Usar políticas de conformidade para definir regras para dispositivos gerenciados com o Intune

As políticas de conformidade do Microsoft Intune são conjuntos de regras e condições que utiliza para avaliar a configuração dos seus dispositivos geridos. Estas políticas podem ajudá-lo a proteger os dados organizacionais e os recursos de dispositivos que não cumprem esses requisitos de configuração. Os dispositivos geridos têm de satisfazer as condições que definiu nas suas políticas para serem considerados conformes pelo Intune.

Se também integrar os resultados de conformidade das suas políticas com o Acesso Condicional do Microsoft Entra, pode beneficiar de uma camada adicional de segurança. O Acesso Condicional pode impor controlos de acesso do Microsoft Entra com base num estado de conformidade atual dos dispositivos para ajudar a garantir que apenas os dispositivos que estão em conformidade têm permissão para aceder a recursos empresariais.

As políticas de conformidade do Intune estão divididas em duas áreas:

  • As definições de política de conformidade são configurações ao nível do inquilino que atuam como uma política de conformidade incorporada que cada dispositivo recebe. As definições de política de conformidade estabelecem como funciona a política de conformidade no seu ambiente do Intune, incluindo como tratar dispositivos que não estão atribuídos a uma política de conformidade explícita do dispositivo.

  • As políticas de conformidade de dispositivos são conjuntos discretos de regras e definições específicas da plataforma que implementa em grupos de utilizadores ou dispositivos. Os dispositivos avaliam as regras na política para comunicar um estado de conformidade do dispositivo. Um estado não conforme pode resultar numa ou mais ações de não conformidade. As políticas de Acesso Condicional do Microsoft Entra também podem utilizar esse estado para bloquear o acesso aos recursos organizacionais a partir desse dispositivo.

Configurações da política de conformidade

As configurações de política de conformidade são configurações de todo o locatário que determinam como o serviço de conformidade do Intune interage com seus dispositivos. Essas configurações se diferem das que você configura em uma política de conformidade do dispositivo.

Para gerir as definições da política de conformidade, inicie sessão no centro de administração do Microsoft Intune e aceda a Segurança > do ponto finalDefinições de política de conformidade> dodispositivo.

As configurações de política de conformidade abrangem as seguintes configurações:

  • Marcar dispositivos sem política de conformidade atribuída como

    Esta definição determina a forma como o Intune trata os dispositivos que não estão atribuídos a uma política de conformidade de dispositivos. Essa configuração tem dois valores:

    • Compatível (padrão): Este recurso de segurança está desativado. Os dispositivos que não recebem uma política de conformidade do dispositivo são considerados compatíveis.
    • Não compatível: Este recurso de segurança está ativado. Os dispositivos sem uma política de conformidade de dispositivos são considerados não conformes.

    Se utilizar o Acesso Condicional com as políticas de conformidade do dispositivo, altere esta definição para Não conforme para garantir que apenas os dispositivos confirmados como conformes podem aceder aos seus recursos.

    Se um usuário final for incompatível por não ter uma política atribuída a ele, o aplicativo Portal da Empresa mostrará Nenhuma política de conformidade foi atribuída.

  • Período de validade do status de conformidade (dias)

    Especifique um período no qual os dispositivos devem informar todas as políticas de conformidade recebidas. Se um dispositivo deixar de informar seu status de conformidade para uma política antes que o período de validade expire, o dispositivo será tratado como incompatível.

    Por padrão, o período é definido para 30 dias. É possível configurar um período de 1 a 120 dias.

    Pode ver detalhes sobre a conformidade de um dispositivo com a definição do período de validade. Inicie sessão no centro de administração do Microsoft Intune e aceda a Conformidade deDefinições doMonitor> de Dispositivos>. Essa configuração tem um nome de Está ativo na coluna de Configuração. Confira mais informações sobre essa e outras exibições de status de conformidade relacionadas em Monitorar a conformidade do dispositivo.

Políticas de conformidade do dispositivo

As políticas de conformidade de dispositivos do Intune são conjuntos discretos de regras e definições específicas da plataforma que implementa em grupos de utilizadores ou dispositivos. Utilize políticas de conformidade para:

  • Definir as regras e as configurações que os usuários e dispositivos gerenciados devem cumprir para ser compatíveis. Exemplos de regras incluem a necessidade de os dispositivos executarem uma versão mínima do SO, não serem desbloqueados por jailbreak ou rooting e estarem ao nível ou abaixo de uma ameaça , conforme especificado pelo software de gestão de ameaças que se integra com o Intune.

  • Ações de suporte para não conformidade que se aplicam a dispositivos que não cumprem as regras de conformidade dessas políticas. Exemplos de ações de não conformidade incluem marcar o dispositivo como não conforme, estar bloqueado remotamente e enviar um e-mail de utilizador do dispositivo sobre o estado do dispositivo para que o possa corrigir.

Ao utilizar políticas de conformidade de dispositivos:

  • Algumas configurações de política de conformidade podem substituir a configuração das definições que também gere através de políticas de configuração de dispositivos. Para saber mais sobre a resolução de conflitos para políticas, veja Políticas de configuração de dispositivos e conformidade que entram em conflito.

  • As políticas podem ser implementadas para utilizadores em grupos de utilizadores ou dispositivos em grupos de dispositivos. Quando uma política de conformidade é implantada para um usuário, a conformidade de todos os dispositivos do usuário é verificada. Usar grupos de dispositivos neste cenário ajuda os relatórios de conformidade.

  • Se utilizar o Acesso Condicional do Microsoft Entra, as políticas de Acesso Condicional podem utilizar os resultados de conformidade do dispositivo para bloquear o acesso a recursos de dispositivos não conformes.

  • À semelhança de outras políticas do Intune, as avaliações de políticas de conformidade de um dispositivo dependem de quando o dispositivo faz o check-in com o Intune e ciclos de atualização de políticas e perfis.

As configurações disponíveis que podem ser especificadas em uma política de conformidade do dispositivo dependem do tipo de plataforma que você selecionar ao criar uma política. Diferentes plataformas de dispositivo dão suporte a configurações distintas, e cada tipo de plataforma requer uma política separada.

Os assuntos a seguir levam a artigos dedicados sobre diferentes aspectos da política de configuração de dispositivo.

  • Ações de não conformidade – por predefinição, cada política de conformidade do dispositivo inclui a ação para marcar um dispositivo como não conforme se não cumprir uma regra de política. Cada política pode suportar mais ações com base na plataforma do dispositivo. Exemplos de ação adicional incluem:

    • O envio de alertas por email a usuários e grupos com detalhes sobre o dispositivo incompatível. A política pode ser configurada para enviar um email imediatamente depois de ser marcada como incompatível e, todas as vezes, de maneira periódica, até que o dispositivo se torne compatível.
    • O bloqueio remoto de dispositivos que estão incompatíveis por algum tempo.
    • A desativação de dispositivos depois de continuarem incompatíveis por certo tempo. Esta ação marca um dispositivo qualificado como pronto para ser desativado. Um administrador pode então ver uma lista de dispositivos marcados para desativação e deve tomar uma ação explícita para retirar um ou mais dispositivos. A desativação de um dispositivo remove-o do gerenciamento do Intune e remove todos os dados da empresa do dispositivo. Para obter mais informações sobre essa ação, consulte Ações disponíveis para não conformidade.
  • Criar uma política de conformidade – com as informações no artigo ligado, pode rever os pré-requisitos, trabalhar nas opções para configurar regras, especificar ações de não conformidade e atribuir a política a grupos. Este artigo também inclui informações sobre os prazos de atualização das políticas.

    Veja as configurações de conformidade do dispositivo para as diferentes plataformas de dispositivos:

  • Definições de conformidade personalizadas – com as definições de conformidade personalizadas, pode expandir as opções de conformidade de dispositivos incorporadas do Intune. As definições personalizadas proporcionam flexibilidade para basear a conformidade nas definições que estão disponíveis num dispositivo sem ter de esperar que o Intune adicione essas definições.

    Pode utilizar definições de conformidade personalizadas com as seguintes plataformas:

    • Linux – Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
    • Windows 10
    • Windows 11

Monitorar o status de conformidade

O Intune inclui um painel de conformidade do dispositivo usado para monitorar o status de conformidade dos dispositivos e para você se aprofundar nas políticas e dispositivos e obter mais informações. Saiba mais sobre esse painel em Monitorar a conformidade do dispositivo.

Integrar com Acesso Condicional

Ao usar o Acesso Condicional, você pode configurar suas políticas de Acesso Condicional para usar os resultados das políticas de conformidade do dispositivo e determinar quais dispositivos podem acessar seus recursos organizacionais. Esse controle de acesso é adicional e separado das ações de incompatibilidade que você inclui em suas políticas de conformidade do dispositivo.

Quando um dispositivo é inscrito no Intune, é registado no Microsoft Entra ID. O estado de conformidade dos dispositivos é comunicado ao ID do Microsoft Entra. Se suas políticas de Acesso Condicional tiverem controles de acesso definidos como Exigir que o dispositivo seja marcado como compatível, o Acesso Condicional usará esse status de conformidade para determinar se deve conceder ou bloquear o acesso a email e outros recursos da organização.

Se utilizar o estado de conformidade do dispositivo com as políticas de Acesso Condicional, reveja a forma como o inquilino configura a opção Marcar dispositivos sem política de conformidade atribuída como , que gere em Definições de política de conformidade.

Para obter mais informações sobre como utilizar o Acesso Condicional com as políticas de conformidade do dispositivo, veja Acesso Condicional baseado no dispositivo.

Saiba mais sobre o Acesso Condicional na documentação do Microsoft Entra:

Referência para não conformidade e Acesso Condicional nas diferentes plataformas

A tabela a seguir descreve como as configurações em não conformidade são gerenciadas quando uma política de conformidade é usada com uma política de Acesso Condicional.

  • Remediado: o sistema operacional do dispositivo impõe a conformidade. Por exemplo, o usuário é forçado a definir um PIN.

  • Em quarentena: o sistema operacional do dispositivo não impõe a conformidade. Por exemplo, dispositivos com Android e Android Enterprise não forçam o usuário a criptografar o dispositivo. Quando o dispositivo não está em conformidade, ocorrem as seguintes ações:

    • Quando uma política de Acesso Condicional se aplica ao usuário, o dispositivo é bloqueado.
    • O aplicativo Portal da Empresa notifica o usuário sobre qualquer problema de conformidade.

Configuração de política Plataforma
Distribuições Permitidas Linux(apenas) – Em quarentena
Criptografia de dispositivo - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: remediado (configurando o PIN)
- macOS 10.11 e posterior: em quarentena

- Linux: em quarentena

- Windows 10/11: em quarentena
Perfil de email - Android 4.0 e posterior: não aplicável
- Samsung Knox Standard 4.0 e posterior: não aplicável
- Android Enterprise: não aplicável

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: não aplicável

- Windows 10/11: Não aplicável
Dispositivo desbloqueado ou com raiz - Android 4.0 e posterior: em quarentena (sem configuração)
- Samsung Knox Standard 4.0 e posterior: em quarentena (sem configuração)
- Android Enterprise: em quarentena (sem configuração)

- iOS 8.0 e posterior: em quarentena (sem configuração)
- macOS 10.11 e posterior: não aplicável

- Linux: não aplicável

- Windows 10/11: Não aplicável
Versão máxima do SO - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: veja Distribuições Permitidas

- Windows 10/11: em quarentena
Versão mínima do SO - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: veja Distribuições Permitidas

- Windows 10/11: em quarentena
Configuração de senha ou PIN - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: remediado
- macOS 10.11 e posterior: remediado

- Linux: em quarentena

- Windows 10/11: Remediado
Atestado de integridade do Windows - Android 4.0 e posterior: não aplicável
- Samsung Knox Standard 4.0 e posterior: não aplicável
- Android Enterprise: não aplicável

- iOS 8.0 e posterior: não aplicável
- macOS 10.11 e posterior: não aplicável

- Linux: não aplicável

- Windows 10/11: em quarentena

Observação

A aplicação Portal da Empresa introduz o fluxo de remediação de inscrição quando o utilizador inicia sessão na aplicação e o dispositivo não deu entrada com êxito no Intune durante 30 dias ou mais (ou o dispositivo não está em conformidade devido a um motivo de conformidade de contacto perdido ). Neste fluxo, tentamos iniciar uma entrada mais uma vez. Se isso continuar a não ser bem-sucedido, emitimos um comando de extinção para permitir que o utilizador volte a inscrever o dispositivo manualmente.


Próximas etapas