuration Manager
Aplica-se apenas a dispositivos cogeridos com o Windows 10/11. Os dispositivos apenas do Intune devolvem um estado não disponível.
-
Exigir a conformidade do dispositivo do Configuration Manager:
- Não configurado (predefinição) – o Intune não verifica a conformidade de nenhuma das definições do Configuration Manager.
- Exigir – exigir que todas as definições (itens de configuração) no Configuration Manager estejam em conformidade.
Segurança do Sistema
Senha
Exigir uma palavra-passe para desbloquear dispositivos móveis:
- Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
- Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo.
Palavras-passe simples:
- Não configurado (predefinição) – os utilizadores podem criar palavras-passe simples, como 1234 ou 1111.
- Bloquear – os utilizadores não podem criar palavras-passe simples, como 1234 ou 1111.
Tipo de palavra-passe:
Escolha o tipo de palavra-passe ou PIN necessário. Suas opções:- Predefinição do dispositivo (predefinição) – exigir uma palavra-passe, PIN numérico ou PIN alfanumérico
- Numérico – Exigir uma palavra-passe ou UM PIN numérico
- Alfanumérico – exigir uma palavra-passe ou PIN alfanumérico.
Quando definido como Alfanumérico, estão disponíveis as seguintes definições:
Complexidade da palavra-passe:
Suas opções:- Exigir dígitos e letras minúsculas (predefinição)
- Exigir dígitos, letras minúsculas e letras maiúsculas
- Exigir dígitos, letras minúsculas, letras maiúsculas e carateres especiais
Dica
As políticas de palavras-passe alfanuméricas podem ser complexas. Incentivamos os administradores a ler os CSPs para obter mais informações:
Comprimento mínimo da palavra-passe:
Introduza o número mínimo de dígitos ou carateres que a palavra-passe tem de ter.Máximo de minutos de inatividade antes de a palavra-passe ser necessária:
Introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe.Expiração da palavra-passe (dias):
Introduza o número de dias antes de a palavra-passe expirar e esta tem de criar uma nova, de 1 a 730.Número de palavras-passe anteriores para impedir a reutilização:
Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas.Exigir palavra-passe quando o dispositivo regressa do estado inativo (Móvel e Holográfico):
- Não configurado (predefinição)
- Exigir – exigir que os utilizadores do dispositivo introduzam a palavra-passe sempre que o dispositivo regressa de um estado inativo.
Importante
Quando o requisito de palavra-passe é alterado num ambiente de trabalho do Windows, os utilizadores são afetados da próxima vez que iniciarem sessão, pois é quando o dispositivo passa de inativo para ativo. Os utilizadores com palavras-passe que cumpram os requisitos continuam a ser solicitados a alterar as respetivas palavras-passe.
Criptografia
Encriptação do armazenamento de dados num dispositivo:
Esta definição aplica-se a todas as unidades num dispositivo.- Não configurado (predefinição)
- Exigir – utilize Exigir para encriptar o armazenamento de dados nos seus dispositivos.
DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance
Observação
A definição Encriptação do armazenamento de dados num dispositivo verifica genericamente a presença de encriptação no dispositivo, mais especificamente ao nível da unidade do SO. Atualmente, o Intune suporta apenas a verificação de encriptação com o BitLocker. Para uma definição de encriptação mais robusta, considere utilizar Exigir BitLocker, que tira partido do Atestado de Estado de Funcionamento do Dispositivo Windows para validar o estado do BitLocker ao nível do TPM. No entanto, ao tirar partido desta definição, tenha em atenção que pode ser necessário reiniciar antes de o dispositivo ser refletido como conforme.
Segurança do Dispositivo
Firewall:
- Não configurado (predefinição) – o Intune não controla a Firewall do Windows nem altera as definições existentes.
- Exigir – ative a Firewall do Windows e impeça os utilizadores de a desativar.
Observação
Se o dispositivo sincronizar imediatamente após um reinício ou sincronizar imediatamente a partir do modo de suspensão, esta definição poderá comunicar como um Erro. Este cenário pode não afetar o estado geral de conformidade do dispositivo. Para reavaliar o estado de conformidade, sincronize manualmente o dispositivo.
Se for aplicada uma configuração (por exemplo, através de uma política de grupo) a um dispositivo que configure a Firewall do Windows para permitir todo o tráfego de entrada ou desative a firewall, definir Firewall como Exigir devolverá Não conforme, mesmo que a política de configuração de dispositivos do Intune ative a Firewall. Isto deve-se ao facto de o objeto de política de grupo substituir a política do Intune. Para corrigir este problema, recomendamos que remova quaisquer definições de política de grupo em conflito ou que migre as definições de política de grupo relacionadas com a Firewall para a política de configuração de dispositivos do Intune. Em geral, recomendamos que mantenha as predefinições, incluindo o bloqueio de ligações de entrada. Para obter mais informações, veja Melhores práticas para configurar a Firewall do Windows.
Trusted Platform Module (TPM):
- Não configurado (predefinição) – o Intune não verifica a existência de uma versão do chip TPM no dispositivo.
- Exigir – o Intune verifica a compatibilidade da versão do chip do TPM. O dispositivo está em conformidade se a versão do chip do TPM for superior a 0 (zero). O dispositivo não está em conformidade se não existir uma versão TPM no dispositivo.
Antivírus:
- Não configurado (predefinição) – o Intune não verifica se existem soluções antivírus instaladas no dispositivo.
- Exigir – verifique a conformidade com soluções antivírus registadas no Centro de Segurança do Windows, como a Symantec e o Microsoft Defender. Quando definido como Exigir, um dispositivo com o respetivo software Antivírus desativado ou desatualizado não está em conformidade.
Antisspyware:
- Não configurado (predefinição) – o Intune não verifica se existem soluções antisspyware instaladas no dispositivo.
- Exigir – verifique a conformidade com soluções antisspyware registadas no Centro de Segurança do Windows, como a Symantec e o Microsoft Defender. Quando definido como Exigir, um dispositivo com o software antimalware desativado ou desatualizado não está em conformidade.
Defender
As seguintes definições de compatibilidade são suportadas com o Ambiente de Trabalho do Windows 10/11.
Microsoft Defender Antimalware:
- Não configurado (predefinição) – o Intune não controla o serviço nem altera as definições existentes.
- Exigir – ative o serviço antimalware do Microsoft Defender e impeça os utilizadores de o desativar.
Versão mínima do Microsoft Defender Antimalware:
Introduza a versão mínima permitida do serviço antimalware do Microsoft Defender. Por exemplo, digite4.11.0.0
. Quando deixada em branco, qualquer versão do serviço antimalware do Microsoft Defender pode ser utilizada.Por predefinição, não está configurada nenhuma versão.
Informações de segurança do Microsoft Defender Antimalware atualizadas:
Controla as atualizações de proteção contra vírus e ameaças da Segurança do Windows nos dispositivos.- Não configurado (predefinição) – o Intune não impõe quaisquer requisitos.
- Exigir – forçar a atualização das informações de segurança do Microsoft Defender.
Defender CSP – Defender/Estado de Funcionamento/SignatureOutOfDate CSP
Para obter mais informações, consulte Atualizações de informações de segurança para o Antivírus do Microsoft Defender e outros antimalware da Microsoft.
Proteção em tempo real:
- Não configurado (predefinição) – o Intune não controla esta funcionalidade nem altera as definições existentes.
- Exigir – ative a proteção em tempo real, que procura software maligno, spyware e outro software indesejável.
Microsoft Defender para Ponto de Extremidade
Regras do Microsoft Defender para Endpoint
Para obter informações adicionais sobre a integração do Microsoft Defender para Endpoint em cenários de acesso condicional, veja Configurar o Acesso Condicional no Microsoft Defender para Endpoint.
Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo:
Utilize esta definição para assumir a avaliação de riscos dos seus serviços de defesa contra ameaças como uma condição de conformidade. Escolha o nível máximo de ameaça permitido:- Não configurado (predefinição)
- Limpar – esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se o dispositivo for detetado como tendo qualquer nível de ameaças, será avaliado como não conforme.
- Baixo – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer valor superior coloca o dispositivo num estado não conforme.
- Médio – o dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, é determinado que não está em conformidade.
- Alta – esta opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.
Para configurar o Microsoft Defender para Endpoint como o seu serviço de defesa contra ameaças, consulte Ativar o Microsoft Defender para Endpoint com Acesso Condicional.
Windows Holographic for Business
O Windows Holographic for Business utiliza a plataforma Windows 10 e posterior . O Windows Holographic for Business suporta a seguinte definição:
- Segurança> do SistemaEncriptação>Encriptação do armazenamento de dados no dispositivo.
Para verificar a encriptação de dispositivos no Microsoft HoloLens, veja Verificar a encriptação de dispositivos.
Surface Hub
O Surface Hub utiliza a plataforma Windows 10 e posterior . Os Surface Hubs são suportados para conformidade e Acesso Condicional. Para ativar estas funcionalidades nos Surface Hubs, recomendamos que ative a inscrição automática do Windows no Intune (requer o Microsoft Entra ID) e direcione os dispositivos Surface Hub como grupos de dispositivos. Os Surface Hubs têm de estar associados ao Microsoft Entra para que a conformidade e o Acesso Condicional funcionem.
Para obter orientações, consulte Configurar a inscrição para dispositivos Windows.
Consideração especial para Os Surface Hubs com o SO da Equipa do Windows 10/11:
Neste momento, os Surface Hubs que executam o SO da Equipa do Windows 10/11 não suportam as políticas de conformidade do Microsoft Defender para Ponto Final e Palavra-passe. Por conseguinte, para os Surface Hubs que executam o SO da Equipa do Windows 10/11, defina as duas seguintes definições como a predefinição Não configurado:
Na categoria Palavra-passe, defina Exigir uma palavra-passe para desbloquear dispositivos móveis para a predefinição Não configurado.
Na categoria Microsoft Defender para Endpoint, defina Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo da predefinição não configurado.