Criar uma política de conformidade no Microsoft Intune
As políticas de conformidade do dispositivo são um recurso importante ao usar o Intune para proteger recursos da sua organização. No Intune, você pode criar regras e configurações que dispositivos precisam cumprir para serem considerados em conformidade, como uma verão mínima do sistema operacional. Se o dispositivo não está em conformidade, é possível bloquear o acesso aos dados e recursos usando o Acesso Condicional.
Também pode efetuar ações de não conformidade, como enviar um e-mail de notificação ao utilizador. Para ver uma visão geral do que fazem as políticas de conformidade e como elas são usadas, confira a Introdução à conformidade do dispositivo.
Este artigo:
- Lista os pré-requisitos e as etapas para criar uma política de conformidade.
- Mostra como atribuir a política aos grupos de usuários e dispositivos.
- Descreve outras funcionalidades, incluindo etiquetas de âmbito para "filtrar" as suas políticas e passos que pode seguir em dispositivos que não estão em conformidade.
- Lista os tempos de ciclo de atualização de check-in quando os dispositivos recebem as atualizações da política.
Antes de começar
Para usar as políticas de conformidade do dispositivo, não deixe de:
Usar as seguintes assinaturas:
- Intune
- Se utilizar o Acesso Condicional, precisa de Microsoft Entra ID edição P1 ou P2. Microsoft Entra preços lista o que obtém com as diferentes edições. Intune conformidade não requer Microsoft Entra ID.
Usar uma plataforma compatível:
- Administrador de dispositivo Android
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- macOS
- Windows 10/11
Importante
Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.
Inscrever dispositivos no Intune (obrigatório para ver o status de conformidade)
Inscrever dispositivos para um usuário, ou inscrever sem um usuário primário. Os dispositivos individuais não podem ser inscritos em vários utilizadores.
Além das definições de compatibilidade incorporadas no Intune, as seguintes plataformas suportam a adição de definições de conformidade personalizadas a políticas de conformidade:
- Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- Windows 10/11
Antes de poder adicionar definições personalizadas, tem de preparar um ficheiro JSON personalizado que defina as definições nas quais pretende basear a conformidade personalizada e um script que seja executado nos dispositivos para detetar as definições definidas no JSON.
Para obter mais informações sobre como utilizar definições de conformidade personalizadas, incluindo plataformas suportadas, pré-requisitos e como configurar a categoria Conformidade Personalizada ao criar uma política, veja Utilizar definições de conformidade personalizadas.
Criar a política
Aceda aConformidade de Dispositivos> e selecione Criar política.
Selecione uma Plataforma para essa política nas seguintes opções:
- Administrador de dispositivo Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux - (Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS, RedHat Enterprise Linux 8 ou RedHat Enterprise Linux 9)
- macOS
- Windows 8.1 e posterior
- Windows 10 e posterior
Para Android Enterprise, você também seleciona um Tipo de política:
- Perfil de trabalho totalmente gerido, dedicado e pertencente à empresa
- Perfil de trabalho pessoal
Em seguida, selecione Criar para abrir a página de configuração.
Na guia Noções básicas, especifique um Nome que o ajude a identificá-la mais tarde. Por exemplo, um bom nome de política seria Marcar dispositivos do iOS/iPadOS com jailbreak como fora de conformidade.
Você também pode optar por especificar uma Descrição.
Na guia Configurações de conformidade, expanda as categorias disponíveis e defina as configurações de sua política. Os artigos seguintes descrevem as definições de conformidade disponíveis para cada plataforma:
Adicione definições personalizadas a políticas para plataformas suportadas.
Dica
Este é um passo opcional que é suportado apenas para as seguintes plataformas:
- Linux - Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
- Windows 10/11 Antes de poder adicionar definições personalizadas a uma política, tem de ter carregado um script de deteção para Intune e ter preparado um ficheiro JSON que defina as definições que pretende utilizar para conformidade. Veja Definições de conformidade personalizadas.
Na página Definições de compatibilidade, expanda a categoria Conformidade Personalizada :
Para Windows:
- Na página Definições de compatibilidade , expanda Conformidade Personalizada e defina Conformidade personalizada como Exigir.
- Em Selecionar o script de deteção, selecione Clicar para selecionar e, em seguida, especifique um script que tenha sido adicionado anteriormente ao centro de administração do Microsoft Intune. Este script tem de ser carregado antes de começar a criar a política.
- Para Carregar e validar o ficheiro JSON com as suas definições de conformidade personalizadas, selecione o ícone de pasta e, em seguida, localize e adicione o ficheiro JSON para Windows que pretende utilizar com esta política. Para obter assistência com o JSON, veja Criar um JSON para definições de conformidade personalizadas.
Para Linux:
- Na página Definições de compatibilidade, selecione Adicionar definições para abrir o painel Seletor de definições .
- Selecione Conformidade Personalizada e, em seguida, selecione 8.
- Novamente na página Definições de compatibilidade, selecione o botão de alternar para Exigir Conformidade Personalizada para alterá-la para Verdadeiro.
- Em Selecionar o script de deteção, selecione Definir definições reutilizáveis e, em seguida, especifique um script que tenha sido adicionado anteriormente ao centro de administração do Microsoft Intune. Este script tem de ter sido carregado antes de começar a criar a política.
- Em Selecionar o ficheiro de regras, selecione o ícone de pasta e, em seguida, localize e adicione o ficheiro JSON para Linux que pretende utilizar com esta política. Para obter assistência com o JSON, veja Criar um JSON para definições de conformidade personalizadas.
O JSON introduzido é validado e todos os problemas são apresentados. Após a validação dos conteúdos JSON, as regras do JSON são apresentadas no formato de tabela.
Na guia Ações para não conformidade, especifique uma sequência de ações a serem aplicadas automaticamente aos dispositivos que não atendem a essa política de conformidade.
Pode adicionar várias ações e configurar agendas e detalhes para algumas ações. Por exemplo, você pode alterar o agendamento da ação padrão Marcar o dispositivo como não compatível para ocorrer após um dia. Você pode adicionar uma ação para enviar um email ao usuário quando o dispositivo não estiver em conformidade para avisá-lo desse status. Também pode adicionar ações que bloqueiam ou extingam dispositivos que permanecem incompatíveis.
Para obter informações sobre as ações que você pode configurar, confira Adicionar ações para dispositivos não compatíveis, incluindo como criar emails de notificação para enviar aos usuários.
Outro exemplo inclui o uso de Locais, em que você adiciona pelo menos um local a uma política de conformidade. Nesse caso, a ação padrão para não conformidade se aplica quando você seleciona pelo menos um local. Se o dispositivo não estiver conectado a nenhum dos locais selecionados, será considerado que ele não está em conformidade. Você pode configurar o agendamento para dar aos usuários um período de cortesia, como um dia.
Na guia Marcas de escopo, selecione marcas para ajudar a filtrar políticas para grupos específicos, como
US-NC IT Team
ouJohnGlenn_ITDepartment
. Após adicionar as configurações, você também pode adicionar uma marca de escopo às políticas de conformidade.Para obter informações sobre o uso de marcas de escopo, confira Usar marcas de escopo para filtrar políticas.
Na guia Atribuições, atribua a política aos seus grupos.
Escolha + Selecionar grupos para incluir e atribua a política a um ou mais grupos. A política será aplicada a esses grupos quando você salvá-la após a próxima etapa.
As políticas para Linux não suportam atribuições baseadas no utilizador e só podem ser atribuídas a grupos de dispositivos.
Na guia Examinar + criar, examine as configurações e selecione Criar quando estiver pronto para salvar a política de conformidade.
Os usuários ou dispositivos direcionados pela sua política são avaliados em relação à conformidade durante o check-in com o Intune.
Tempos de ciclo de atualização
O Intune usa ciclos de atualização diferentes para verificar se há atualizações de políticas de conformidade. Se o registro do dispositivo for recente, a frequência de execução da verificação será maior. Os ciclos de atualização de política e perfil descrevem os tempos de atualização estimados.
A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa e sincronizar o dispositivo para verificar imediatamente as atualizações de políticas.
Atribuir um status de InGracePeriod
O status InGracePeriod para uma política de conformidade é um valor. Esse valor é determinado pela combinação do período de cortesia do dispositivo e status real de um dispositivo para essa política de conformidade.
Especificamente, se um dispositivo tem um status NonCompliant para uma política de conformidade atribuída, e:
- Não há um período de cortesia atribuído ao dispositivo, de modo que o valor atribuído à política de conformidade é NonCompliant
- O dispositivo tem um período de cortesia que expirou, de modo que o valor atribuído à política de conformidade é NonCompliant
- O dispositivo tem um período de cortesia no futuro, de modo que o valor atribuído à política de conformidade é InGracePeriod
A tabela a seguir resume estes pontos:
Status de conformidade real | Valor do período de carência atribuído | Status de conformidade efetiva |
---|---|---|
NonCompliant | Nenhum período de carência atribuído | NonCompliant |
NonCompliant | Data de ontem | NonCompliant |
NonCompliant | Data de amanhã | InGracePeriod |
Para obter mais informações sobre como monitorar políticas de conformidade de dispositivo, consulte Monitorar políticas de conformidade de dispositivo do Intune.
Atribuir um status de política de conformidade resultante
Se um dispositivo tiver várias políticas de conformidade e diferentes status de conformidade para duas ou mais das políticas de conformidade atribuídas, um único status de conformidade resultante será atribuído. Essa atribuição é baseada em um nível de gravidade conceitual atribuído a cada status de conformidade. Cada status de conformidade tem o seguinte nível de gravidade:
Status | Severity |
---|---|
Desconhecido | 1 |
NotApplicable | 2 |
Compatível com | 3 |
InGracePeriod | 4 |
NonCompliant | 5 |
Error | 6 |
Quando um dispositivo tem várias políticas de conformidade, o mais alto nível de gravidade de todas as políticas é atribuído a esse dispositivo.
Por exemplo, um dispositivo tem três políticas de conformidade atribuídas a ele: um status Unknown (Desconhecido, gravidade = 1), um status Compliant (Em Conformidade, gravidade = 3) e um status InGracePeriod (Período de tolerância, gravidade = 4). O status InGracePeriod tem o nível mais alto de gravidade. Portanto, todas as três políticas têm o status de conformidade InGracePeriod.