Etapa 5. Implantar perfis de dispositivo no Microsoft Intune
O Microsoft Intune inclui configurações e recursos que você pode ativar ou desativar em diferentes dispositivos da sua organização. Essas configurações e recursos são adicionados a "perfis de configuração". Você pode criar perfis para diferentes dispositivos e diferentes plataformas, incluindo iOS/iPadOS, administrador de dispositivos Android, Android Enterprise e Windows. Em seguida, use o Intune para aplicar ou "atribuir" o perfil aos dispositivos.
Este artigo fornece orientações sobre como começar com perfis de configuração.
Os perfis de configuração dão a você a capacidade de configurar uma proteção importante e colocar dispositivos em conformidade para que eles possam acessar seus recursos. Anteriormente, esses tipos de alterações de configuração eram configurados usando as configurações da Política de Grupo no Active Directory Domain Services. Uma estratégia de segurança moderna inclui mover controles de segurança para a nuvem, onde a aplicação desses controles não depende de recursos locais e acesso. Os perfis de configuração do Intune são a maneira de fazer a transição desses controles de segurança para a nuvem.
Para ter uma ideia do tipo de perfis de configuração que você pode criar, consulte Aplicar recursos e configurações em seus dispositivos usando perfis de dispositivo no Microsoft Intune.
Implantar as linhas de base de segurança do Windows no Intune
Como ponto de partida, se você quiser alinhar as configurações do dispositivo às linhas de base de segurança da Microsoft, recomendamos as linhas de base de segurança dentro de Microsoft Intune. A vantagem dessa abordagem é que você pode contar com a Microsoft para manter as linhas de base atualizadas à medida que os recursos do Windows 10 e 11 são lançados.
Para implantar as linhas de base de segurança do Windows no Intune, disponíveis para Windows 10 e Windows 11. Consulte Usar linhas de base de segurança para configurar dispositivos Windows no Intune para saber mais sobre as linhas de base disponíveis.
Por enquanto, basta implantar a linha de base de segurança de MDM mais apropriada. Consulte Gerenciar perfis de linha de base de segurança no Microsoft Intune para criar o perfil e escolher a versão da linha de base.
Mais tarde, quando o Microsoft Defender para Ponto de Extremidade estiver configurado e você conectar o Intune, implante as linhas de base do Defender para Ponto de Extremidade. Este tópico será abordado no próximo artigo desta série: Etapa 6. Monitorar o risco do dispositivo e a conformidade com as linhas de base de segurança.
É importante entender que essas linhas de base de segurança não são compatíveis com CIS ou NIST, mas espelho suas recomendações de perto. Para obter mais informações, confira As linhas de base de segurança do Intune são compatíveis com CIS ou NIST?
Personalizar perfis de configuração para sua organização
Além de implantar as linhas de base pré-configuradas, muitas organizações de escala corporativa implementam perfis de configuração para um controle mais granular. Essa configuração ajuda a reduzir a dependência dos Objetos de Política de Grupo no ambiente local do Active Directory e a mover os controles de segurança para a nuvem.
As muitas configurações que você pode definir usando perfis de configuração podem ser agrupadas em quatro categorias, conforme ilustrado abaixo.
A tabela a seguir descreve a ilustração.
Categoria | Descrição | Exemplos |
---|---|---|
Recursos do dispositivo | Controla os recursos no dispositivo. Essa categoria só se aplica a dispositivos iOS/iPadOS e macOS. | Airprint, notificações, mensagens de tela de bloqueio |
Restrições do dispositivo | Controla a segurança, o hardware, o compartilhamento de dados e mais configurações nos dispositivos | Exigir um PIN, criptografia de dados |
Configuração de acesso | Configura um dispositivo para acessar os recursos da sua organização | Perfis de email, perfis VPN, configurações de Wi-Fi, certificados |
Personalizado | Definir configuração personalizada ou executar ações de configuração personalizada | Definir configurações do OEM, executar scripts do PowerShell |
Ao personalizar perfis de configuração para sua organização, use as seguintes diretrizes:
- Simplifique sua estratégia de governança de segurança mantendo reduzido o número geral de políticas.
- Configurações de grupo nas categorias listadas acima ou categorias que fazem sentido para sua organização.
- Ao mover controles de segurança do GPO (Política de Grupo Objects) para Intune perfis de configuração, considere se as configurações configuradas por cada GPO ainda são relevantes e necessárias para contribuir para sua estratégia geral de segurança na nuvem. O Acesso Condicional e as muitas políticas que podem ser configuradas entre serviços de nuvem, incluindo Intune, fornecem proteção mais sofisticada do que poderia ser configurada em um ambiente local onde GPOs personalizados foram originalmente projetados.
- Utilize Política de Grupo Analytics para comparar e mapear as configurações atuais de GPO para recursos dentro de Microsoft Intune. Consulte Analisar seus objetos de política de grupo local (GPO) usando Política de Grupo análise em Microsoft Intune.
- Ao utilizar perfis de configuração personalizados, use as diretrizes aqui: Criar um perfil com configurações personalizadas no Intune.
Recursos adicionais
Se você não sabe por onde começar com perfis de dispositivo, o seguinte pode ajudar:
Se seu ambiente incluir GPOs locais, os seguintes recursos serão uma boa transição para a nuvem:
Próxima etapa
Vá para a Etapa 6. Monitore o risco do dispositivo e a conformidade com as linhas de base de segurança.