Gerenciar a segurança do ponto de extremidade no Microsoft Intune

Como Administração de Segurança, utilize o nó de segurança Ponto final no Intune para configurar a segurança do dispositivo e gerir tarefas de segurança para dispositivos quando esses dispositivos estão em risco. As políticas de segurança de Ponto final foram concebidas para o ajudar a concentrar-se na segurança dos seus dispositivos e a mitigar o risco. As tarefas disponíveis podem ajudá-lo a identificar dispositivos em risco, a remediar esses dispositivos e a restaurá-los para um estado conforme ou mais seguro.

O nó de segurança ponto final agrupa as ferramentas que estão disponíveis através de Intune que pode utilizar para manter os dispositivos seguros:

• Reveja a status de todos os seus dispositivos geridos. Utilize a vista Todos os dispositivos onde pode ver a conformidade do dispositivo a partir de um nível elevado. Em seguida, desagregue em dispositivos específicos para compreender que políticas de conformidade não são cumpridas para que possa resolve-las.

• Implemente linhas de base de segurança que estabeleçam configurações de segurança de melhores práticas para dispositivos. Intune inclui linhas de base de segurança para dispositivos Windows e uma lista crescente de aplicações, como o Microsoft Defender para Ponto de Extremidade e o Microsoft Edge. As linhas de base de segurança são grupos pré-configurados de definições do Windows que o ajudam a aplicar uma configuração recomendada das equipas de segurança relevantes.

• Faça a gestão das configurações de segurança nos dispositivos através de políticas fortemente focadas. Cada política de segurança de Ponto Final centra-se em aspetos da segurança do dispositivo, como antivírus, encriptação de disco, firewalls e várias áreas disponibilizadas através da integração com Microsoft Defender para Ponto de Extremidade.

• Estabeleça os requisitos do dispositivo e do utilizador através da política de conformidade. Com as políticas de conformidade, define as regras que os dispositivos e os utilizadores têm de cumprir para serem considerados conformes. As regras podem incluir versões do SO, requisitos de palavra-passe, níveis de ameaça de dispositivos e muito mais.

  Quando se integra com Microsoft Entra políticas de Acesso Condicional para impor políticas de conformidade, pode controlar o acesso aos recursos empresariais para dispositivos geridos e dispositivos que ainda não são geridos.

• Integre Intune com a sua equipa de Microsoft Defender para Ponto de Extremidade. Ao integrar com Microsoft Defender para Ponto de Extremidade obter acesso a tarefas de segurança. As tarefas de segurança ligam de perto Microsoft Defender para Ponto de Extremidade e Intune para ajudar a sua equipa de segurança a identificar dispositivos que estão em risco e a entregar passos de remediação detalhados para Intune administradores que podem tomar medidas.

As secções seguintes deste artigo abordam as diferentes tarefas que pode efetuar a partir do nó de segurança de ponto final do centro de administração e as permissões de controlo de acesso baseado em funções (RBAC) necessárias para as utilizar.

Descrição Geral da segurança de pontos finais

Quando abre o nó de segurança ponto final no centro de administração do Microsoft Intune, a predefinição é a página Descrição geral.

A página Descrição Geral da segurança de pontos finais apresenta uma dashboard consolidada com apresentações e informações que são obtidas dos nós mais focados da segurança de pontos finais, incluindo Antivírus, Deteção e resposta de pontos finais e Microsoft Defender para Ponto de Extremidade:

• Conector do Defender para Endpoint status – esta vista apresenta o status atual para o Conector do Defender para Ponto Final ao nível do inquilino. A etiqueta para esta vista também serve como uma ligação para abrir o portal do Microsoft Defender para Ponto de Extremidade.

  Esta mesma vista está disponível no separador Resumo do nó Deteção de ponto final e política de resposta.

• Dispositivos Windows integrados no Defender para Ponto Final – esta tabela apresenta os status ao nível do inquilino para integração de deteção e resposta de pontos finais (EDR), com contagens de dispositivos que estão e não estão integrados. A etiqueta para esta vista é uma ligação que abre o separador Resumo do nó política de deteção e resposta de ponto final.

  Estão incluídas duas ligações adicionais:

  • Implementar política pré-configurada – esta ligação abre o nó de política para deteção e resposta de Ponto final onde pode implementar uma política para integrar dispositivos no Defender.

  • Integrar dispositivos no Defender para Endpoint – uma ligação para abrir o portal do Defender, onde pode efetuar outros passos para integrar dispositivos fora do fluxo de trabalho simplificado do Intune.

• Agente antivírus status – esta vista apresenta os detalhes de resumo do relatório de status do agente antivírus do Intune, caso contrário, está disponível no centro de administração do Intune ao aceder a Relatórios>Microsoft Defender Antivírus onde o relatório se encontra no separador Resumo.

• Outros Relatórios de monitorização – esta secção inclui mosaicos que abrem relatórios adicionais Microsoft Defender Antivírus, incluindo o Estado de Firewall de Software Maligno Detetado. Outro mosaico abre o portal do Defender , onde pode ver os dados de estado de funcionamento do sensor e do antivírus.

Gerenciar dispositivos

O nó de segurança Ponto final inclui a vista Todos os dispositivos, onde pode ver uma lista de todos os dispositivos do seu Microsoft Entra ID que estão disponíveis no Microsoft Intune.

A partir desta vista, pode selecionar dispositivos para explorar para obter mais informações, como as políticas com as quais um dispositivo não está em conformidade. Também pode utilizar o acesso desta vista para remediar problemas de um dispositivo, incluindo reiniciar um dispositivo, iniciar uma análise de software maligno ou rodar as teclas BitLocker num dispositivo Windows 10.

Para obter mais informações, veja Gerir dispositivos com segurança de pontos finais no Microsoft Intune.

Gerir Linhas de base de segurança

As linhas de base de segurança no Intune são grupos pré-configurados de definições que são recomendações de melhores práticas das equipas de segurança da Microsoft relevantes para o produto. Intune suporta linhas de base de segurança para definições de dispositivos Windows 10/11, Microsoft Edge, Proteção Microsoft Defender para Ponto de Extremidade e muito mais.

Pode utilizar linhas de base de segurança para implementar rapidamente uma configuração de melhores práticas das definições do dispositivo e da aplicação para proteger os seus utilizadores e dispositivos. As linhas de base de segurança são suportadas para dispositivos com Windows 10 versão 1809 e posterior e Windows 11.

Para obter mais informações, confira Usar linhas de base de segurança para configurar dispositivos com Windows no Intune.

As linhas de base de segurança são um dos vários métodos no Intune para configurar as definições nos dispositivos. Ao gerir as definições, é importante compreender que outros métodos estão a ser utilizados no seu ambiente que podem configurar os seus dispositivos para que possa evitar conflitos. Veja Evitar conflitos de políticas mais à frente neste artigo.

Reveja As tarefas de segurança do Microsoft Defender para Ponto de Extremidade

Quando integrar Intune com Microsoft Defender para Ponto de Extremidade, pode rever As tarefas de segurança no Intune que identificam dispositivos em risco e fornecem passos para mitigar esse risco. Em seguida, pode utilizar as tarefas para comunicar a Microsoft Defender para Ponto de Extremidade quando esses riscos forem mitigados com êxito.

• A sua equipa de Microsoft Defender para Ponto de Extremidade determina que dispositivos estão em risco e transmite essas informações à sua equipa de Intune como uma tarefa de segurança. Com alguns cliques, criam uma tarefa de segurança para Intune que identifica os dispositivos em risco, a vulnerabilidade e fornece orientações sobre como mitigar esse risco.

• Os Administradores do Intune analisam as tarefas de segurança e, em seguida, atuam no Intune para remediar essas tarefas. Depois de mitigadas, definem a tarefa como concluída, que comunica que status de volta à equipa Microsoft Defender para Ponto de Extremidade.

Através das Tarefas de segurança, ambas as equipas permanecem sincronizadas quanto aos dispositivos que estão em risco e como e quando esses riscos são remediados.

Para saber mais sobre como utilizar tarefas de Segurança, veja Utilizar Intune para remediar vulnerabilidades identificadas por Microsoft Defender para Ponto de Extremidade.

Utilizar políticas para gerir a segurança do dispositivo

Como administrador de segurança, utilize as políticas de segurança que se encontram em Gerir no nó de segurança Do ponto final. Com estas políticas, pode configurar a segurança do dispositivo sem ter de navegar no corpo e intervalo de definições maiores em perfis de configuração de dispositivos ou linhas de base de segurança.

Para saber mais sobre como utilizar estas políticas de segurança, veja Gerir a segurança do dispositivo com políticas de segurança de pontos finais.

As políticas de segurança de pontos finais são um dos vários métodos no Intune para configurar as definições nos dispositivos. Ao gerir as definições, é importante compreender que outros métodos estão a ser utilizados no seu ambiente que podem configurar os seus dispositivos e evitar conflitos. Veja Evitar conflitos de políticas mais à frente neste artigo.

Também se encontram em Gerir as políticas de Conformidade do dispositivo e Acesso Condicional . Estes tipos de políticas não são políticas de segurança focadas para configurar pontos finais, mas são ferramentas importantes para gerir dispositivos e aceder aos seus recursos empresariais.

Utilizar a política de conformidade do dispositivo

Utilize a política de conformidade do dispositivo para estabelecer as condições através das quais os dispositivos e utilizadores têm permissão para aceder à rede e aos recursos da empresa.

As definições de conformidade disponíveis dependem da plataforma que utiliza, mas as regras de política comuns incluem:

• Exigir que os dispositivos executem uma versão mínima ou específica do SO
• Definir requisitos de palavra-passe
• Especificar um nível máximo de ameaça de dispositivo permitido, conforme determinado por Microsoft Defender para Ponto de Extremidade ou outro parceiro de Defesa Contra Ameaças para Dispositivos Móveis

Além das regras de política, as políticas de conformidade suportam Ações de não conformidade. Estas ações são uma sequência ordenada por tempo de ações a aplicar a dispositivos não conformes. As ações incluem o envio de e-mails ou notificações para alertar os utilizadores do dispositivo sobre não conformidade, bloquear remotamente dispositivos ou até mesmo extinguir dispositivos não conformes e remover quaisquer dados da empresa que possam estar neles.

Quando integra Intune Microsoft Entra políticas de Acesso Condicional para impor políticas de conformidade, o Acesso Condicional pode utilizar os dados de conformidade para controlar o acesso aos recursos empresariais para dispositivos geridos e a partir de dispositivos que não gere.

Para saber mais, veja Definir regras em dispositivos para permitir o acesso aos recursos na sua organização com Intune.

As políticas de conformidade de dispositivos são um dos vários métodos no Intune para configurar as definições nos dispositivos. Ao gerir as definições, é importante compreender que outros métodos estão a ser utilizados no seu ambiente que podem configurar os seus dispositivos e evitar conflitos. Veja Evitar conflitos de políticas mais à frente neste artigo.

Configurar o Acesso Condicional

Para proteger os seus dispositivos e recursos empresariais, pode utilizar Microsoft Entra políticas de Acesso Condicional com Intune.

Intune transmite os resultados das políticas de conformidade do dispositivo para Microsoft Entra, que, em seguida, utiliza políticas de Acesso Condicional para impor que dispositivos e aplicações podem aceder aos seus recursos empresariais. As políticas de Acesso Condicional também ajudam a controlar o acesso a dispositivos que não gere com Intune e podem utilizar os detalhes de conformidade dos parceiros de Defesa Contra Ameaças para Dispositivos Móveis que integra com Intune.

Seguem-se dois métodos comuns de utilização do Acesso Condicional com Intune:

• Acesso Condicional baseado no dispositivo, para garantir que apenas os dispositivos geridos e conformes podem aceder aos recursos de rede.
• Acesso Condicional baseado na aplicação, que utiliza políticas de proteção de aplicações para gerir o acesso a recursos de rede por utilizadores em dispositivos que não gere com Intune.

Para saber mais sobre como utilizar o Acesso Condicional com Intune, veja Saiba mais sobre o Acesso Condicional e Intune.

Configurar a Integração com o Microsoft Defender para Ponto de Extremidade

Quando integra Microsoft Defender para Ponto de Extremidade com Intune, melhora a sua capacidade de identificar e responder a riscos.

Embora Intune possa integrar-se com vários parceiros de Defesa Contra Ameaças para Dispositivos Móveis, quando utiliza Microsoft Defender para Ponto de Extremidade ganha uma integração sólida entre Microsoft Defender para Ponto de Extremidade e Intune com acesso a opções avançadas de proteção de dispositivos, incluindo:

• Tarefas de segurança – comunicação totalmente integrada entre o Defender para Endpoint e Intune administradores sobre dispositivos em risco, como resolvê-los e confirmação quando esses riscos são mitigados.
• Integração simplificada para Microsoft Defender para Ponto de Extremidade em clientes.
• Utilização de sinais de risco de dispositivos do Defender para Endpoint no Intune políticas de conformidade e políticas de proteção de aplicações.
• Acesso às capacidades de proteção contra adulteração .

Para saber mais sobre como utilizar Microsoft Defender para Ponto de Extremidade com Intune, veja Impor a conformidade para Microsoft Defender para Ponto de Extremidade com o Acesso Condicional no Intune.

Requisitos de controlo de acesso baseado em funções

Para gerir tarefas no nó de segurança ponto final do centro de administração do Microsoft Intune, uma conta tem de:

• Ser-lhe atribuída uma licença para Intune.
• Ter permissões de controlo de acesso baseado em funções (RBAC) iguais às permissões fornecidas pela função de Intune incorporada do Endpoint Security Manager. A função Gestor de Segurança de Ponto Final concede acesso ao centro de administração do Microsoft Intune. Esta função pode ser utilizada por indivíduos que gerem funcionalidades de segurança e conformidade, incluindo linhas de base de segurança, conformidade do dispositivo, Acesso Condicional e Microsoft Defender para Ponto de Extremidade.

Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Permissões concedidas pela função de Gestor de Segurança de Ponto Final

Pode ver a seguinte lista de permissões no centro de administração do Microsoft Intune, acedendo aFunções> de Administração> deInquilinos Todas as Funções, selecionePropriedadesdo Gestor> de Segurança de Ponto Final.

Permissões:

• Android FOTA
  • Leitura
• Android for Work
  • Leitura
• Dados de auditoria
  • Leitura
• Conector do Certificado
  • Leitura
• Identificadores de dispositivos empresariais
  • Leitura
• Credenciais Derivadas
  • Leitura
• Políticas de conformidade do dispositivo
  • Atribuir
  • Criar
  • Excluir
  • Leitura
  • Atualizar
  • Exibir relatórios
• Configurações do dispositivo
  • Leitura
  • Exibir relatórios
• Gestores de inscrição de dispositivos
  • Leitura
• Relatórios do Endpoint Protection
  • Leitura
• Programas de inscrição
  • Ler dispositivo
  • Ler perfil
  • Token de leitura
• Filtros
  • Leitura
• Intune armazém de dados
  • Leitura
• Aplicações geridas
  • Leitura
• Dispositivos geridos
  • Excluir
  • Leitura
  • Definir utilizador principal
  • Atualizar
  • Exibir relatórios
• Microsoft Defender ATP
  • Leitura
• Microsoft Store para empresas
  • Leitura
• Defesa contra Ameaças Móveis
  • Modificar
  • Leitura
• Aplicativos móveis
  • Leitura
• Organização
  • Leitura
• Partner Gerenciamento de Dispositivos
  • Leitura
• PolicySets
  • Leitura
• Conectores de assistência remota
  • Leitura
  • Exibir relatórios
• Tarefas remotas
  • Obter chave FileVault
  • Iniciar a ação de Gestão de Configuração
  • Reiniciar agora
  • Bloqueio remoto
  • Rodar BitLockerKeys (Pré-visualização)
  • Trocar chave do FileVault
  • Desligamento
  • Sincronizar dispositivos
  • Windows Defender
• Funções
  • Leitura
• Linhas de base de segurança
  • Atribuir
  • Criar
  • Excluir
  • Leitura
  • Atualizar
• Tarefas de segurança
  • Leitura
  • Atualizar
• Termos e condições
  • Leitura
• Certificado Enterprise do Windows
  • Leitura

Evitar conflitos de políticas

Muitas das definições que pode configurar para dispositivos podem ser geridas por diferentes funcionalidades no Intune. Estas funcionalidades incluem, mas não estão limitadas a:

• Políticas de segurança de pontos finais
• Linhas de base de segurança
• Políticas de configuração de dispositivos
• Políticas de inscrição do Windows

Por exemplo, as definições encontradas nas políticas de segurança de Ponto final são um subconjunto das definições encontradas nos perfis de proteção de ponto final e restrição de dispositivos na política de configuração do dispositivo e que também são geridas através de várias linhas de base de segurança.

Uma forma de evitar conflitos é não utilizar linhas de base diferentes, instâncias da mesma linha de base ou diferentes tipos de política e instâncias para gerir as mesmas definições num dispositivo. Isto requer o planeamento dos métodos a utilizar para implementar configurações em diferentes dispositivos. Quando utiliza vários métodos ou instâncias do mesmo método para configurar a mesma definição, certifique-se de que os diferentes métodos concordam ou não são implementados nos mesmos dispositivos.

Se ocorrerem conflitos, pode utilizar as ferramentas incorporadas do Intune para identificar e resolve a origem desses conflitos. Para saber mais, confira:

• Solucionar problemas de políticas e perfis no Intune
• Monitorar suas linhas de base de segurança

Próximas etapas

Configurar:

• Linhas de base de segurança
• Políticas de conformidade
• Políticas de Acesso Condicional
• Integração com o Microsoft Defender para Ponto de Extremidade