Compartilhar via


guia de configuração passo a passo Windows 10/11 na cloud

Windows 10/11 na configuração da cloud (configuração da cloud) é uma configuração de dispositivo para dispositivos cliente Windows. Foi concebido para simplificar a experiência do utilizador final. Para obter mais informações sobre o que é a configuração da cloud, incluindo os requisitos mínimos, aceda a Descrição geral do cenário orientado de configuração da cloud do Windows.

Com a configuração da cloud, utiliza Microsoft Intune políticas para transformar um dispositivo cliente Windows num dispositivo otimizado para a cloud. Windows 10/11 na configuração da cloud:

  • Otimiza os dispositivos para a cloud ao configurá-los para se inscreverem na gestão de Intune com Microsoft Entra. Os dados de utilizador são armazenados automaticamente no OneDrive com a Movimentação de Pastas Conhecidas configurada.

  • Instala o Microsoft Teams e o Microsoft Edge em dispositivos.

  • Configura os utilizadores finais para serem utilizadores padrão nos dispositivos, dando mais controlo às TI sobre as aplicações instaladas nos dispositivos.

  • Remove as aplicações incorporadas e a aplicação Microsoft Store, simplificando a experiência do utilizador final.

  • Aplica definições de segurança de ponto final e uma política de conformidade. Estas políticas ajudam a manter os dispositivos seguros e ajudam as TI a monitorizar o estado de funcionamento do dispositivo.

  • Garante que os dispositivos são atualizados automaticamente através do Windows Update para Empresas.

  • Opcionalmente, também pode:

    • Adicione outras aplicações do Microsoft 365, como o Outlook, Word, Excel, PowerPoint.
    • Adicione aplicações de linha de negócio (LOB) essenciais que os utilizadores finais precisam de ter êxito. A Microsoft recomenda manter estas aplicações no mínimo para manter a configuração simples.
    • Adicione recursos essenciais, como perfis de Wi-Fi, ligações VPN, certificados e controladores de impressora necessários para fluxos de trabalho de utilizador.

Dica

Para obter uma descrição geral sobre Windows 10/11 na configuração da cloud e as respetivas utilizações, aceda a Windows 10/11 na configuração da cloud.

Existem duas formas de implementar a configuração da cloud:

  • Opção 1 – Automático: utilize o cenário orientado para criar automaticamente todos os grupos e políticas com os respetivos valores configurados. Para obter mais informações sobre esta opção, aceda a Descrição geral do cenário orientado de configuração da cloud do Windows.
  • Opção 2 – Manual (este artigo): utilize os passos neste artigo para implementar a configuração da cloud.

Este guia ajuda-o a criar a sua própria implementação de configuração da cloud. As secções seguintes descrevem como utilizar Microsoft Intune para configurar a configuração da cloud:

  1. Criar um grupo de Microsoft Entra
  2. Configurar a inscrição de dispositivos
  3. Implementar um script para configurar a Movimentação de Pastas Conhecidas e remover aplicações incorporadas
  4. Implantar aplicativos
  5. Implementar definições de segurança de ponto final
  6. Configurar definições de Windows Update
  7. Implementar uma política de conformidade do Windows
  8. Configurações opcionais

Passo 1 – Criar um grupo de Microsoft Entra

O primeiro passo é criar um grupo de segurança Microsoft Entra que receba as configurações que implementar.

Este grupo dedicado ajuda-o a organizar os dispositivos e a gerir os recursos de configuração da cloud no Intune. A Microsoft recomenda que implemente apenas as configurações neste guia. Em seguida, conforme necessário, adicione aplicações mais essenciais e outras configurações de dispositivos.

Utilize os seguintes passos para criar o grupo:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Grupos>Todos os grupos>Novo grupo.

  3. Para Tipo de grupo, selecione Segurança.

  4. Introduza um Nome do grupo, como Cloud config PCs.

  5. Em Tipo de associação, selecione Atribuído.

  6. Se quiser, pode adicionar dispositivos ao seu novo grupo agora. Selecione Sem membros selecionados e adicione membros ao seu grupo.

    Também pode começar com um grupo vazio e adicionar dispositivos mais tarde.

  7. Selecione Criar.

Dica

Quando o grupo for criado, pode adicionar dispositivos Windows Autopilot pré-registados a este grupo.

Dispositivos existentes

Se tiver dispositivos existentes inscritos no Intune que pretende utilizar com a configuração da cloud, recomenda-se começar de novo com estes dispositivos. Especificamente:

  • Remova aplicações e perfis existentes implementados nestes dispositivos.
  • Reponha estes dispositivos.
  • Volte a inscrever o dispositivo no Intune e implemente a configuração da cloud.

Estes passos adicionais são recomendados para dispositivos existentes porque fornecem uma experiência de utilizador simplificada. Em seguida, pode adicionar outras aplicações essenciais e garantir que os dispositivos têm apenas aquilo de que os utilizadores precisam.

Passo 2 – Configurar a inscrição de dispositivos

Neste passo, vai ativar a inscrição automática de MDM no Intune e configurar a forma como os dispositivos se inscrevem no Intune.

Se já utilizar o Windows Autopilot, ignore este passo e aceda ao Passo 3 – Implementar um script para configurar a Movimentação de Pastas Conhecidas e remover aplicações incorporadas (neste artigo).

✅ 1 - Ativar a inscrição automática

Ative a inscrição automática para os utilizadores da organização que pretende utilizar a configuração da cloud. A inscrição automática é necessária para a configuração da cloud. Para obter mais informações sobre a inscrição automática, aceda a Guia de inscrição – inscrição automática do Windows.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione DispositivosPor plataforma>Inscrição>Automática deDispositivos>>Windows>.

  3. Em Âmbito de utilizador MDM, selecione uma das seguintes opções:

    • Selecione Tudo para aplicar a configuração da cloud a todos os dispositivos Windows que os utilizadores na sua organização utilizam. Na maioria dos cenários de configuração da cloud, está selecionado Tudo .
    • Selecione Alguns para aplicar a configuração da cloud aos dispositivos utilizados por um subconjunto de utilizadores na sua organização. Se quiser aplicar a configuração da cloud numa abordagem faseada, alguns poderão ser uma boa opção.
  4. Não configure o âmbito do utilizador MAM, os termos de MAM do URL do utilizador, o URL de deteção de MDM e as definições de URL de conformidade de MAM. Deixe estas definições em branco. As definições de MAM não estão configuradas para a configuração da cloud.

  5. Selecione Salvar para salvar suas alterações.

✅ 2 - Escolha a forma como os dispositivos se inscrevem e configuram os utilizadores para serem utilizadores padrão nos dispositivos

Após a ativação da inscrição automática do Windows no Intune, o passo seguinte é determinar como os dispositivos se inscrevem no Intune. Quando se inscrevem, estão disponíveis para receber as políticas de configuração da cloud. Também tem de configurar os utilizadores para serem utilizadores padrão nos respetivos dispositivos. Os utilizadores padrão só podem instalar aplicações aprovadas pela sua organização.

Para inscrição, tem três opções. Selecione uma opção de inscrição.

  • Utilizar o Windows Autopilot (recomendado)
  • Inscrever em massa com um pacote de aprovisionamento
  • Utilizar o Microsoft Entra ID na experiência inicial (OOBE)

Esta secção fornece mais informações sobre estas opções de inscrição e a configuração dos utilizadores como utilizadores padrão nos respetivos dispositivos.

É recomendado utilizar a inscrição do Windows Autopilot e a Página de Estado da Inscrição (ESP). Este método de inscrição e o ESP proporcionam uma experiência de utilizador final consistente.

  • Pré-registe os dispositivos com o serviço de implementação do Windows Autopilot. Com o Windows Autopilot, os administradores configuram a forma como os dispositivos são iniciados e inscritos na gestão de dispositivos.
  • A Intune política do Windows Autopilot configura a experiência inicial (OOBE). No OOBE, selecione utilizadores para serem utilizadores padrão.
  • A Intune política do Windows Autopilot configura a Página de Estado da Inscrição (ESP). O ESP mostra o progresso da configuração. Os utilizadores permanecem no ESP até que todas as definições de configuração da cloud sejam aplicadas ao dispositivo.

Para configurar a inscrição orientada pelo utilizador do Windows Autopilot, utilize os seguintes passos:

  1. Adicione dispositivos ao Windows Autopilot.

    Registe os seus dispositivos no Windows Autopilot através dos passos em Passo 3 – Registar dispositivos no Windows Autopilot (abre um artigo do Windows Autopilot).

    Observação

    O artigo Passo 3 – Registar dispositivos no Windows Autopilot do Windows Autopilot faz parte de uma série de passos. Para esta configuração da cloud, siga apenas o Passo 3 – Registar dispositivos no Windows Autopilot para registar os seus dispositivos. Não siga os outros passos da série. Os outros passos nessa série do Windows Autopilot destinam-se a um cenário diferente do Windows Autopilot.

    Também pode registar manualmente dispositivos para utilizar o Windows Autopilot. O registo manual de dispositivos é frequentemente utilizado para reutilizar hardware existente que não foi configurado anteriormente com o Windows Autopilot.

  2. Crie e atribua um perfil de implementação do Windows Autopilot no Intune.

    1. Entre no Centro de administração do Microsoft Intune.

    2. Selecione Dispositivos>Por plataforma>Inscrição> deDispositivos>Windows> Windows Autopilot DeploymentPerfis de Implementação do Programa>.

    3. Selecione Criar perfil>Computador Windows. Introduza um nome para o perfil.

    4. Para a definição Converter todos os dispositivos visados no Autopilot , selecione Sim. Selecione Avançar.

      Pode aplicar a configuração da cloud a dispositivos inscritos através de métodos de inscrição que não o Windows Autopilot. Quando adiciona esses dispositivos (dispositivos não Windows Autopilot) ao seu grupo, os dispositivos são convertidos no Windows Autopilot. Da próxima vez que os dispositivos forem repostos e passarem pela experiência inicial do Windows (OOBE), inscrevem-se através do Windows Autopilot.

    5. No separador experiência inicial (OOBE), introduza os seguintes valores e, em seguida, selecione Seguinte:

      Configuração Valor
      Modo de implantação Orientada pelo utilizador
      Aderir ao Microsoft Entra ID como Microsoft Entra aderido
      Termos de Licença de Software Microsoft Ocultar
      Configurações de privacidade Ocultar
      Ocultar opções de alteração de conta Ocultar
      Tipo de conta de usuário Padrão
      Permitir implementação pré-aprovisionada Não
      Idioma (Região) Predefinição do sistema operativo
      Configurar automaticamente o teclado Sim
      Aplicar modelo de nome de dispositivo Opcional. Pode aplicar um modelo de nome de dispositivo. Utilize um prefixo de nome que possa ajudá-lo a identificar os seus dispositivos de configuração da cloud, como Cloud-%SERIAL%.
    6. Atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo) e, em seguida, selecione Seguinte.

    7. Reveja o novo perfil e, em seguida, selecione Criar.

  3. Crie e atribua uma Página de Estado de Inscrição no Intune.

    1. Entre no Centro de administração do Microsoft Intune.

    2. Selecione DispositivosPor plataforma Página> de EstadoGeral> deInscrição de Dispositivos>Windows> deIntegração>> deDispositivosWindows.

    3. Selecione Criar e introduza um nome para a Página de Estado da Inscrição.

    4. No separador Definições , introduza os seguintes valores e, em seguida, selecione Seguinte:

      Configuração Valor
      Mostrar processo de configuração de aplicações e perfis Sim
      Mostra um erro de tempo limite quando a instalação demora mais do que os minutos especificados 60
      Mostrar mensagem personalizada quando ocorrer o erro de limite de tempo Sim – também pode alterar a mensagem predefinida.
      Permitir que os usuários coletem logs sobre erros de instalação Sim
      Bloquear o utilizador do dispositivo até que todas as aplicações e perfis sejam instalados Sim
      Permitir que os usuários redefinam o dispositivo se ocorrer um erro de instalação Sim
      Permitir que os usuários usem o dispositivo se ocorrer um erro de instalação Não
      Bloquear o utilizador do dispositivo até que estas aplicações necessárias sejam instaladas se forem atribuídas ao utilizador/dispositivo Todos

      Observação

      Se ocorrer um erro de instalação, recomenda-se que bloqueie a utilização do dispositivo por parte dos utilizadores. Bloquear os utilizadores garante que só podem começar a utilizar o dispositivo depois de a configuração da cloud ser totalmente aplicada.

      Se ocorrer um erro de instalação, com base nas suas necessidades de implementação, pode permitir que o utilizador utilize o dispositivo. Se permitir a utilização do dispositivo, quando o dispositivo iniciar sessão com Intune, Intune continuar a tentar aplicar as configurações.

    5. Em Atribuições, atribua a Página de Estado da Inscrição ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

      Selecione Avançar.

    6. Selecione Criar para criar e atribuir a Página de Estado da Inscrição.

Opção de inscrição 2: Inscrição em massa com um pacote de aprovisionamento

Pode inscrever dispositivos através de um pacote de aprovisionamento criado com o Windows Configuration Designer ou a aplicação Configurar computadores escolares.

Para obter mais informações sobre a inscrição em massa, aceda a Inscrição em massa para dispositivos Windows.

Com a inscrição em massa:

  • Depois de os dispositivos se inscreverem no Intune, adicione-os ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo). Quando são adicionados ao grupo, recebem a configuração da cloud.
  • Todos os utilizadores são automaticamente utilizadores padrão no dispositivo.
  • Não existe uma Página de Estado da Inscrição. Os utilizadores não conseguem ver o progresso, uma vez que todas as definições de configuração da cloud estão a ser aplicadas. Os utilizadores podem começar a utilizar o dispositivo antes de a configuração da cloud ser totalmente aplicada.
  • Antes de distribuir dispositivos aos utilizadores, a Microsoft recomenda que verifique se as definições e as aplicações estão nos dispositivos.

Opção de inscrição 3: inscrever com Microsoft Entra ID na experiência inicial (OOBE)

Com a inscrição automática mdm ativada no Intune, durante o OOBE, os utilizadores iniciam sessão com as respetivas contas de Microsoft Entra. Quando iniciam sessão, a inscrição é iniciada automaticamente.

Com esta opção de inscrição, pode:

  1. Configure um perfil personalizado Microsoft Intune para restringir os administradores locais nos dispositivos. O CSP de Política inclui um XML de definição de política de exemplo que pode utilizar no seu perfil personalizado.

    Dica

    Neste perfil personalizado, existe outra definição que adiciona um grupo que pode ser administrador local no dispositivo. Este grupo de administradores local só deve incluir administradores de TI no seu ambiente.

  2. Atribua o perfil personalizado ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Passo 3 – Configurar a Movimentação de Pastas Conhecidas do OneDrive e implementar um script para remover aplicações incorporadas

Quando configurar a Movimentação de Pastas Conhecidas do OneDrive, os ficheiros de utilizador e os dados são guardados automaticamente no OneDrive. Quando remove aplicações incorporadas do Windows e da Microsoft Store, o menu Iniciar e a experiência do dispositivo são simplificados.

Este passo ajuda a simplificar a experiência de utilizador do Windows.

✅ 1 - Configurar a Movimentação de Pastas Conhecidas do OneDrive com um Modelo Administrativo

Com a Movimentação de Pastas Conhecidas, os dados dos utilizadores (ficheiros e pastas) são guardados no OneDrive. Quando os utilizadores iniciam sessão noutro dispositivo, o OneDrive sincroniza automaticamente os dados com o novo dispositivo. Os utilizadores não têm de mover manualmente os respetivos ficheiros.

Observação

Devido a um problema de sincronização com a configuração Mover Pastas Conhecidas e SharedPC do OneDrive, a Microsoft não recomenda a utilização da configuração do Windows na cloud com um dispositivo que tenha vários utilizadores a iniciar e terminar sessão.

Para configurar a Movimentação de Pastas Conhecidas, utilize um modelo ADMX no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova política.

  3. Selecione Windows 10 e posterior para a plataforma e selecione Modelos para o tipo de perfil.

  4. Selecione Modelos Administrativos e selecione Criar.

  5. Introduza um nome para o perfil e selecione Seguinte.

  6. Nas Definições de configuração, procure as definições na tabela seguinte e selecione os respetivos valores recomendados:

    Nome da configuração Valor
    Mover automaticamente pastas conhecidas do Windows para o ID de Inquilino Ativado do OneDrive Introduza o ID de inquilino da sua organização.

    O ID de inquilino é apresentado noID de Inquilino da página> Propriedades do centro de administração do Microsoft Entra>.
    Mostrar notificação aos utilizadores depois de as pastas terem sido redirecionadas Sim. Também pode optar por ocultar a notificação.
    Conectar os usuários silenciosamente ao aplicativo de sincronização do OneDrive com as respectivas credenciais do Windows Habilitado
    Impedir que os usuários movam as pastas conhecidas do Windows para o OneDrive Habilitado
    Impedir os usuários de redirecionar pastas conhecidas do Windows para os respectivos computadores Habilitado
    Usar Arquivos do OneDrive Sob Demanda Habilitado
  7. Atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

✅ 2 - Implementar um script para remover aplicações incorporadas

A Microsoft criou um script Windows PowerShell que:

  • Remove aplicações incorporadas dos dispositivos.
  • Remove a aplicação Microsoft Store dos dispositivos.

O script é implementado em dispositivos que utilizam no Intune. Para adicionar e implementar o script, utilize os seguintes passos:

  1. Transfira o script de remoção da aplicação Janela de configuração da Cloud do PowerShell. Este script remove a aplicação Microsoft Store e as aplicações incorporadas.

    Observação

    Se quiser manter a aplicação Microsoft Store nos dispositivos, pode utilizar o script que remove as aplicações incorporadas, mas mantém a Microsoft Store . Para utilizar este script, transfira-o e siga os mesmos passos. Este script tenta remover aplicações incorporadas, mas pode não removê-las todas. Poderá ter de modificar o script para remover todas as aplicações incorporadas nos seus dispositivos.

  2. Entre no Centro de administração do Microsoft Intune.

  3. Selecione Dispositivos>Por plataforma>Windows>Gerir dispositivos Scripts>e remediaçõesSeparador> Scripts > da plataforma Adicionar.

  4. Em Noções básicas, introduza um nome para a sua política de script e selecione Seguinte.

  5. Em Definições de script, carregue o script que transferiu. Deixe as outras definições inalteradas e selecione Seguinte.

  6. Atribua o script ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Aplicação Microsoft Store

Se tiver removido anteriormente a aplicação Microsoft Store, pode reimplementá-la com Microsoft Intune. Para voltar a adicionar a aplicação Microsoft Store (ou quaisquer outras aplicações que pretenda voltar a adicionar), adicione a aplicação Microsoft Store ao repositório de aplicações da sua organização privada. Em seguida, implemente a aplicação em dispositivos com Intune. A aplicação Microsoft Store ajuda a manter as aplicações atualizadas. Para obter informações sobre como configurar o acesso à aplicação Microsoft Store, consulte Gerir o acesso à loja privada.

O repositório de aplicações da sua organização privada pode ser o Portal da Empresa do Intune aplicação ou site.

Ao utilizar Intune, em dispositivos Enterprise e Education Windows 10/11, pode impedir os utilizadores finais de instalarem aplicações da Microsoft Store fora do repositório de aplicações privadas da sua organização.

Para impedir estas aplicações externas, utilize os seguintes passos:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova política.

  3. Selecione Windows 10 e posterior para a plataforma e selecione Catálogo de definições para o tipo de perfil. Selecione Criar.

  4. Em Noções básicas, introduza um nome para o seu perfil.

  5. Em Definições de configuração, selecione Adicionar configurações. Depois:

    1. No seletor de definições, procure private store. Nos resultados da pesquisa na categoria App Store Microsoft, selecione Exigir Apenas Loja Privada.
    2. Defina a definição Exigir Apenas Loja Privada como Apenas o Arquivo privado está ativado.
    3. Selecione Avançar.
  6. Em Atribuições, atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

  7. Em Rever + criar , reveja o seu perfil e selecione Criar.

Passo 4 – Implementar aplicações

Este passo implementa o Microsoft Edge e o Microsoft Teams. Pode implementar outras aplicações essenciais neste passo. Lembre-se de que só implementa o que os utilizadores precisam.

✅ 1 - Implementar o Microsoft Edge

  1. Adicione o Microsoft Edge ao Intune.
  2. Para Definições da aplicação, selecione o Canal Estável.
  3. Atribua a aplicação Microsoft Edge ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

✅ 2- Implementar o Microsoft Teams

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Aplicações>Windows.

  3. Selecione Adicionar para criar uma nova aplicação.

  4. Para Microsoft 365 Apps, selecione Windows 10 e selecione mais tarde>Selecionar.

  5. Em Nome do Conjunto de Aplicações, introduza um nome ou utilize o nome sugerido. Selecione Avançar.

  6. Para Configurar conjunto de aplicações, selecione apenas Teams.

    Se quiser implementar outras aplicações do Microsoft 365, selecione-as nesta lista. Lembre-se de que só implementa o que os utilizadores precisam.

    Dica

    Não precisa de escolher o OneDrive. O OneDrive está incorporado no Windows 10/11 Pro, Enterprise e Education.

  7. Para obter informações sobre o Conjunto de aplicações, configure as seguintes definições:

    Configuração Valor
    Arquitetura 64 bits

    A configuração da cloud também funciona com 32 bits. A Microsoft recomenda a escolha de 64 bits.
    Canal de Atualização Canal atual
    Remover outras versões Sim
    Versão a instalar Mais recente
  8. Para Propriedades, configure as seguintes definições:

    Configuração Valor
    Utilizar a ativação de computador partilhado Sim
    Aceitar os Termos de Licenciamento para Software Microsoft em nome dos utilizadores Sim
  9. Selecione Avançar.

  10. Atribua o conjunto ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Passo 5 – Implementar definições de segurança de ponto final

Este passo configura as definições de segurança de ponto final para ajudar a manter os dispositivos seguros, incluindo a linha de base de segurança incorporada do Windows e as definições do BitLocker.

✅1 - Implementar a linha de base de segurança mdm Windows 10/11

Para a configuração do Windows na cloud, é recomendado utilizar a linha de base de segurança Windows 10/11. Existem alguns valores de definição que pode alterar com base na preferência da sua organização.

Configure a linha de base de segurança no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneLinhas de base de Segurançade Segurança> de ponto final Linha de > base de segurançapara Windows 10 e posterior.

  3. Selecione Criar perfil para criar uma nova linha de base de segurança.

  4. Introduza um nome para a linha de base de segurança e selecione Seguinte.

  5. Aceite as predefinições de configuração. Em alternativa, pode alterar as seguintes definições com base nas necessidades da sua organização:

    Categoria de definição Setting Motivo da alteração
    Navegador Bloquear Gestor de Palavras-passe Se quiser permitir que os utilizadores finais utilizem gestores de palavras-passe, desative esta definição.
    Assistência Remota Assistência Remota solicitada Esta definição permite que a equipa de suporte se ligue remotamente aos dispositivos. A Microsoft recomenda a desativação desta definição, a menos que seja necessária.
    Firewall Todas as definições da Firewall Se precisar de permitir determinadas ligações a dispositivos com base nas necessidades da sua organização, altere as predefinições da Firewall.

    Selecione Avançar.

  6. Em Atribuições, selecione o grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

  7. Selecione Criar para criar e atribuir a linha de base.

✅ 2 - Implementar mais definições do BitLocker com um perfil de segurança de ponto final de encriptação de unidade

Existem mais definições do BitLocker que ajudam a manter os seus dispositivos seguros. Configure estas definições do BitLocker no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

  3. Em Plataforma, selecione Windows 10 e posteriores.

  4. Em Perfil, selecione BitLocker>Criar.

  5. Em Noções básicas, introduza um nome para o seu perfil.

  6. Em Definições de configuração, selecione as seguintes definições:

    Categoria de definição Configuração Valor
    BitLocker – Definições de base Ativar a encriptação de disco completa para o SO e unidades de dados fixas Sim
         
    BitLocker – Definições de Unidade Fixa Política da unidade fixa do BitLocker Configurar
      Bloquear o acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker Sim
      Configurar o método de encriptação para unidades de dados fixas XTS AES de 128 bits
         
    BitLocker – Definições da Unidade de SO Política da unidade de sistema do BitLocker Configurar
      Autenticação de arranque necessária Sim
      Arranque compatível do TPM Permitido
      PIN de arranque do TPM compatível Permitido
      Chave de arranque do TPM compatível Obrigatório
      Chave de arranque e PIN do TPM compatíveis Permitido
      Desativar o BitLocker em dispositivos em que o TPM seja incompatível Sim
      Configurar o método de encriptação para unidades do Sistema Operativo XTS AES de 128 bits
         
    BitLocker – Definições de Unidade Amovível Política da unidade removível do BitLocker Configurar
      Configurar o método de encriptação para unidades de dados amovíveis AES 128 bits CBC
      Bloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker Sim
  7. Em Atribuições, atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

  8. Selecione Criar para criar e atribuir o perfil.

Passo 6 – Configurar definições de Windows Update

Este passo utiliza uma cadência de Windows Update para manter os dispositivos atualizados automaticamente. As definições neste guia alinham-se com as definições recomendadas na Linha de Base do Windows Update.

Configure a Cadência de atualização no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Gerir atualizações>Windows 10 e atualizações posteriores> separadorAnéis de > atualização Criar perfil.

  3. Em Informações Básicas, introduza um nome para a cadência de atualização.

  4. Em Atualizar definições da cadência, configure os seguintes valores e selecione Seguinte:

    Configuração Valor
    Canal de manutenção Canal semestral
    Atualizações de produto da Microsoft Permitir
    Drivers do Windows Permitir
    Período de diferimento da atualização de qualidade (dias) 0
    Período de diferimento da atualização de funcionalidades (dias) 0
    Definir período de desinstalação da atualização de funcionalidades 10
    Comportamento de atualização automática Redefinir para o padrão
    Reiniciar verificações Permitir
    Opção para colocar em pausa as atualizações do Windows Habilitar
    Opção para marcar para atualizações do Windows Habilitar
    Exigir a aprovação do utilizador para dispensar a notificação de reinício Não
    Lembrar o utilizador antes do reinício automático necessário com um lembrete dispensável (horas) Deixe esta definição não configurada
    Lembrar o utilizador antes do reinício automático necessário com um lembrete permanente (minutos) Deixe esta definição não configurada
    Alterar o nível de atualização da notificação Utilizar as notificações de Windows Update predefinidas
    Utilizar definições de prazo Permitir
    Prazo para atualizações de funcionalidades 7
    Prazo para atualizações de qualidade 2
    Período de tolerância 2
    Reinício automático antes do prazo Sim
  5. Atribua a Cadência de atualização ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Passo 7 – Implementar uma política de conformidade do Windows

Configure uma política de conformidade para ajudar a monitorizar a conformidade e o estado de funcionamento do dispositivo. A política comunica não conformidade e ainda permite que os utilizadores utilizem dispositivos. Pode escolher como lidar com a não conformidade com outras ações com base nos processos da sua organização.

Crie a política de conformidade no Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Política deCriação deConformidade> de Dispositivos>.

  3. Em Plataforma, selecione Windows 10 e, mais tarde>, Criar.

  4. Em Noções básicas, introduza um nome para a política de conformidade. Selecione Avançar.

  5. Em Definições de compatibilidade, configure os seguintes valores e selecione Seguinte:

    Categoria de definição Configuração Valor
    Integridade do dispositivo Requer BitLocker Exigir
      Exigir que o Arranque Seguro seja ativado no dispositivo Exigir
      Exigir integridade do código Exigir
         
    Segurança do Sistema Firewall Exigir
      Antivírus Exigir
      Antispyware Exigir
      Exigir uma senha para desbloquear os dispositivos móveis Exigir
      Senhas simples Bloquear
      Tipo de senha Alfanumérica
      Tamanho mínimo da senha 8
      Máximo de minutos de inatividade antes que a senha seja exigida 1 Minuto
      Vencimento da senha (dias) 41
      Número de senhas anteriores para evitar a reutilização 5
         
    Defender Microsoft Defender Antimalware Exigir
      Inteligência de segurança do Microsoft Defender Antimalware atualizada Exigir
      Proteção em tempo real Exigir
  6. Em Ações de não conformidade, para a ação Marcar dispositivo não conforme , configure Agendar (dias após não conformidade) para o 1 dia. Pode configurar um período de tolerância diferente com base nas preferências da sua organização.

    Se utilizar políticas de Acesso Condicional na sua organização, recomenda-se que configure um período de tolerância. Os períodos de tolerância impedem que os dispositivos não conformes percam imediatamente o acesso aos recursos da organização.

  7. Pode adicionar uma ação aos utilizadores de e-mail informando-os de não conformidade com os passos para se manterem conformes.

  8. Atribua a política de conformidade ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Passo 8 – Configurações opcionais

Existem políticas opcionais que pode criar e implementar com a configuração da cloud. Esta secção descreve estas políticas opcionais.

✅ Configurar um nome de domínio de inquilino

Configure dispositivos para utilizar automaticamente o nome de domínio do seu inquilino para inícios de sessão de utilizador. Quando adiciona um nome de domínio, os utilizadores não têm de escrever o UPN completo para iniciar sessão.

Adicione o nome de domínio do inquilino no Intune:

  1. Entre no Centro de administração do Microsoft Intune.
  2. Selecione Dispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova política.
  3. Para plataforma, selecione Windows 10 e posterior.
  4. Em Tipo de perfil, selecione Modelos>Restrições de dispositivo Criar>.
  5. Introduza um nome para o perfil e selecione Seguinte.
  6. Em Definições de configuração, para Palavra-passe, configure o domínio de inquilino preferred Microsoft Entra. Introduza o Microsoft Entra nome de domínio que os utilizadores devem utilizar para iniciar sessão nos dispositivos.
  7. Atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

✅ Implementar outras aplicações essenciais de produtividade e linha de negócio (LOB)

Poderá ter algumas aplicações LOB essenciais de que todos os dispositivos precisam. Escolha um número mínimo destas aplicações a implementar. Se fornecer aplicações com uma solução de virtualização, implemente também a aplicação cliente de virtualização em dispositivos.

Não existem restrições ao número ou tamanho de outras aplicações que podem ser implementadas com as aplicações adicionadas à configuração da cloud. No entanto, a Microsoft recomenda manter estas outras aplicações ao mínimo com base no que os utilizadores precisam para as suas funções. Atribua estas aplicações essenciais ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Poderá precisar de aplicações LOB específicas em alguns dos seus dispositivos. Em alternativa, podem existir algumas aplicações que têm requisitos complexos de empacotamento ou procedimento. Para estes cenários, considere mover estas aplicações para fora da implementação de configuração da cloud. Em alternativa, mantenha os dispositivos que precisam destas aplicações no seu modelo de gestão do Windows existente.

A configuração da cloud é recomendada para dispositivos que precisam apenas de algumas aplicações principais, juntamente com colaboração e navegação.

✅ Implementar recursos de que os utilizadores precisam para aceder à organização

Configure os recursos essenciais de que os utilizadores poderão precisar, o que depende dos processos da sua organização. Os recursos essenciais podem incluir certificados, impressoras, ligações VPN e perfis de Wi-Fi.

No Intune, atribua estes recursos ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Existem mais definições que melhoram a experiência de utilizador para Mover Pastas Conhecidas do OneDrive. As definições não são necessárias para que a Movimentação de Pastas Conhecidas funcione, mas são úteis.

Para obter mais informações sobre estas definições, aceda a Definições do OneDrive recomendadas para Movimentação de Pastas Conhecidas.

Existem algumas definições da aplicação Microsoft Edge que podem ser configuradas para uma melhor experiência de utilizador. Pode configurar estas definições com base em requisitos ou preferência para a experiência do utilizador final.

Para configurar estas definições recomendadas, utilize Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Por plataforma>Windows>Gerir dispositivos>Configuração>Criar>Nova política.

  3. Selecione Windows 10 e posterior para plataforma e Modelos para o tipo de perfil.

  4. Selecione Modelos Administrativos e selecione Criar.

  5. Introduza um nome para o perfil e selecione Seguinte.

  6. Nas Definições de configuração, procure as seguintes definições e configure-as para os valores recomendados:

    Definir Categoria Setting Valores
      Configurar a integração de Explorer Internet Ativado, modo Explorer Internet
       
    Definições do SmartScreen Configurar Microsoft Defender SmartScreen Habilitado
      Forçar Microsoft Defender verificações do SmartScreen em transferências de origens fidedignas Habilitado
      Configurar Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas Habilitado

    Observação

    As definições do SmartScreen também são impostas por Microsoft Defender. Quando configura as definições do SmartScreen através da aplicação Microsoft Edge, o Microsoft Edge impõe diretamente as definições.

  7. Atribua o perfil ao grupo que criou no Passo 1 – Criar um grupo de Microsoft Entra (neste artigo).

Monitorizar a status da configuração da cloud

Quando aplica a configuração da cloud aos seus dispositivos, pode utilizar Intune para monitorizar a status de aplicações e configurações de dispositivos.

Script status

Pode monitorizar a status de instalação dos scripts implementados:

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Por plataforma> Scripts doWindows>e remediações Scripts> deplataforma.
  2. Selecione o script que implementou.
  3. Na página de detalhes do script, selecione Dispositivo status. Os detalhes de instalação do script são apresentados.

Instalações de aplicações

Pode monitorizar a instalação status das suas aplicações implementadas:

  1. No centro de administração do Microsoft Intune, aceda a Aplicações aplicações>windows>do Windows.
  2. Selecione uma aplicação implementada, como o Microsoft 365 App Suite.
  3. Selecione Instalação do dispositivo status ou Instalação do utilizador status. Os detalhes de instalação da aplicação são apresentados.

Para obter informações sobre a resolução de problemas da aplicação em dispositivos individuais, aceda a Resolução de problemas de instalação de aplicações Intune.

Linha de base de segurança

Pode monitorizar a instalação status da linha de base de segurança implementada. Para obter mais informações, aceda a Monitorizar linhas de base e perfis de segurança no Intune.

Perfil de encriptação de disco

No Passo 5 – Implementar definições de segurança de ponto final (neste artigo), poderá ter configurado e implementado as definições do BitLocker.

Pode monitorizar a status deste perfil BitLocker:

  1. No centro de administração do Microsoft Intune, aceda aEncriptação de disco de segurança > de pontofinal.
  2. Selecione o perfil de encriptação de disco que implementou na configuração da cloud.
  3. Selecione Instalação do dispositivo status ou Instalação do utilizador status. Os detalhes do perfil são apresentados.

Configurações do Windows Update

Pode monitorizar a status da política de cadência de Windows Update:

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Gerir atualizações>Windows 10 e atualizações posteriores> separadorAnéis de atualização.
  2. Selecione a cadência de atualização que implementou como parte da configuração da cloud.
  3. Selecione Status de Dispositivos, Status de Utilizador ou Atualização do utilizador final status. Os detalhes das definições da cadência de atualização são apresentados.

Para obter mais informações sobre relatórios para Windows Update anéis, aceda a Relatórios para Cadermas de atualização para Windows 10 e política posterior.

Política de conformidade

Pode monitorizar a status da política de conformidade:

  1. No Microsoft Intune centro de administração, aceda aConformidade de Dispositivos>.
  2. Selecione a política de conformidade que implementou como parte da configuração da cloud.

A vista de monitorização da conformidade do dispositivo tem informações detalhadas sobre a atribuição status e falhas de atribuição das suas políticas de conformidade. Também tem vistas para encontrar rapidamente dispositivos não conformes e tomar medidas.

Para obter informações mais aprofundadas sobre a monitorização de políticas de conformidade no Intune, aceda a Monitorizar os resultados das políticas de conformidade do dispositivo Intune.