Gerir dispositivos Windows na sua organização – transição para a gestão moderna

A utilização de dispositivos pessoais para o trabalho e os utilizadores que trabalham fora do escritório podem estar a alterar a forma como a sua organização gere os dispositivos. Determinadas partes da sua organização podem exigir profundo controle granular sobre dispositivos, enquanto outras partes podem procurar um gerenciamento mais leve com base em cenário que capacite a força de trabalho moderna. O Windows oferece flexibilidade para responder a estes requisitos em mudança e pode ser facilmente implementado num ambiente misto. Pode mudar gradualmente a percentagem de dispositivos Windows, seguindo as agendas normais de atualização utilizadas na sua organização.

A sua organização pode suportar vários sistemas operativos numa vasta gama de tipos de dispositivos e geri-los através de um conjunto comum de ferramentas, como o Microsoft Configuration Manager, o Microsoft Intune ou outros produtos de terceiros. Esta "diversidade gerida" permite-lhe capacitar os seus utilizadores para beneficiarem dos melhoramentos de produtividade disponíveis nos seus novos dispositivos Windows (incluindo o suporte de rich touch e tinta digital), mantendo os seus padrões de segurança e capacidade de gestão. Pode ajudá-lo a si e à sua organização a beneficiarem mais rapidamente do Windows.

Este artigo oferece orientações sobre estratégias para implementar e gerir dispositivos Windows, incluindo a implementação do Windows num ambiente misto. Abrange as opções de gestão e as quatro fases do ciclo de vida do dispositivo:

Rever as opções de gestão do Windows

O Windows oferece uma variedade de opções de gestão, conforme mostrado no diagrama seguinte:

Diagrama do caminho para as TI modernas.

Conforme indicado no diagrama, a Microsoft continua a fornecer suporte para uma gestão e segurança profundas através de tecnologias como a Política de grupo, o Active Directory e o Configuration Manager. Também oferece uma abordagem "mobile-first, cloud-first" de gestão simplificada e moderna através de soluções de gestão de dispositivos baseadas na cloud, como o Microsoft Enterprise Mobility + Security (EMS). As futuras inovações do Windows, fornecidas através do Windows como um Serviço, são complementadas por serviços cloud como o Microsoft Intune, Microsoft Entra ID, Azure Information Protection e Microsoft 365.

Implementação e aprovisionamento

Com o Windows, pode continuar a utilizar a implementação tradicional do SO, mas também pode "gerir fora da caixa". Para transformar novos dispositivos em dispositivos totalmente configurados e totalmente geridos, pode:

Tem várias opções para atualizar para o Windows 10 e Windows 11. Para dispositivos existentes com o Windows 10, pode utilizar o processo de atualização no local robusto para uma mudança rápida e fiável para o Windows 11, preservando automaticamente todas as aplicações, dados e definições existentes. Esta utilização do processo pode significar custos de implementação mais baixos e uma produtividade melhorada, uma vez que os utilizadores finais podem ser imediatamente produtivos – está tudo bem onde o deixaram. Também pode utilizar uma abordagem tradicional de eliminação e carregamento, se preferir, com as mesmas ferramentas que utiliza atualmente.

Identidade e autenticação

Pode utilizar o Windows e serviços como o Microsoft Entra ID de novas formas para identidade, autenticação e gestão baseadas na cloud. Pode oferecer aos seus utilizadores a capacidade de "trazer o seu próprio dispositivo" (BYOD) ou de "escolher o seu próprio dispositivo" (CYOD) a partir de uma seleção que disponibilizar. Ao mesmo tempo, você pode gerenciar computadores e tablets que devem ingressar no domínio por causa de aplicativos ou recursos específicos que são usados neles.

Você pode imaginar o gerenciamento de usuários e dispositivos como algo que se enquadra nestas duas categorias:

  • Dispositivos corporativos (CYOD) ou pessoais (BYOD) usados pelos usuários móveis para aplicativos SaaS, como o Office 365. Com o Windows, os utilizadores podem aprovisionar automaticamente os respetivos dispositivos:

    • Para dispositivos empresariais, podem configurar o acesso empresarial com a associação ao Microsoft Entra. Quando lhes oferece a associação do Microsoft Entra com a inscrição mdm automática do Intune, estes podem colocar os dispositivos num estado gerido pela empresa num único passo, tudo a partir da cloud.

      A associação ao Microsoft Entra também é uma ótima solução para funcionários temporários, parceiros ou outros utilizadores a tempo parcial. Essas contas podem ser mantidas separadas do domínio AD local, mas ainda acessam os recursos corporativos necessários.

    • Da mesma forma, para dispositivos pessoais, os utilizadores podem utilizar uma nova experiência BYOD simplificada para adicionar a conta profissional ao Windows e, em seguida, aceder aos recursos de trabalho no dispositivo.

  • Os computadores e tablets ingressados no domínio são usados para aplicativos tradicionais e acesso a recursos importantes. Estas aplicações e recursos podem ser tradicionais que requerem autenticação ou acesso a recursos altamente confidenciais ou classificados no local.

    Com o Windows, se tiver um domínio do Active Directory no local integrado no Microsoft Entra ID, quando os dispositivos dos funcionários são associados, estes registam-se automaticamente com o ID do Microsoft Entra. Este registo fornece:

    Os PCs e tablets associados a um domínio podem continuar a ser geridos com a política de grupo ou cliente do Configuration Manager .

Ao examinar as funções em sua organização, você pode usar a seguinte árvore de decisão generalizada para começar a identificar os usuários ou dispositivos que requerem o ingresso no domínio. Considere mudar os restantes utilizadores para o ID do Microsoft Entra.

Diagrama da árvore de decisões para opções de autenticação de dispositivos.

Definições e configuração

Os requisitos de configuração são definidos por diversos fatores, incluindo o nível de gerenciamento necessário, os dispositivos e dados gerenciados e os requisitos do setor. Entretanto, os utilizadores estão frequentemente preocupados com a aplicação de políticas estritas de TI aos seus dispositivos pessoais, mas continuam a querer aceder ao e-mail e aos documentos empresariais. Pode criar um conjunto consistente de configurações em PCs, tablets e telemóveis através da camada MDM comum.

  • MDM: o MDM permite definir configurações de acordo com suas necessidades administrativas sem expor todas as configurações possíveis. (Por outro lado, a política de grupo expõe definições detalhadas que controla individualmente.) Uma das vantagens da MDM é que lhe permite aplicar definições mais abrangentes de privacidade, segurança e gestão de aplicações através de ferramentas mais leves e eficientes. A MDM também lhe permite direcionar dispositivos ligados à Internet para gerir políticas sem utilizar a política de grupo que requer dispositivos associados a um domínio no local. Esta aprovisionamento torna a MDM a melhor opção para dispositivos que estão constantemente em viagem.

  • Política de grupo e Configuration Manager: a sua organização ainda poderá ter de gerir computadores associados a um domínio a um nível granular através das definições de política de grupo. Nesse caso, a política de grupo e o Configuration Manager continuam a ser excelentes opções de gestão:

    • A política de grupo é a melhor forma de configurar granularmente PCs e tablets Windows associados a um domínio ligados à rede empresarial através de ferramentas baseadas no Windows. A Microsoft continua a adicionar definições de política de grupo a cada nova versão do Windows.

    • O Configuration Manager continua a ser a solução recomendada para a configuração granular com implementação de software robusta, atualizações do Windows e implementação do SO.

Atualização e manutenção

Com o Windows como serviço, seu departamento de TI não precisa mais executar processos complexos de geração de imagens (limpar e carregar) com cada nova versão do Windows. Seja no Canal de Disponibilidade Geral ou Long-Term Canal de Manutenção, os dispositivos recebem as atualizações de funcionalidade e qualidade mais recentes através de processos de aplicação de patches simples , muitas vezes automáticos. Para obter mais informações, veja Cenários de implementação do Windows.

O MDM com Intune fornecem ferramentas para aplicar as atualizações do Windows em computadores cliente em sua organização. O Configuration Manager oferece recursos avançados de gerenciamento e rastreamento dessas atualizações, incluindo janelas de manutenção e regras de implantação automática.

Próximas etapas

Existem vários passos que pode seguir para iniciar o processo de modernização da gestão de dispositivos na sua organização:

Avalie as práticas de gerenciamento atuais e pense nos investimentos que você pode fazer hoje. Quais práticas atuais precisam permanecer iguais, e quais podem ser mudadas? Especificamente, quais elementos de gerenciamento tradicional você precisar manter e onde é possível modernizar? Quer tome medidas para minimizar imagens personalizadas, reavaliar a gestão de definições ou reavaliar a autenticação e a conformidade, os benefícios podem ser imediatos. Pode utilizar a Análise de políticas de grupo no Microsoft Intune para ajudar a determinar que políticas de grupo suportadas por fornecedores de MDM baseados na cloud, incluindo o Microsoft Intune.

Avalie as diferentes necessidades de gerenciamento e casos de uso em seu ambiente. Há grupos de dispositivos que podem se beneficiar com o gerenciamento mais leve e simplificado? Os dispositivos BYOD, por exemplo, são candidatos naturais ao gerenciamento baseado em nuvem. Os usuários ou dispositivos que manipulam dados mais altamente regulamentados podem exigir um domínio do Active Directory no local para autenticação. O Configuration Manager e o EMS fornecem-lhe a flexibilidade para preparar a implementação de cenários de gestão modernos, ao mesmo tempo que direciona diferentes dispositivos da forma que melhor se adequa às suas necessidades empresariais.

Examine as árvores de decisão neste artigo. Com as diferentes opções no Windows, além do Configuration Manager e do Enterprise Mobility + Security, tem a flexibilidade de processar imagens, autenticação, definições e ferramentas de gestão para qualquer cenário.

Execute etapas incrementais. Avançar para a gestão moderna de dispositivos não tem de ser uma transformação nocturna. Os novos sistemas operacionais e dispositivos podem ser ativados sem a desativação dos mais antigos. Com esta "diversidade gerida", os utilizadores podem beneficiar de melhoramentos de produtividade em dispositivos Windows modernos, enquanto o utilizador continua a manter dispositivos mais antigos de acordo com as suas normas de segurança e capacidade de gestão. A política CSP MDMWinsOverGP permite que as políticas de MDM tenha precedência sobre a política de grupo quando a política de grupo e as políticas de MDM equivalentes são definidas no dispositivo. Pode começar a implementar políticas de MDM mantendo o seu ambiente de política de grupo. Para obter mais informações, incluindo a lista de políticas de MDM com políticas de grupo equivalentes, veja Políticas suportadas pela política de grupo.

Otimize os investimentos existentes. Na jornada de migração do tradicional gerenciamento local para o moderno gerenciamento baseado em nuvem, tire proveito da arquitetura híbrida e flexível do Configuration Manager e do Intune. A cogestão permite-lhe gerir simultaneamente dispositivos Windows com o Configuration Manager e o Intune. Para obter mais informações, consulte os seguintes artigos: