Proteger dados e dispositivos com o Microsoft Intune

Microsoft Intune pode ajudá-lo a manter os seus dispositivos geridos seguros e atualizados, ajudando-o a proteger os dados da sua organização contra dispositivos comprometidos. A proteção de dados inclui controlar o que os utilizadores fazem com os dados de uma organização em dispositivos geridos e não geridos. A proteção de dados também se estende ao bloqueio de acesso a dados de dispositivos que podem estar comprometidos.

Este artigo destaca muitas das capacidades incorporadas do Intune e tecnologias de parceiros que pode integrar com Intune. Ao saber mais sobre eles, você poderá reunir vários para obter soluções mais abrangentes em sua jornada em direção a um ambiente de confiança zero.

A partir do centro de administração do Microsoft Intune, Intune suporta dispositivos geridos com Android, iOS/iPad, Linux, macOS e Windows.

Ao usar o Configuration Manager para gerenciar dispositivos locais, você pode estender as políticas do Intune para esses dispositivos configurando a anexação de locatário ou o cogerenciamento.

O Intune também pode trabalhar com informações de dispositivos que você gerencia com produtos de terceiros que fornecem a conformidade do dispositivo e a proteção contra ameaças móveis.

Proteger dispositivos por meio de políticas

Implemente as políticas de segurança de pontos finais, configuração de dispositivos e conformidade de dispositivos do Intune para configurar dispositivos para cumprir os objetivos de segurança da sua organização. As políticas dão suporte a um ou mais perfis, que são os conjuntos discretos de regras específicas da plataforma que você implanta em grupos de dispositivos registrados.

• Com as políticas de segurança de pontos finais, implemente políticas focadas em segurança que foram concebidas para o ajudar a concentrar-se na segurança dos seus dispositivos e mitigar o risco. As tarefas disponíveis podem ajudá-lo a identificar dispositivos em risco, a remediar esses dispositivos e a restaurá-los para um estado conforme ou mais seguro.

• Com as políticas de configuração de dispositivo, gerencie perfis que definem as configurações e os recursos que os dispositivos usam em sua organização. Configurar dispositivos para proteção de ponto de extremidade, provisionar certificados para autenticação, definir comportamentos de atualização de software e muito mais.

• Com as políticas de conformidade do dispositivo, você cria perfis para diferentes plataformas de dispositivo que estabelecem requisitos de dispositivo. Os requisitos podem incluir versões de sistema operacional, o uso de criptografia de disco ou estar em níveis de ameaça específicos, conforme definido pelo software de gerenciamento de ameaças.

  O Intune pode proteger dispositivos que não estão em conformidade com suas políticas e alertar o usuário do dispositivo para que ele possa colocar o dispositivo em conformidade.

  Quando adiciona Acesso Condicional à combinação , configure políticas que permitam que apenas dispositivos em conformidade acedam aos recursos da sua rede e da organização. As restrições de acesso podem incluir compartilhamentos de arquivos e o email da empresa. As políticas de Acesso Condicional também funcionam com os dados de estado do dispositivo relatados por parceiros de conformidade do dispositivo de terceiros que você integra ao Intune.

Seguem-se algumas das definições e tarefas de segurança que pode gerir através das políticas disponíveis:

• Métodos de autenticação – configure a forma como os seus dispositivos se autenticam nos recursos, e-mail e aplicações da sua organização.

  • Utilize certificados para autenticação em aplicações, recursos da sua organização e para assinar e encriptar e-mails com S/MIME. Você também pode configurar credenciais derivadas quando seu ambiente exigir o uso de cartões inteligentes.

  • Defina configurações que ajudem a limitar o risco, como:

    • Exigir MFA (autenticação multifator) para adicionar uma camada extra de autenticação para os usuários.
    • Definir requisitos de PIN e senha que devem ser atendidos antes de obter acesso aos recursos.
    • Ative Windows Hello para Empresas para dispositivos Windows.

• Encriptação de dispositivos – gerir o BitLocker em dispositivos Windows e o FileVault no macOS.

• Atualizações de software – gerencie como e quando os dispositivos devem receber atualizações de software. São suportados os seguintes procedimentos:

  • Atualizações de firmware do Android:
    • Firmware Over-the-Air (FOTA) – suportado por alguns OEMs, pode utilizar o FOTA para atualizar remotamente o firmware dos dispositivos.
    • Zebra LifeGuard Over-the-Air (LG OTA) – faça a gestão de atualizações de firmware para dispositivos Zebra suportados através do centro de administração do Intune.
  • iOS – gerir versões do sistema operativo do dispositivo e quando os dispositivos marcar e instalar atualizações.
  • macOS – gerir atualizações de software para dispositivos macOS inscritos como dispositivos supervisionados.
  • Windows - Para gerir a experiência de Windows Update para dispositivos, pode configurar quando os dispositivos analisam ou instalam atualizações, têm um conjunto de dispositivos geridos em versões de funcionalidades específicas e muito mais.

• Linhas de base de segurança – implemente linhas de base de segurança para estabelecer uma postura de segurança principal nos seus dispositivos Windows. As linhas de base de segurança são grupos pré-configurados de definições do Windows que são recomendados pelas equipas de produtos relevantes. Você pode usar as linhas de base como foram fornecidas ou editar instâncias delas para atender às metas de segurança para grupos de dispositivos de destino.

• Redes privadas virtuais (VPNs) – com perfis VPN, atribua definições de VPN a dispositivos para que possam ligar facilmente à rede da sua organização. Intune suporta vários tipos de ligação VPN e aplicações que incluem capacidades incorporadas para algumas plataformas e aplicações VPN de primeiro e terceiros para dispositivos.

• Solução de Palavra-passe de Administrador Local do Windows (LAPS) – com a política laps do Windows, pode:

  • Impor requisitos de palavra-passe para contas de administrador local
  • Fazer uma cópia de segurança de uma conta de administrador local a partir de dispositivos para o Active Directory (AD) ou Microsoft Entra
  • Agende a rotação dessas palavras-passe de conta para ajudar a mantê-las seguras.

Proteger dados por meio de políticas

Os aplicativos gerenciados pelo Intune e as políticas de proteção de aplicativo do Intune podem ajudar a interromper vazamentos de dados e manter os dados da sua organização seguros. Estas proteções podem aplicar-se a dispositivos inscritos com Intune e a dispositivos que não estão.

• Intune aplicações geridas (ou aplicações geridas para abreviar), são aplicações que integram o SDK da Aplicação Intune ou são encapsuladas pelo Intune App Wrapping Tool. Estes aplicativos podem ser gerenciados por meio das políticas de proteção de aplicativo do Intune. Para exibir uma lista de aplicativos gerenciados publicamente disponíveis, confira aplicativos protegidos do Intune.

  Os utilizadores podem utilizar aplicações geridas para trabalhar com os dados da sua organização e os seus próprios dados pessoais. No entanto, quando as políticas de proteção de aplicações exigem a utilização de uma aplicação gerida, a aplicação gerida é a única aplicação que pode ser utilizada para aceder aos dados da sua organização. Proteção de aplicativos regras não se aplicam aos dados pessoais de um utilizador.

• Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. As regras identificam a aplicação gerida que tem de ser utilizada e definem o que pode ser feito com os dados enquanto a aplicação está a ser utilizada.

Veja os seguintes exemplos de proteções e restrições que podem ser definidas com as políticas de proteção de aplicativo e os aplicativos gerenciados:

• Configure proteções de camada de aplicativo, como exigir um PIN para abrir um aplicativo em um contexto de trabalho.
• Controle a partilha de dados de uma organização entre aplicações num dispositivo, como bloquear cópias e colar ou capturas de ecrã.
• Impedir a gravação dos dados da sua organização em localizações de armazenamento pessoal.

Usar ações de dispositivo para proteger dispositivos e dados

A partir do Microsoft Intune centro de administração, pode executar ações do dispositivo que ajudam a manter um dispositivo selecionado protegido. Você pode executar um subconjunto dessas ações como ações de dispositivo em massa para afetar vários dispositivos ao mesmo tempo. E várias ações remotas do Intune também podem ser usadas com dispositivos co-gerenciados.

As ações de dispositivo não são políticas e entrarão em vigor uma única vez quando invocadas. Elas serão aplicadas imediatamente se o dispositivo estiver acessível online ou da próxima vez que o dispositivo for inicializado ou fizer check-in no Intune. Essas ações são consideradas complementares ao uso de políticas que configuram e mantêm configurações de segurança para uma população de dispositivos.

Veja os seguintes exemplos de ações que você pode executar para ajudar a proteger dispositivos e dados:

Dispositivos gerenciados pelo Intune:

• Rotação da chave do BitLocker (somente Windows)
• Desativar o Bloqueio de Ativação (apenas dispositivos Apple, veja como desativar o Bloqueio de Ativação com o Apple Business Manager)
• Análise completa ou rápida (apenas no Windows)
• Bloqueio remoto
• Extinguir (que remove os dados da sua organização do dispositivo ao deixar os dados pessoais intactos)
• Atualizar a Inteligência de Segurança do Microsoft Defender
• Apagar (redefinir o dispositivo para as configurações de fábrica, removendo todos os dados, aplicativos e configurações)

Dispositivos gerenciados pelo Configuration Manager:

• Desativar
• Revelar
• Sincronizar (forçar um dispositivo a fazer check-in imediatamente com o Intune para encontrar novas políticas ou ações pendentes)

Integrar com outros produtos e tecnologias de parceiros

O Intune dá suporte à integração com aplicativos de parceiros de fontes internas e de terceiros, que se expandem em seus recursos integrados. Você também pode integrar o Intune a várias tecnologias da Microsoft.

Parceiros de conformidade

Saiba mais sobre como utilizar parceiros de conformidade de dispositivos com Intune. Quando gere um dispositivo com um parceiro de gestão de dispositivos móveis que não Intune, pode integrar esses dados de conformidade com Microsoft Entra ID. Quando integradas, as políticas de Acesso Condicional podem utilizar os dados do parceiro juntamente com os dados de conformidade de Intune.

Gerenciador de Configurações

Você pode usar muitas políticas e ações de dispositivo do Intune para proteger os dispositivos que gerencia com o Configuration Manager. Para dar suporte a esses dispositivos, configure o cogerenciamento ou a anexação de locatário. Você também pode usar ambos junto com o Intune.

• Com a Cogestão, pode gerir simultaneamente um dispositivo Windows com Configuration Manager e Intune. Você instala o cliente do Configuration Manager e registra o dispositivo no Intune. O dispositivo se comunica com ambos os serviços.

• Com a Anexação do inquilino, configura a sincronização entre o site Configuration Manager e o inquilino do Intune. Esta sincronização fornece-lhe uma vista única para todos os dispositivos que gere com Microsoft Intune.

Depois de estabelecida uma ligação entre Intune e Configuration Manager, os dispositivos de Configuration Manager estão disponíveis no centro de administração do Microsoft Intune. Em seguida, você pode implantar políticas do Intune nesses dispositivos ou usar ações de dispositivo para protegê-los.

Algumas das proteções que você pode aplicar incluem:

• Implantar certificados em dispositivos usando o Protocolo SCEP do Intune ou os perfis de certificados de par de chaves públicas e privadas (PKCS).
• Usar a política de conformidade.
• Usar políticas de segurança de ponto de extremidade, como Antivírus, Detecção de ponto de extremidade e resposta e regras de Firewall.
• Aplicar linhas de base de segurança.
• Gerenciar as Atualizações do Windows.

Aplicações de defesa contra ameaças para dispositivos móveis

Os aplicativos MTD (Defesa Contra Ameaças Móveis) examinam e analisam ativamente os dispositivos em busca de ameaças. Ao integrar (conectar) aplicativos de Defesa Contra Ameaças Móveis com o Intune, você obterá a avaliação de aplicativos de um nível de ameaça de dispositivos. A avaliação de uma ameaça de dispositivo ou nível de risco é uma ferramenta importante para proteger os recursos da sua organização contra dispositivos móveis comprometidos. Em seguida, pode utilizar esse nível de ameaça em várias políticas, como políticas de Acesso Condicional, para ajudar a controlar o acesso a esses recursos.

Use dados em nível de ameaça com políticas de conformidade do dispositivo, proteção de aplicativo e Acesso Condicional. Estas políticas utilizam os dados para ajudar a impedir que dispositivos não conformes acedam aos recursos da sua organização.

Com um aplicativo MTD integrado:

• Para dispositivos registrados:

  • Use o Intune para implantar e gerenciar o aplicativo MTD em dispositivos.
  • Implante políticas de conformidade do dispositivo que usam o nível de ameaça relatado pelos dispositivos para avaliar a conformidade.
  • Defina políticas de Acesso Condicional que consideram um nível de ameaça de dispositivos.
  • Defina as políticas de proteção de aplicativo para determinar quando bloquear ou permitir o acesso a dados, com base no nível de ameaça do dispositivo.

• Para dispositivos que não se inscrevem no Intune mas executam uma aplicação MTD que se integra com Intune, utilize os respetivos dados ao nível da ameaça com as políticas de proteção de aplicações para ajudar a bloquear o acesso aos dados da sua organização.

O Intune dá suporte à integração com:

• Vários parceiros de MTD de terceiros.
• Microsoft Defender para Ponto de Extremidade, que dá suporte a recursos extras com o Intune.

Microsoft Defender para Ponto de Extremidade

Por si só, o Microsoft Defender para Ponto de Extremidade oferece vários benefícios voltados para a segurança. O Microsoft Defender para Ponto de Extremidade também se integra ao Intune e é compatível com várias plataformas de dispositivo. Com a integração, você ganha um aplicativo de defesa contra ameaças móveis e adiciona recursos ao Intune para manter os dados e os dispositivos seguros. Esses recursos incluem:

• Suporte para o Microsoft Tunnel: em dispositivos Android, o Microsoft Defender para Ponto de Extremidade é o aplicativo cliente que você usa com o Microsoft Tunnel, uma solução de gateway de VPN para o Intune. Quando utilizado como a aplicação cliente do Microsoft Tunnel, não precisa de uma subscrição para Microsoft Defender para Ponto de Extremidade.

• Tarefas de segurança – com as tarefas de segurança, os administradores do Intune podem aproveitar os recursos de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Como funciona:

  • Sua equipe do Defender para Ponto de Extremidade identifica os dispositivos em risco e cria as tarefas de segurança para o Intune na central de segurança do Defender para Ponto de Extremidade.
  • Essas tarefas aparecem no Intune com conselhos de mitigação que os administradores do Intune podem usar para mitigar o risco.
  • Quando uma tarefa é resolvida no Intune, esse status é repassado para a central de segurança do Defender para Ponto de Extremidade, na qual os resultados da mitigação podem ser avaliados.

• Políticas de segurança de Ponto de Extremidade – as políticas de segurança de ponto de extremidade do Intune a seguir exigem integração com o Microsoft Defender para Ponto de Extremidade. Ao usar a anexação de locatário, você pode implantar essas políticas em dispositivos que gerencia com o Intune ou com o Configuration Manager.

  • Política antivírus – faça a gestão das definições do Antivírus do Microsoft Defender e da experiência de Segurança do Windows em dispositivos suportados, como Windows e macOS.

  • Política de detecção e resposta de ponto de extremidade – use essa política para configurar a EDR (detecção e resposta de ponto de extremidade), que é um recurso do Microsoft Defender para Ponto de Extremidade.

Acesso Condicional

O Acesso Condicional é uma capacidade Microsoft Entra que funciona com Intune para ajudar a proteger os dispositivos. Para dispositivos que se registam com Microsoft Entra ID, as políticas de Acesso Condicional podem utilizar detalhes de conformidade e dispositivos de Intune para impor decisões de acesso para utilizadores e dispositivos.

Combinar política de Acesso Condicional com:

• As políticas de conformidade do dispositivo podem exigir que um dispositivo seja marcado como conforme antes de esse dispositivo poder ser utilizado para aceder aos recursos da sua organização. A política de Acesso Condicional especifica os aplicativos ou serviços que você quer proteger, as condições sob as quais os aplicativos ou serviços podem ser acessados e os usuários aos quais a política se aplica.

• Proteção de aplicativos políticas podem adicionar uma camada de segurança que garante que apenas as aplicações cliente que suportam Intune políticas de proteção de aplicações podem aceder aos seus recursos online, como o Exchange ou outros serviços do Microsoft 365.

O Acesso Condicional também funciona com os seguintes para ajudar a manter os dispositivos seguros:

• Microsoft Defender para Ponto de Extremidade e aplicativos MTD de terceiros
• Aplicativos de parceiro de conformidade do dispositivo
• Microsoft Tunnel

Adicionar Gestão de Privilégios de Ponto Final

A Endpoint Privilege Management (EPM) permite-lhe executar os seus utilizadores do Windows como utilizadores padrão, ao mesmo tempo que eleva privilégios apenas quando necessário, conforme concebido por regras organizacionais e parâmetros definidos pela sua organização. Este design suporta a imposição do acesso com menos privilégios, um inquilino principal de uma arquitetura de segurança Confiança Zero. O EPM permite que as equipas de TI giram os utilizadores padrão de forma mais eficiente e limitem a superfície de ataque, permitindo apenas que os funcionários sejam executados como administradores para aplicações ou tarefas específicas e aprovadas.

As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnóstico do Windows.

Ao implementar as regras de elevação do EPM que definir, só pode permitir que as aplicações em que confia executem no contexto elevado. Por exemplo, as regras podem exigir uma correspondência de hash de ficheiro ou a presença de um certificado para validar a integridade dos ficheiros antes de ser executado num dispositivo.

Para obter mais informações, veja Endpoint Privilege Management.

Próximas etapas

Planeje usar os recursos do Intune para dar suporte à sua jornada em direção a um ambiente com confiança zero, protegendo seus dados e dispositivos. Além dos links embutidos anteriores para saber mais sobre esses recursos, confira segurança e compartilhamento de dados no Intune.