Guia de implantação: gerenciar dispositivos iOS/iPadOS no Microsoft Intune
O Intune dá suporte a MDM (gerenciamento de dispositivo móvel) de iPads e de iPhones para permitir que os usuários tenham um acesso seguro ao email, aos dados e a aplicativos da empresa. Este guia fornece diretrizes específicas do iOS para ajudar você a configurar o registro e implantar aplicativos e políticas para usuários e dispositivos.
Pré-requisitos
Antes de começar, verifique se o seu dispositivo cumpre estes pré-requisitos para habilitar o gerenciamento de dispositivos iOS/iPadOS no Intune. Confira informações mais detalhadas sobre como configurar, carregar ou fazer transferências para o Intune no guia de Implantação da instalação do Intune.
- Adicionar usuários e grupos
- Atribuir licenças a usuários
- Define uma autoridade de gerenciamento de dispositivo móvel
- Configure o certificado push (APNs) do MDM da Apple
Para obter informações sobre Microsoft Intune funções e permissões, veja RBAC com Microsoft Intune. As funções de Administrador Global e Administrador Intune Microsoft Entra têm direitos totais no Microsoft Intune. O Administrador Global tem mais permissões do que as necessárias para muitas tarefas de gestão de dispositivos no Microsoft Intune. Recomendamos que utilize a função com menos privilégios necessária para concluir tarefas. Por exemplo, a função com menos privilégios que pode concluir tarefas de inscrição de dispositivos é o Gestor de Políticas e Perfis, uma função de Intune incorporada.
Planejar sua implantação
O Guia de planejamento de Microsoft Intune fornece orientações e conselhos para ajudar a determinar as metas, cenários de caso de uso e requisitos. Ele também descreve como criar planos para distribuição, comunicação, suporte, teste e validação.
Criar regras de conformidade
Use políticas de conformidade para definir as regras e condições que os usuários e os dispositivos devem atender para acessar seus recursos protegidos. Se você usar o Acesso Condicional, suas políticas de Acesso Condicional poderão usar os resultados de conformidade do dispositivo para bloquear o acesso a recursos de dispositivos incompatíveis. Confira uma explicação detalhada sobre as políticas de conformidade e saber como começar em Usar políticas de conformidade para definir regras para dispositivos gerenciados com o Intune.
Tarefa | Detalhe |
---|---|
Criar uma política de conformidade | Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade a grupos de usuários e de dispositivos. |
Adicionar ações de não conformidade | Escolha o que acontece quando os dispositivos não atendem mais às condições da sua política de conformidade. Você pode editar a política posteriormente para adicionar ações de não conformidade ao configurar essa política. |
Crie uma política de acesso condicional com base no dispositivo ou no aplicativo | Especifique o aplicativo ou os serviços que você deseja proteger e defina as condições de acesso. |
Bloquear o acesso a aplicativos que não usam autenticação moderna | Crie uma política de acesso condicional com base no aplicativo para bloquear aplicativos que usam métodos de autenticação diferentes de OAuth2, por exemplo, os aplicativos que usam autenticação básica e baseada em formulário. No entanto, antes de bloquear o acesso, inicie sessão no Microsoft Entra ID e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a utilizar a autenticação básica para aceder a coisas essenciais que esqueceu ou que desconhece. Por exemplo, itens como quiosques de calendário de salas de reunião usam autenticação básica. |
Configurar a Segurança de Ponto de Extremidade
Use os recursos de segurança do ponto de extremidade do Intune para configurar a segurança do dispositivo e gerenciar tarefas de segurança para aparelhos em risco.
Tarefa | Detalhe |
---|---|
Gerenciar dispositivos com recursos de segurança do ponto de extremidade | Use as configurações de segurança do ponto de extremidade no Intune para gerenciar efetivamente a segurança do dispositivo e corrigir problemas de dispositivos. |
Habilitar o conector MTD (defesa contra ameaças móveis) para dispositivos não registrados | Habilite a conexão MTD no Intune para que os aplicativos de parceiros de MTD possam trabalhar com o Intune e suas políticas. Se você não estiver usando o Microsoft Defender para Ponto de Extremidade, considere habilitar o conector para que você possa usar outra solução de defesa contra ameaças móveis. |
Criar política de proteção de aplicativo MTD | Crie uma política de proteção de aplicativo do Intune que avalie o risco e limite o acesso corporativo de um dispositivo com base no nível de ameaça. |
Adicionar aplicativos MTD a dispositivos não registrados | Torne os aplicativos MTD disponíveis para as pessoas em sua organização e configure o Microsoft Authenticator para iOS/iPadOS. |
Usar o Acesso Condicional para limitar o acesso ao Microsoft Tunnel | Use políticas de acesso condicional para bloquear o acesso do dispositivo ao gateway de VPN do Microsoft Tunnel. |
Definir as configurações do dispositivo
Use o Microsoft Intune para habilitar ou desabilitar configurações e recursos em dispositivos iOS/iPadOS. Para configurar e impor essas configurações, crie um perfil de configuração de dispositivo e atribua o perfil a grupos em sua organização. Os dispositivos recebem o perfil quando se registram.
Tarefa | Detalhe |
---|---|
Criar um perfil de dispositivo no Microsoft Intune | Saiba mais sobre os diferentes tipos de perfis de dispositivo que você pode criar para sua organização. |
Configurar recursos do dispositivo | Configure recursos e funcionalidades comuns do iOS/iPadOS para contextos corporativos ou de estudante. Confira uma descrição das configurações nessa área na referência de recursos do dispositivo. |
Configurar o perfil de Wi-Fi | Esse perfil permite que as pessoas localizem e se conectem à rede Wi-Fi da sua organização. Confira uma descrição das configurações nessa área na referência de configurações de Wi-Fi. |
Configurar Perfil VPN | Configure uma opção de VPN segura, como o Microsoft Tunnel, para pessoas que se conectam à rede da sua organização. Você também pode criar uma política de VPN por aplicativo para exigir que os usuários entrem em determinados aplicativos por meio de uma conexão VPN. Confira uma descrição das configurações nessa área na referência de configurações de VPN. |
Configurar perfil de email | Defina as configurações de email para que as pessoas possam se conectar a um servidor para acesso a emails corporativos ou de estudante. Confira uma descrição das configurações nessa área na referência de configurações de email. |
Restringir recursos do dispositivo | Proteja os usuários contra distrações e acessos não autorizados limitando os recursos do dispositivo que eles podem usar no trabalho ou na escola. Confira uma descrição das configurações nessa área na referência de restrições de dispositivo. |
Configurar perfil personalizado | Adicione e atribua configurações e recursos do dispositivo que não são internos ao Intune. |
Personalizar a identidade visual e a experiência de registro | Personalize o Portal da Empresa Intune e a experiência do aplicativo Microsoft Intune com as palavras, a marca, as preferências de tela e informações de contato da sua organização. |
Configurar política de atualização de software | Agendar atualizações automáticas do SO e instalações para dispositivos iOS/iPadOS supervisionados. |
Configurar métodos de autenticação segura
Configure métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acessem seus recursos internos. O Intune dá suporte à autenticação multifator, a certificados e a credenciais derivadas. Os certificados também são usados para assinatura e criptografia de email usando S/MIME.
Tarefa | Detalhe |
---|---|
Exigir MFA (autenticação multifator) | Exija que as pessoas forneçam duas formas de credenciais no momento da inscrição. |
Criar um perfil de certificado confiável | Crie e implante um perfil de certificado confiável antes de criar um perfil de certificado SCEP, PKCS ou PKCS importado. O perfil de certificado confiável implanta o certificado raiz confiável para dispositivos e usuários usando certificados SCEP, PKCS e PKCS importados. |
Usar certificados SCEP com o Intune | Saiba o que é necessário para usar certificados SCEP com o Intune e configurar a infraestrutura necessária. Depois de fazer isso, você pode criar um perfil de certificado SCEP ou configurar uma autoridade de certificação de terceiros com o SCEP. |
Usar certificados PKCS com o Intune | Configure a infraestrutura necessária (como conectores de certificado locais), exporte um certificado PKCS e adicione certificados a um perfil de configuração de dispositivo do Intune. |
Usar certificados PKCS importados com o Intune | Configure certificados PKCS importados, que permitem que você Configure e use S/MIME para criptografar email. |
Configurar um emissor de credenciais derivadas | Provisione dispositivos iOS/iPadOS com certificados que são derivados dos cartões inteligentes do usuário. |
Implante os aplicativos
Ao configurar aplicativos e políticas de aplicativo, pense nos requisitos da organização, como as plataformas que contarão com suporte, as tarefas que as pessoas precisam realizar, os tipos de aplicativos necessários para realizar essas tarefas e, por fim, os grupos que precisam desses aplicativos. Você pode usar o Intune para gerenciar todo o dispositivo (incluindo os aplicativos) ou para gerenciar somente os aplicativos.
Tarefa | Detalhe |
---|---|
Adicionar aplicativos da loja | Adicione aplicativos iOS/iPadOS da loja de aplicativos ao Intune e atribua-os a grupos. |
Adicionar aplicativos Web | Adicione aplicativos Web ao Intune e atribua-os a grupos. |
Adicionar aplicativos internos | Adicione aplicativos internos ao Intune e atribua-os a grupos. |
Adicionar aplicativos de linha de negócios | Adicione aplicativos de LOB (linha de negócios) do iOS/iPadOS ao Intune e atribua-os a grupos. |
Atribuir os aplicativos aos grupos | Atribua aplicativos a usuários e dispositivos. |
Incluir e excluir atribuições de aplicativo | Controle o acesso e a disponibilidade para um aplicativo incluindo e excluindo grupos selecionados da atribuição. |
Gerenciar aplicativos iOS/iPadOS adquiridos por meio do Apple Business Manager | Sincronize, gerencie e atribua aplicativos adquiridos por meio do Apple Business Manager. |
Gerenciar livros eletrônicos do iOS/iPadOS adquiridos por meio do Apple Business Manager | Sincronize, gerencie e atribua livros adquiridos por meio do Apple Business Manager. |
Crie uma política de proteção de aplicativo iOS/iPadOS | Mantenha os dados da sua organização contidos em aplicativos gerenciados, como o Outlook e o Word. Leia Configurações de política de proteção do aplicativo iOS/iPadOS para obter detalhes sobre cada configuração. |
Criar um perfil de provisionamento de aplicativo | Evite que os certificados de aplicativos expirem atribuindo proativamente novos perfis de provisionamento a dispositivos que têm aplicativos prestes a expirar. |
Criar uma política de configuração de aplicativo | Aplique definições de configuração personalizadas a aplicativos iOS/iPadOS em dispositivos registrados. Você também pode aplicar esses tipos de políticas a aplicativos gerenciados sem registro de dispositivo. |
Configurar o Microsoft Edge | Use a proteção do aplicativo Intune e as políticas de configuração com o Edge para iOS/iPadOS para garantir que os sites corporativos sejam acessados com proteções em vigor. |
Configurar aplicativos do Microsoft Office | Use a configuração de políticas e a proteção de aplicativos do Intune com o Office para garantir que arquivos corporativos sejam acessados com proteções em vigor. |
Configurar o Microsoft Teams | Use as políticas de configuração e proteção de aplicativo do Intune com o Teams para garantir que as experiências colaborativas da equipe sejam acessadas com proteções em vigor. |
Configurar o Microsoft Outlook | Use a configuração de políticas e a proteção de aplicativos do Intune com o Outlook para garantir que o email e os calendários corporativos sejam acessados com proteções em vigor. |
Registrar dispositivos
A inscrição de dispositivos permite-lhes receber as políticas que criar, pelo que tem os Microsoft Entra grupos de utilizadores e grupos de dispositivos prontos.
Confira informações sobre cada método de registro e como escolher um ideal para sua organização no Guia de registro do dispositivo iOS/iPadOS para Microsoft Intune.
Tarefa | Detalhe |
---|---|
Configurar o ADE (Registro de Dispositivo Automatizado) da Apple no Intune | Configure uma experiência de registro integrada para dispositivos corporativos adquiridos por meio do Apple School Manager ou do Apple Business Manager. Confira uma explicação detalhada desse processo no Tutorial: usar os recursos de registro de dispositivo corporativo da Apple no ABM (Apple Business Manager) para registrar dispositivos iOS/iPadOS |
Configurar o Apple School Manager no Intune | Configure o Intune para inscrever os dispositivos adquiridos por meio do programa Apple School Manager. |
Configurar o registro do dispositivo com o Apple Configurator | Crie um perfil do Apple Configurator para registrar os dispositivos da empresa (sem afinidade de usuário) por meio do registro direto, ou para inscrever dispositivos apagados ou novos (com afinidade de usuário) por meio do Assistente de Configuração. Você precisará exportar o perfil do Apple Configurator do Intune, que requer uma conexão USB com um computador Mac executando o Apple Configurator. |
Identificar os dispositivos como dispositivos de propriedade corporativa | Atribua status de propriedade corporativa a dispositivos para habilitar mais recursos de gerenciamento e identificação no Intune. O status de propriedade corporativa não pode ser atribuído a dispositivos registrados pelo Apple Business Manager. |
Configurar a Inscrição de Utilizadores da Apple | Crie um perfil de inscrição de utilizadores para implementar a experiência de Inscrição de Utilizadores da Apple em dispositivos com um ID Apple gerido. |
Configurar dispositivos iPad compartilhados | Configure dispositivos para que eles possam ser usados por mais de uma pessoa (o tipo de instalação que você veria em uma biblioteca ou ambiente educativo). |
Dispositivos de backup e restauração | Faça backup e restaure um dispositivo para prepará-lo para registro ou migração no Intune, como durante a configuração de Registro de Dispositivo Automatizado. |
Alterar a propriedade do dispositivo | Depois que um dispositivo tiver sido registrado, você poderá alterar seu rótulo no Intune para propriedade corporativa ou pessoal. Esse ajuste altera a maneira como você pode gerenciar o dispositivo. |
Solucionar problemas de registro | Solucione problemas e encontre resoluções para problemas que ocorrem durante o registro. |
Executar ações remotas
Depois que os dispositivos são configurados, você pode usar as ações remotas no Intune para gerenciar e solucionar problemas dos dispositivos remotamente. A disponibilidade varia de acordo com a plataforma do dispositivo. Se uma ação está ausente ou desabilitada no portal, não há suporte para ela no dispositivo.
Tarefa | Detalhe |
---|---|
Executar ação remota em dispositivos | Aprenda a fazer busca detalhada, gerenciar remotamente e solucionar problemas de dispositivos individuais no Intune. Este artigo lista todas as ações remotas disponíveis no Intune e links para esses procedimentos. |
Usar o TeamViewer para administrar remotamente dispositivos do Intune | Este tópico mostra como configurar o TeamViewer no Intune e como administrar um dispositivo remotamente. |
Corrigir as vulnerabilidades identificadas pelo Microsoft Defender para Ponto de Extremidade | Integre o Intune com o Microsoft Defender para Ponto de Extremidade para aproveitar as vantagens do gerenciamento de vulnerabilidade e ameaças do Defender e use o Intune para corrigir o ponto fraco do ponto de extremidade identificado pelo recurso de gerenciamento de vulnerabilidade do Defender. |
Próximas etapas
Confira estes tutoriais de registro para saber como fazer algumas das principais tarefas do Intune. Os tutoriais têm conteúdo de nível 100 a 200, tanto para pessoas novas no Intune como para cenários específicos.
- Percorrer Intune centro de administração
- Usar os recursos de inscrição de dispositivos corporativos da Apple no ABM (Apple Business Manager) para inscrever dispositivos iOS/iPadOS no Intune
- Proteger o email do Exchange Online em dispositivos gerenciados
- Proteger o email do Exchange Online em dispositivos não gerenciados
- Configurar o Slack para usar o Intune para EMM e configuração de aplicativos
Para obter a versão deste guia para Android, confira Guia de implantação: gerenciar dispositivos Android no Microsoft Intune.