Gerenciar perfis de linha de base de segurança no Microsoft Intune
Para ajudar a proteger os seus utilizadores e dispositivos Windows, pode configurar e implementar instâncias distintas de perfis de linha de base de segurança do Microsoft Intune para diferentes grupos de utilizadores e dispositivos Windows. Existem linhas de base diferentes para diferentes produtos e cada um deles é um grupo de definições pré-configuradas que representam a postura de segurança recomendada dessa equipa de segurança de produtos. Pode implementar uma linha de base predefinida (não modificada) ou personalizar os seus perfis para configurar dispositivos com as definições necessárias para a sua organização.
Para obter uma lista das linhas de base de segurança disponíveis, veja Descrição geral das linhas de base de segurança.
Esse recurso aplica-se a:
- Windows 10 versão 1809 e posterior
- Windows 11
Descrição geral das linhas de base de segurança
Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo composto por várias definições de configuração de dispositivo.
Quando existem várias versões para uma linha de base de segurança, apenas a versão mais recente pode ser utilizada para criar uma nova instância dessa linha de base. Pode continuar a utilizar instâncias de linhas de base mais antigas que criou anteriormente e editar os grupos aos quais foram atribuídas. No entanto, as versões desatualizadas não suportam alterações às respetivas configurações de definição. Em vez disso, crie novas linhas de base que utilizem a versão de linha de base mais recente ou atualize as linhas de base mais antigas para essa versão mais recente se precisar de introduzir novas configurações para as definições.
Recomendamos que atualize as versões de linha de base mais antigas para a versão mais recente assim que for prático. Uma versão mais recente pode:
- Inclua novas definições que não estavam disponíveis nas versões mais antigas.
- Extinga e remova as definições antigas que já não são suportadas.
- Altere a configuração predefinida para que as definições se alinhem com as recomendações de segurança atuais do produto aplicável.
Tarefas comuns ao trabalhar com linhas de base de segurança incluem:
- Criar uma nova instância de perfil – configure as definições que pretende utilizar e atribua a linha de base a grupos.
- Atualizar uma linha de base de versão mais antiga para a versão de linha de base mais atual – altere a versão de linha de base em utilização por um perfil.
- Remover uma atribuição de linha de base – Saiba o que acontece quando você para de gerenciar as configurações com uma linha de base de segurança.
Pré-requisitos
A utilização do Intune para implementar linhas de base de segurança requer uma subscrição do Microsoft Intune Plano 1.
Dica
O Intune fornece uma interface de utilizador fácil de utilizar para configurar e implementar linhas de base de segurança, mas não cria nem define as linhas de base de segurança. Fora do Intune, estão disponíveis outras opções para implementar linhas de base de segurança, como as disponíveis no Toolkit de Conformidade de Segurança.
A utilização de linhas de base através do Intune requer que tenha uma subscrição ativa para o produto gerido, quando aplicável. Por exemplo, a utilização da linha de base do Microsoft Defender para Endpoint não concede direitos para utilizar o Microsoft Defender. Em vez disso, a linha de base fornece um método para configurar e gerir definições que estão presentes em dispositivos licenciados e geridos pelo Microsoft Defender para Endpoint.
Para gerenciar linhas de base no Intune, sua conta deve ter a função interna Gerenciador de Perfis e de Política.
Criar um perfil para uma linha de base de segurança
Selecione Segurança de ponto de extremidade>Linhas de base de segurança para ver a lista de linhas de base disponíveis.
Selecione a linha de base que você quer usar e selecione Criar perfil.
Na guia Básico, especifique as seguintes propriedades:
Nome: insira um nome do perfil de linhas de base de segurança. Por exemplo, insira Perfil padrão para Defender para Ponto de Extremidade.
Descrição: insira algum texto que descreva a função dessa linha de base. A descrição serve para você inserir o texto que quiser. Isso é opcional, mas recomendado.
Selecione Seguinte para ir para o separador seguinte. Depois de avançar para um novo separador, pode selecionar o nome do separador para regressar a um separador visualizado anteriormente.
Na guia Configurações, visualize os grupos de Configurações disponíveis na linha de base selecionada. É possível expandir um grupo para ver as configurações dele e os valores padrão dessas configurações na linha de base. Para localizar configurações específicas:
- Selecione um grupo para expandir e verificar as configurações disponíveis.
- As informações de uma definição estão disponíveis ao lado de um ícone de lâmpada. As informações de definições fornecem confiança nas configurações ao adicionar informações que organizações semelhantes adotaram com êxito. As informações estão disponíveis para algumas definições e não para todas as definições. Para obter mais informações, veja Informações sobre definições.
- Use a barra Pesquisar e especifique as palavras-chave que filtram a exibição para exibir apenas os grupos que contêm seus critérios de pesquisa.
Cada definição numa linha de base tem uma configuração predefinida predefinida para essa versão de linha de base. Alguns não serão configurados, enquanto outros estão definidos para configurar valores ou condições específicos num dispositivo. As predefinições predefinidas encontradas numa linha de base representam a postura de segurança recomendada dessa equipa de segurança de produtos. Ao configurar uma linha de base:
- Certifique-se de que revê cada definição e, quando necessário, reconfigurar uma predefinição predefinida quando a sua empresa precisar de uma configuração diferente.
- Tenha em atenção que diferentes tipos de linhas de base e versões podem incluir definições encontradas noutras linhas de base e cada uma pode recomendar um valor predefinido diferente para uma definição.
Na guia Marcas de escopo, selecione Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.
No separador Atribuições , selecione Selecionar grupos a incluir e, em seguida, atribua a linha de base a um ou mais grupos. Use Selecionar grupos para excluir a fim de ajustar a atribuição.
Observação
As linhas de base de segurança têm de ser atribuídas a grupos de utilizadores ou grupos de dispositivos com base no âmbito das definições que estão a ser utilizadas. Por este motivo, podem ser necessárias várias linhas de base ao atribuir definições baseadas no utilizador e no dispositivo.
Quando estiver pronto para implantar a linha de base, avance até a guia Revisar + criar para examinar os detalhes da linha de base. Selecione Criar para salvar e implantar o perfil.
Assim que criar o perfil, o Intune envia-o para o grupo atribuído, que o aplica imediatamente.
Dica
Se você salvar um perfil sem primeiro atribuí-lo aos grupos, poderá editar o perfil posteriormente para fazer isso.
Depois de criar o perfil, edite-o acessando Segurança do ponto de extremidade>Linhas de base de segurança, depois selecione o tipo da linha de base que você configurou e selecione Perfis. Selecione o perfil na lista de perfis disponíveis e, em seguida, selecione Propriedades. Você pode editar as configurações de todas as guias de configuração disponíveis e selecionar Revisar + salvar para confirmar suas alterações.
Atualizar um perfil para a versão mais recente
As informações nesta secção aplicam-se à atualização de uma instância de linha de base criada antes de maio de 2023 para uma versão da mesma linha de base que foi lançada após maio de 2023.
Observação
Em maio de 2023, o Intune iniciou a implementação de um novo formato de linha de base de segurança para cada nova versão ou atualização de linha de base. O Intune também introduziu um novo processo de atualização para migrar um perfil de linha de base de segurança existente para uma linha de base de segurança recentemente lançada. Este novo comportamento substitui o comportamento existente ao mudar para uma versão de linha de base lançada em maio de 2023 ou posterior.
O comportamento anterior permanece disponível para utilização ao atualizar linhas de base que ainda não receberam uma nova versão que utiliza o novo formato. Para obter orientações, veja Atualizar linhas de base que utilizam o formato anterior.
Depois de maio de 2023, quando for lançada uma nova versão para uma linha de base, planeie atualizar os perfis existentes para a nova versão. Ao passar de um formato mais antigo para o novo formato de linha de base (de uma versão lançada antes de maio de 2023 para uma lançada em maio de 2023 ou posterior):
Todos os novos perfis do tipo de linha de base, como o Microsoft Edge, utilizam o novo formato. A criação de uma nova linha de base que utiliza uma versão de linha de base mais antiga não é suportada.
As versões de linha de base lançadas antes de maio de 2023 não atualizam para o novo formato. Em vez disso, crie um novo perfil que utilize o novo formato e configure as definições da linha de base antiga nesse novo formato de linha de base. A recriação do perfil é um processo único que é necessário para mover uma linha de base do formato antigo para o novo formato de linha de base.
Para ajudá-lo neste processo, o Intune pode exportar o perfil antigo para um formato CSV que identifica cada definição com base no nome da definição tal como aparece na nova versão do perfil, juntamente com a respetiva configuração.
Depois de criar uma nova linha de base que pode substituir a versão de linha de base mais antiga, o perfil mais antigo permanece inalterado e pode continuar a utilizá-la. Pode continuar a implementar, reatribuir e editar as definições no formato de linha de base mais antigo.
Dica
O suporte para editar definições numa versão de linha de base mais antiga depois de atualizar para uma nova versão é uma alteração do comportamento anterior. Este comportamento só é possível ao passar das versões de linhas de base criadas antes de maio de 2023 para as versões criadas em maio de 2023 ou posterior, porque o novo formato de linha de base existe lado a lado com o formato de linha de base mais antigo em vez de o substituir. Mais tarde, ao atualizar uma instância de linha de base criada em maio de 2023 ou posterior para uma versão mais recente, o comportamento original em que não é possível editar as definições na versão mais antiga devolve.
Recomendamos que planeie descontinuar a utilização do formato mais antigo e implementar um perfil com base na versão mais recente o mais rapidamente possível. Os perfis mais antigos não recebem atualizações enquanto as versões mais recentes forem lançadas em maio de 2023:
- Utilize o novo formato de definições na IU do Intune que se alinha diretamente com a origem do fornecedor de serviços de configuração (CSP) para cada definição.
- Estão pré-configuradas com configurações predefinidas recomendadas pelas equipas de segurança relevantes.
Atualizar uma linha de base para o novo formato
Para atualizar uma linha de base criada antes de maio de 2023 para o novo formato, tem de criar uma nova instância de linha de base. Para ajudá-lo a recriar a configuração das linhas de base originais, pode fazer com que o Intune exporte a configuração das linhas de base atuais como um ficheiro de .CSV. A exportação inclui:
- Cada definição da linha de base mais antiga é identificada com o nome da definição tal como aparece na nova linha de base. Embora o nome da definição não seja apresentado no texto literal na .csv, pode encontrar o caminho para a definição, que contém parte do nome da definição na mesma.
- Como cada definição na linha de base mais antiga foi configurada.
- Se a configuração de uma definição da linha de base antiga corresponder à configuração predefinida da nova linha de base.
Com as informações da exportação, pode reconfigurar rapidamente a nova linha de base para utilizar os mesmos valores que a instância de linha de base mais antiga.
Inicie sessão no centro de administração do Microsoft Intune e aceda aLinhas> de base de segurança de Ponto> finalSelecione o tipo de linha de base e, em seguida, selecione a caixa de verificação do perfil de linha de base (instância) que pretende replicar no novo formato de linha de base e, em seguida, selecione Alterar Versão. O Intune apresenta o painel Alterar Versão .
Na captura de ecrã seguinte, analisámos a Linha de Base de Segurança do Microsoft Edge. Temos dois perfis neste momento. Um deles é um novo perfil para o Microsoft Edge v112 e o outro é um perfil mais antigo a partir de setembro de 2020. O perfil mais antigo também apresenta um ícone de seta para indicar que existe uma versão mais recente para substituí-la.
No painel Alterar Versão , existem instruções para mover os detalhes de configuração da linha de base mais antiga para um perfil que utiliza o novo formato. O painel também identifica o nome e a versão das linhas de base selecionadas e qual é a versão de linha de base mais recente.
Selecione Exportar Definições de Perfil para criar um ficheiro de .csv que lista as definições na linha de base selecionada, juntamente com as configurações atuais, caso não estejam definidas para a predefinição de linhas de base. Quando seleciona a opção para exportar os detalhes da linha de base, o Intune prepara a exportação e, em seguida, exige que aceite continuar. Selecione Sim para transferir a exportação de ficheiros .CSV.
Após a transferência do ficheiro, pode abri-lo para ver a configuração atual das linhas de base mais antigas.
O painel Alterar Versão também inclui um botão para Criar um novo perfil para a linha de base selecionada, que tem a mesma função que a opção Criar perfil que é mais frequentemente utilizada para criar novas instâncias de linha de base.
A captura de ecrã seguinte mostra uma exportação para a versão 85 do perfil do Microsoft Edge, conforme visualizado no Microsoft Excel. Das novas definições de linhas de base do Microsoft Edge 17 que foram encontradas no perfil mais antigo, apenas uma definição foi alterada: Ativar o isolamento do site para cada site foi definida como Desativado na linha de base mais antiga. Na linha de base mais recente, a predefinição é agora Ativada:
Na imagem anterior, existem três colunas de informações. As informações identificam as definições no novo perfil e a configuração de cada uma delas que tinha no perfil antigo.
DefinitionId – esta coluna apresenta o nome do registo de definições. As informações após o caráter de sublinhado ( _ ) identificam o nome das definições tal como aparecem no novo perfil e formato de linha de base, mas sem espaços no nome. Este valor é também o nome da definição CSP que esta definição de linha de base gere.
Por exemplo, a nossa definição modificada de Ativar isolamento de site para cada site aparece nesta exportação como admx--microsoftedge_SitePerProcess. A última parte, SitePerProcess, ajuda a identificar a definição.
defaultJson – esta coluna identifica a configuração predefinida para esta definição, conforme visto no novo formato de linha de base. A nossa definição de exemplo para o CSP SitePerProcess está definida como ativada por predefinição .
customizedJson – a coluna final apresenta a configuração de cada definição da versão de perfil mais antiga. Estas informações ajudam-no a compreender que definições no novo perfil necessitam de modificação para corresponder à configuração dos perfis mais antigos. A nossa definição de exemplo foi definida como desativada. Todas as outras definições apresentam "NotApplicable", uma vez que não foram modificadas a partir da configuração predefinida na versão de linha de base mais antiga que temos utilizado.
Poderá ter em atenção que o perfil de linha de base do Microsoft Edge atualizado tem mais do que as 17 definições encontradas no perfil mais antigo. A exportação da linha de base não identifica estas novas definições, uma vez que não estavam disponíveis na versão de linha de base mais antiga que está a rever.
Mais tarde, quando criar e configurar o novo perfil, pode utilizar a lista da exportação CSV para garantir que cada definição do perfil anterior é definida no novo perfil com a mesma configuração.
Atualizar linhas de base que utilizam o formato anterior
As informações nesta secção aplicam-se à atualização de uma linha de base existente criada antes de maio de 2023 para uma versão dessa mesma linha de base que também foi lançada antes de maio de 2023.
Observação
Em maio de 2023, o Intune iniciou a implementação de um novo formato de linha de base de segurança para cada nova versão ou atualização de linha de base. O Intune também introduziu um novo processo de atualização para migrar um perfil de linha de base de segurança existente para uma linha de base de segurança recentemente lançada. Este novo comportamento substitui o comportamento existente ao mudar para uma versão de linha de base lançada em maio de 2023 ou posterior.
A seguinte documentação de orientação destina-se a ser utilizada ao atualizar uma linha de base para uma versão mais recente lançada antes de maio de 2023. Se estiver a atualizar uma linha de base para uma versão lançada em maio de 2023 ou posterior, consulte Atualizar um perfil para a versão mais recente.
Quando uma nova versão de uma linha de base ficar disponível, planeie atualizar os perfis existentes para a nova versão:
- Perfis existentes não são atualizados para novas versões automaticamente.
- As configurações nos perfis de linha de base que não usam a versão mais recente se tornam somente leitura. Pode continuar a utilizar esses perfis mais antigos, incluindo editar o respetivo nome, descrição e atribuições, mas não pode editar definições para os mesmos nem criar novos perfis com base nessas versões mais antigas.
Recomendamos que você teste a atualização da versão em uma cópia de seus perfis existentes antes de atualizar seus perfis ativos.
Quando você altera a versão do perfil:
Você seleciona a instância mais recente da mesma linha de base. Não é possível fazer uma alteração entre dois tipos de linha de base diferentes, como fazer com que um perfil deixe de usar linha de base do Defender para Ponto de Extremidade e passe a usar a linha de base de segurança do MDM.
Pode exportar e transferir um ficheiro CSV que lista as alterações entre as duas versões de linha de base envolvidas.
Você escolhe como atualizar o perfil:
- Você pode manter todas as suas personalizações da versão de linha de base original.
- Você pode optar por usar os valores padrão para todas as configurações na nova versão de linha de base.
Você não tem a opção de alterar apenas algumas configurações em um perfil durante a atualização.
Durante a conversão:
Novas configurações que não estavam na versão mais antiga que você estava usando são adicionadas. Todas as novas definições da nova versão utilizam os respetivos valores predefinidos.
As configurações que não estão na nova versão de linha de base selecionada são removidas e não são mais aplicadas por esse perfil de linha de base de segurança.
Quando uma configuração não for mais gerenciada por um perfil de linha de base, ela não será redefinida no dispositivo. Em vez disso, a configuração no dispositivo permanece definida para sua última configuração até que algum outro processo gerencie a configuração para alterá-la. Exemplos de processos que podem alterar uma configuração depois que você parar de gerenciá-la incluem um perfil de linha de base diferente, uma configuração de política de grupo ou configuração manual feita no dispositivo.
Após a conclusão da conversão para a nova versão da linha de base:
- A linha de base é reimplantada imediatamente nos grupos atribuídos.
- Você pode editar a linha de base para alterar configurações individuais.
Testar a linha de base convertida e atualizada
Antes de atualizar um perfil de linha de base para uma nova versão, crie uma cópia dele para que você possa testar a nova versão de seu perfil em um grupo de dispositivos. Confira Duplicar uma linha de base de segurança mais adiante neste artigo.
- Quando cria uma cópia, as atribuições de grupo não são incluídas, o que significa que a cópia de linha de base não será implementada em nenhum dispositivo no momento em que fizer uma cópia ou no momento em que a atualizar para uma nova versão.
- Depois de atualizar o perfil para a versão mais recente, você pode editar suas configurações. Você pode atribuir a cópia atualizada a um grupo de dispositivos e editá-la para introduzir alterações em configurações individuais no perfil.
Para alterar a versão da linha de base de um perfil
Antes de atualizar a versão de um perfil atribuído a grupos, teste a atualização da versão em uma cópia do perfil para que você possa validar as novas configurações de linhas de base em um grupo de teste de dispositivos.
Selecione Segurança de ponto de extremidade>Linhas de base de segurança, e selecione o bloco do tipo de linha de base com o perfil que você deseja alterar.
Em seguida, selecione Perfis, marque a caixa de seleção do perfil que você quer editar e selecione Alterar Versão.
No painel Alterar Versão, use o menu suspenso Selecionar uma linha de base de segurança para a qual atualizar e selecione a instância da versão que você deseja usar.
Selecione Examinar atualização para fazer baixar um arquivo CSV que exibe a diferença entre a versão da instância atual do perfil e a nova versão que você selecionou. Revise esse arquivo para entender quais configurações são novas ou foram removidas e quais são os valores padrão para essas configurações no perfil atualizado.
Quando estiver pronto, prossiga para a próxima etapa.
Escolha uma das duas opções para Selecionar um método para atualizar o perfil:
- Aceitar alterações de linha de base, mas manter minhas personalizações de configuração existentes – Essa opção mantém as personalizações feitas no perfil da linha de base e as aplica à nova versão selecionada para uso.
- Aceitar alterações de linha de base e descartar personalizações de configurações existentes – Esta opção substitui completamente o seu perfil original. O perfil atualizado utiliza os valores predefinidos para todas as definições.
Selecione Enviar. O perfil é atualizado para a versão de linha de base selecionada e, após a conclusão da conversão, a linha de base é imediatamente reimplementada aos grupos atribuídos.
Remover uma atribuição de linha de base de segurança
Quando uma definição de linha de base de segurança já não se aplica a um dispositivo ou as definições numa linha de base estão definidas como Não configurada, essas definições num dispositivo podem não reverter para uma configuração pré-gerida, dependendo das definições na linha de base de segurança. As configurações são baseadas em CSPs, e cada CSP pode lidar com a remoção de perfil de forma diferente.
Outros processos que podem alterar posteriormente as configurações no dispositivo incluem uma linha de base de segurança diferente ou nova, um perfil de configuração de dispositivo, configurações de Política de Grupo ou a edição manual da configuração no dispositivo.
Duplicar uma linha de base de segurança
Você pode criar duplicatas de suas linhas de base de segurança. Duplicar uma linha de base pode ser útil quando você deseja atribuir uma linha de base semelhante, mas distinta, a um subconjunto de dispositivos. Ao criar um duplicado, não precisa de recriar manualmente toda a linha de base. Em vez disso, duplique qualquer uma das suas linhas de base atuais e, em seguida, introduza apenas as alterações exigidas pela nova instância. Você pode alterar apenas uma configuração específica e o grupo ao qual a linha de base está atribuída.
Quando criar um duplicado, atribua um novo nome à cópia. A cópia é efetuada com as mesmas configurações de definição e etiquetas de âmbito que a original, mas não tem atribuições. Tem de editar a nova linha de base para adicionar atribuições.
Todas as linhas de base de segurança dão suporte à criação de uma duplicata.
Depois de duplicar uma linha de base, examine e edite a nova instância para fazer alterações em sua configuração.
Para duplicar uma linha de base
- Entre no Centro de administração do Microsoft Intune.
- Vá para Segurança de ponto de extremidade>Linhas de base de segurança, selecione o tipo de linha de base que você deseja duplicar e, em seguida, selecione Perfis.
- Clique com o botão direito do mouse no perfil que você deseja duplicar e selecione Duplicar ou selecione as reticências (…) à direita da linha de base e selecione Duplicar.
- Forneça um Novo nome para a linha de base e selecione Salvar.
Após uma Atualização, o novo perfil de linha de base aparecerá no centro de administração.
Para editar uma linha de base
Selecione a linha de base e, em seguida, selecione Propriedades.
Nessa exibição, você pode selecionar Editar para as seguintes categorias para modificar o perfil:
- Noções básicas
- Atribuições
- Marcas de escopo
- Definição de configurações
Você pode Editar os Parâmetros de configuração somente quando o perfil usa a versão mais recente da linha de base de segurança. Para perfis que usam versões mais antigas, você pode expandir as Configurações para exibir as configurações no perfil, mas não pode modificá-las. Após o perfil ser atualizado para a versão de linha de base mais recente, você poderá editar duas configurações.
Depois de fazer alterações, selecione Salvar para salvar suas edições. Salve as edições em uma categoria para introduzir edições em categorias adicionais.
Versões mais antigas da linha de base
O Microsoft Intune atualiza as versões das linhas de base de segurança incorporadas consoante as necessidades em mudança de uma organização típica. Cada nova versão resulta em uma atualização de versão em uma linha de base específica. A expectativa é que os clientes utilizem a versão de linha de base mais recente como ponto de partida para os respetivos perfis de Configuração de Dispositivos.
Quando já não existirem perfis que utilizem uma linha de base mais antiga listada no seu inquilino, o Microsoft Intune lista a versão de linha de base mais recente disponível.
Se tiver um perfil associado a uma linha de base mais antiga, essa linha de base mais antiga continuará a ser listada.
Dispositivos cogerenciados
Linhas de base de segurança em dispositivos gerenciados pelo Intune são semelhantes aos dispositivos cogerenciados com o Configuration Manager. Os dispositivos cogerenciados usam o Configuration Manager e o Microsoft Intune para gerenciar dispositivos com Windows 10/11 simultaneamente. Isso permite que você anexe à nuvem seu investimento existente do Configuration Manager para obter os benefícios do Intune. Visão geral do cogerenciamento é um excelente recurso se você usa o Configuration Manager e também deseja os benefícios da nuvem.
Ao usar dispositivos cogerenciados, você deve alternar a carga de trabalho Configuração do dispositivo (suas configurações) para o Intune. Cargas de trabalho de configuração de dispositivo fornece mais informações.
Próximas etapas
Verifique o status e monitore a linha de base e o perfil
Veja as configurações nas versões mais recentes das linhas de base disponíveis: