Compartilhar via


Configure ações para dispositivos não compatíveis no Intune

Como parte de uma política de conformidade que protege os recursos da sua organização contra dispositivos que não atendem aos seus requisitos de segurança, as políticas de conformidade também incluem Ações de não conformidade. Ações por não conformidade são uma ou mais ações ordenadas por tempo que são tomadas por uma política para ajudar a proteger os dispositivos e sua organização. Por exemplo, uma ação de não conformidade pode bloquear remotamente um dispositivo para garantir que ele esteja protegido ou enviar uma notificação para dispositivos ou usuários para ajudá-los a entender e resolver o status de sem conformidade.

Importante

O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Visão Geral

Por padrão, cada política de conformidade inclui a ação de não conformidade de Marcar dispositivo como sem conformidade com um agendamento de zero dias (0). O resultado desse padrão é quando o Intune detecta um dispositivo incompatível; ele marca imediatamente o dispositivo como não compatível. Depois de um dispositivo ser marcado como não conforme, o Acesso Condicional do Microsoft Entra pode bloquear o dispositivo.

Ao configurar ações de não conformidade , ganha flexibilidade para decidir o que fazer em relação a dispositivos não conformes e quando fazê-lo. Por exemplo, você pode optar por não bloquear o dispositivo imediatamente e fornecer ao usuário um período de carência para entrar em conformidade.

Para cada ação definida, você pode configurar uma agenda que determina quando essa ação entra em vigor. A agenda é um número de dias depois de o dispositivo ser marcado como sem conformidade. Você também pode configurar várias instâncias de uma ação. Quando define várias instâncias de uma ação numa política, a ação é executada novamente nessa hora agendada posterior se o dispositivo permanecer não conforme.

Nem todas as ações estão disponíveis para todas as plataformas.

Observação

O centro de administração do Microsoft Intune apresenta a agenda (dias após a não conformidade) em dias. No entanto, é possível especificar um intervalo mais detalhado (horas), usando frações decimais como 0,25 (6 horas), 0,5 (12 horas), 1,5 (36 horas) e assim por diante. Embora outros valores sejam possíveis, eles só podem ser configurados usando o Microsoft Graph e não através do centro de administração. Tentar usar outros valores no centro de administração como 0,33 (8 horas) resultará em um erro ao tentar salvar a política.

Ações disponíveis de não conformidade

As seguintes ações de não conformidade estão disponíveis:

  • Marcar o dispositivo não compatível: por padrão, essa ação é definida para cada política de conformidade e tem um agendamento de 0 (zero) dias, marcando os dispositivos como não compatíveis imediatamente.

    Quando altera a agenda predefinida, fornece um período de tolerância no qual um utilizador pode remediar problemas ou tornar-se compatível sem ser marcado como não conforme.

    Essa ação tem suporte em todas as plataformas compatíveis com o Intune.

  • Enviar email para o usuário final: essa ação envia uma notificação por email para o usuário. Quando você habilitar essa ação:

    • Selecione um Modelo de mensagem de notificação que essa ação envia. Crie um modelo de mensagem de notificação antes de atribuir um a essa ação. Ao criar a notificação personalizada, você personaliza o local, o assunto, o corpo da mensagem e pode incluir o logotipo da empresa, o nome da empresa e outras informações de contato.
    • Opte por enviar a mensagem a mais destinatários ao selecionar um ou mais dos seus grupos do Microsoft Entra.

    O Intune usa o endereço de email definido no perfil do usuário final e não seu UPN (nome UPN). Se não houver um endereço de email definido no perfil do usuário, o Intune não enviará um email de notificação. Quando o email for enviado, o Intune incluirá detalhes sobre o dispositivo não compatível na notificação por email.

    Essa ação tem suporte em todas as plataformas compatíveis com o Intune.

    Observação

    Os e-mails de notificação são enviados a partir de: microsoft-noreply@microsoft.com

    Certifique-se de não ter políticas de caixa de correio que impeçam a entrega de emails desses endereços, caso contrário, os usuários finais podem não receber a notificação por email.

    Antes de dezembro de 2022, os e-mails de notificação na cloud comercial eram enviados a partir de: IntuneNotificationService@microsoft.com

  • Bloquear remotamente o dispositivo não compatível: use essa ação para emitir um bloqueio remoto de um dispositivo. O usuário deve inserir um PIN ou uma senha desbloquear o dispositivo. Saiba mais sobre o recurso Bloqueio remoto.

    As seguintes plataformas dão suporte a essa ação:

    • Administrador de dispositivo Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente gerenciado
      • Dedicado
      • Perfil de Trabalho de Propriedade Corporativa
      • Perfil de Trabalho Pessoal
      • Dispositivos de quiosque Android Enterprise
    • iOS/iPadOS
    • macOS
  • Adicionar dispositivo para extinguir lista: quando esta ação é executada num dispositivo, o dispositivo é adicionado a uma lista de dispositivos descontinuados e não conformes no centro de administração do Intune. Pode aceder aConformidade de Dispositivos> e selecionar o separador Extinguir dispositivos não conformes para ver a lista. No entanto, o dispositivo não é descontinuado até que um administrador inicie explicitamente o processo de extinção. Quando um administrador extingue o dispositivo dessa lista, a descontinuação remove todos os dados da empresa do dispositivo e remove esse dispositivo da gestão do Intune.

    As seguintes plataformas dão suporte a essa ação:

    • Administrador de dispositivo Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente gerenciado
      • Dedicado
      • Perfil de Trabalho de Propriedade Corporativa
      • Perfil de Trabalho Pessoal
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Observação

    Apenas os dispositivos para os quais a ação Adicionar dispositivo para extinguir lista foi acionada aparecem no separador Extinguir dispositivos selecionados . Para ver uma lista de todos os dispositivos que não estão em conformidade, veja o relatório Dispositivos não conformes mencionado em Monitorizar política de conformidade de dispositivos.

    Para extinguir um ou mais dispositivos da lista, selecione dispositivos a extinguir e, em seguida, selecione Extinguir dispositivos selecionados. Quando você escolhe uma ação que desativa dispositivos, uma caixa de diálogo surgirá para você confirmar a ação. Só depois de confirmar a intenção de desativar os dispositivos é que eles são limpos dos dados da empresa e removidos do gerenciamento do Intune.

    Outras opções incluem Extinguir todos os dispositivos, Limpar o estado de extinção de todos os dispositivos e Limpar o estado de extinção dos dispositivos selecionados. Limpar o estado de extinção de um dispositivo remove o dispositivo da lista de dispositivos que podem ser descontinuados até que a ação para Adicionar dispositivo para extinguir a lista seja aplicada novamente a esse dispositivo.

    Saiba mais sobre como desativar dispositivos.

  • Enviar uma notificação push para o utilizador final: configure esta ação para enviar uma notificação push sobre não conformidade para um dispositivo através da aplicação Portal da Empresa ou da Aplicação do Intune no dispositivo.

    As seguintes plataformas dão suporte a essa ação:

    • Administrador de dispositivo Android
    • Android Enterprise:
      • Totalmente gerenciado
      • Dedicado
      • Perfil de Trabalho de Propriedade Corporativa
      • Perfil de Trabalho Pessoal
    • iOS/iPadOS

    A notificação push é enviada na primeira vez que um dispositivo faz o check-in com o Intune e não está em conformidade com a política de conformidade. Quando um utilizador seleciona a notificação, a aplicação Portal da Empresa ou a aplicação Intune é aberta e apresenta informações sobre o motivo pelo qual não estão em conformidade. Em seguida, o usuário pode executar uma ação para resolver o problema. Os detalhes da mensagem sobre não conformidade são gerados pelo Intune e não podem ser personalizados.

    Importante

    O Intune e os aplicativos do Portal da Empresa e do Microsoft Intune não podem garantir a entrega de uma notificação por push. As notificações poderão ser exibidas após várias horas de atraso, se houver. Isso inclui quando os usuários desativaram as notificações por push.

    Não confie nesse método de notificação para mensagens urgentes.

    Cada instância da ação envia uma notificação uma única vez. Para enviar a mesma notificação novamente de uma política, configure mais instâncias da ação nessa política, cada uma com um cronograma diferente.

    Por exemplo, você pode agendar a primeira ação por zero dias e, em seguida, adicionar uma segunda instância da ação definida como três dias. Esse atraso antes da segunda notificação dá ao usuário alguns dias para resolver o problema e evitar a segunda notificação.

    Para evitar enviar spam aos utilizadores com demasiadas mensagens duplicadas, reveja e simplifique as políticas de conformidade que incluem uma notificação push para não conformidade e reveja as agendas para evitar notificações repetidas com demasiada frequência.

    Considere:

    • Para uma única política que inclui várias instâncias de um conjunto de notificações por push para o mesmo dia, apenas uma única notificação é enviada nesse dia.

    • Quando várias políticas de conformidade incluem as mesmas condições de conformidade e incluem a ação de notificação por push com a mesma agenda, o Intune envia várias notificações são enviadas para o mesmo dispositivo no mesmo dia.

Observação

As seguintes ações para não conformidade não são suportadas para dispositivos gerenciados por um parceiro de gerenciamento de conformidade do dispositivo:

  • Enviar e-mail ao utilizador final
  • Bloquear remotamente o dispositivo não compatível
  • Adicionar dispositivo para extinguir a lista
  • Enviar notificação por push para o usuário final

Antes de começar

Você pode adicionar ações de não conformidade ao configurar a política de conformidade do dispositivo ou posteriormente editando a política. Você pode adicionar ações extras a cada política para atender às suas necessidades. Tenha em atenção que cada política de conformidade inclui automaticamente a ação predefinida para não conformidade que marca os dispositivos como não conformes, com uma agenda definida como zero dias.

Para utilizar políticas de conformidade de dispositivos para bloquear dispositivos de recursos empresariais, o Acesso Condicional do Microsoft Entra tem de ser configurado. Veja Acesso Condicional no ID do Microsoft Entra ou formas comuns de utilizar o Acesso Condicional com o Intune para obter orientações.

Para criar uma política de conformidade do dispositivo, confira as seguintes diretrizes específicas da plataforma:

Criar um modelo da mensagem de notificação

Para enviar um email aos seus usuários, crie um modelo de mensagem de notificação e associe-o à sua política de conformidade como uma ação para casos de não conformidade. Assim, quando um dispositivo estiver fora de conformidade, os detalhes inseridos no modelo serão mostrados no email enviado aos seus usuários.

Um modelo de mensagem de notificação pode incluir várias mensagens que são cada uma para uma região diferente. Quando especifica várias mensagens e regiões, os utilizadores finais não conformes recebem a mensagem localizada adequada com base no idioma preferencial do O365.

Adicione variáveis à mensagem para criar um e-mail personalizado com conteúdo dinâmico. A tabela seguinte descreve as variáveis que pode utilizar na linha de assunto e no corpo da mensagem.

Nome da variável Token a utilizar Descrição
Nome de usuário {{UserName}} Adicione o nome do utilizador primário para o dispositivo não conforme.
Exemplo: John Doe
Nome do dispositivo {{DeviceName}} Adicione o nome do dispositivo não conforme à medida que é registado no Microsoft Intune.
Exemplo: John's iPad
ID do Dispositivo {{DeviceId}} Adicione o ID de dispositivo do Intune que pertence ao dispositivo não conforme.
Exemplo: 12ab345c-6789-def0-1234-000000000000
Versão do sistema operacional do dispositivo {{OSAndVersion}} Adicione o sistema operativo e a versão do dispositivo não conforme.
Exemplo: Android 12

Para criar o modelo

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança do ponto de extremidade>Conformidade do dispositivo>Notificações>Criar notificação.

  3. Na página Noções básicas , atribua um nome amigável ao modelo para o ajudar a identificá-lo. Em seguida, selecione Avançar.

  4. Na página Definições de cabeçalho e rodapé , adicione os detalhes e o logótipo da sua empresa.

    Captura de ecrã que mostra o exemplo da página de definições cabeçalho e rodapé de uma mensagem de notificação no Intune.

    Suas opções:

    • Cabeçalho de e-mail – Mostrar logótipo da empresa (predefinição = Ativar) – carregue um logótipo para adicionar a imagem corporativa da sua organização aos modelos de e-mail. Para obter mais informações sobre identidade visual do Portal da Empresa, confira Personalização de identidade visual da empresa.
    • Rodapé do e-mail – Mostrar o nome da empresa ( predefinição = Ativar) – ative esta definição para mostrar o nome da empresa no e-mail. Veja Valor do Inquilino para rever o nome da empresa registado.
    • Rodapé do e-mail – Mostrar informações de contacto (predefinição = Ativar) – ative esta definição para mostrar as informações de contacto da sua organização, como o nome, o número de telefone e o endereço de e-mail, no e-mail. Veja Valor do Inquilino para rever as informações de contacto registadas.
    • Rodapé do e-mail – Mostrar ligação do site do portal da empresa (predefinição = Desativar) – ative esta definição para incluir uma ligação para o site do Portal da Empresa no e-mail. Veja Valor do Inquilino para rever a ligação do site apresentada aos utilizadores.

    Selecione Avançar para continuar.

  5. Na página Modelos de mensagem de notificação, configure uma ou mais mensagens. Para cada mensagem, especifique os seguintes detalhes:

    • Região: selecione o idioma que está correlacionado com a região do utilizador do dispositivo.
    • Assunto: adicione a linha de assunto do e-mail. Pode introduzir até 78 carateres.
    • Editor de HTML não processado: ative o editor de HTML para obter sugestões ao adicionar formatação HTML e ligações à sua mensagem. Pode utilizar o href atributo para adicionar uma ligação (tem de ser um URL HTTPS). As etiquetas HTML suportadas incluem: <a>, , <strong><b>, <u>, <ol>, <ul>, <li>, <p>, <br>, , <code>, <table>, <tbody>, , <tr>, , <td>, , <thead><th>. Não é necessário utilizar o editor de HTML e pode adicionar HTML suportado sem ativar o editor.
    • Mensagem: Crie uma mensagem a explicar o motivo da não conformidade. Pode introduzir até 2000 carateres.

    Para criar um modelo com conteúdo dinâmico, insira o token de uma variável suportada na linha ou mensagem do assunto. Para obter uma lista de variáveis suportadas, consulte a tabela em Criar um modelo de mensagem de notificação neste artigo.

    Importante

    Certifique-se de que utiliza apenas atributos e etiquetas HTML suportados pelo Intune no corpo da mensagem. O Intune enviará mensagens que contêm outros tipos de etiquetas, elementos ou estilo como texto simples em vez de formato HTML. Isto inclui mensagens que contêm:

    • CSS
    • Etiquetas e atributos não listados neste artigo

    Observação

    O Intune converte novos carateres de linha do estilo Windows em <br> etiquetas HTML, mas ignora todos os outros tipos de carateres de linha novos, incluindo os para macOS e Linux. Para garantir que as quebras de linha são compostas corretamente nos modelos, recomendamos que utilize a <br> etiqueta para indicar o fim de uma linha.

  6. Selecione a caixa de verificação De Predefinição para uma das mensagens. O Intune envia a sua mensagem predefinida aos utilizadores que não definiram um idioma preferencial ou quando o modelo não inclui uma mensagem específica para a região. Somente uma mensagem pode ser definida como padrão. Para excluir uma mensagem, selecione as reticências (...) e Excluir.

    Selecione Avançar para continuar.

  7. Na página Etiquetas de âmbito , selecione etiquetas para limitar a visibilidade e a gestão desta mensagem a grupos de administradores específicos do Intune, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

    Selecione Avançar para continuar.

  8. Na página Rever + criar , reveja as configurações para garantir que o modelo de mensagem de notificação está pronto para ser utilizado. Selecione Criar para concluir a criação da notificação.

Exibir e editar notificações

As notificações criadas estão disponíveis na página Políticas de conformidade>Notificações. Nessa página, você pode selecionar uma notificação para exibir sua configuração e:

  • Selecionar Enviar email de visualização para enviar uma visualização do email de notificação à conta que você usou para entrar no Intune.

    Para enviar com êxito o e-mail de pré-visualização, a sua conta tem de ter permissões iguais às dos seguintes grupos do Microsoft Entra ou funções do Intune: Administrador do Intune (também conhecido como Administrador de Serviços do Intune) ou Gestor de Políticas e Perfis.

  • Selecionar Editar em Noções básicas ou Marcas de escopo para fazer uma alteração.

Observação

O e-mail de pré-visualização não contém as variáveis de dispositivo especificadas no modelo de mensagem de notificação.

Adicionar ações de não conformidade

Quando você cria uma política de conformidade de dispositivo, o Intune cria automaticamente uma ação de não conformidade. Se um dispositivo não cumprir a política de conformidade, esta ação marca o dispositivo como não conforme. É possível personalizar por quanto tempo o dispositivo fica marcado como não compatível. Esta ação não pode ser removida.

Você também pode adicionar ação opcionais ao criar uma política de conformidade ou atualizar uma política existente.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda aConformidade de Dispositivos>.

  3. Selecione uma política e, em seguida, selecione Propriedades.

    Você ainda não tem uma política? Crie uma política para Android, iOS, Windows ou outra plataforma.

    Observação

    Dispositivos gerenciados por parceiros de conformidade de dispositivos de terceiros que são direcionados a grupos de dispositivos não podem receber ações de conformidade no momento.

  4. Selecione Ações para Edição de não conformidade>.

  5. Selecione sua Ação:

    • Enviar email aos usuários finais: quando o dispositivo não estiver em conformidade, opte por enviar email ao usuário. Também:

      • Escolha o Modelo de mensagem criado anteriormente
      • Insira quaisquer Destinatários adicionais selecionando grupos
    • Bloquear remotamente o dispositivo não compatível: quando o dispositivo não for compatível, bloqueie o dispositivo. Essa ação força o usuário a inserir um PIN ou uma senha para desbloquear o dispositivo.

    • Adicionar dispositivo para extinguir lista: quando o dispositivo não estiver em conformidade, remova todos os dados da empresa do dispositivo e remova o dispositivo da gestão do Intune.

    • Enviar uma notificação push para o utilizador final: configure esta ação para enviar uma notificação push sobre não conformidade para um dispositivo através da aplicação Portal da Empresa ou da Aplicação do Intune no dispositivo.

  6. Configurar um Agendamento: insira o número de dias (0 a 365) após a não conformidade para disparar a ação nos dispositivos dos usuários. Após esse período de carência, será possível impor uma política de acesso condicional. Se você inserir 0 (zero) número de dias, o acesso condicional entrará em vigor imediatamente. Por exemplo, se um dispositivo não for compatível, use o acesso condicional para bloquear imediatamente o acesso ao email, ao SharePoint e a outros recursos da organização.

    Ao criar uma política de conformidade, a ação Marcar o dispositivo como não compatível é automaticamente criada e definida como 0 dia (imediatamente). Com esta ação, quando o dispositivo faz o check-in com o Intune e avalia a política, se não estiver em conformidade com essa política, o Intune marca imediatamente esse dispositivo como não conforme. Se o cliente iniciar sessão mais tarde depois de remediar os problemas que levam à não conformidade, o respetivo estado será atualizado para o novo estado de conformidade. Se você usar o Acesso Condicional, essas políticas também serão aplicadas assim que um dispositivo for marcado como não compatível. Para definir um período de carência para permitir que uma condição de não conformidade seja corrigida antes que o dispositivo seja marcado como não compatível, altere o Agendamento na ação Marcar não conformidade do dispositivo.

    Em sua política de conformidade, por exemplo, você também quer notificar o usuário. Você pode adicionar a ação Enviar email para o usuário final. Nessa ação de Enviar email, defina o Agendamento como dois dias. Se o dispositivo ou o utilizador final continuar a ser avaliado como não conforme no segundo dia, o seu e-mail será enviado no segundo dia. Se você quiser enviar novamente um email de não conformidade ao usuário no dia cinco, adicione outra ação e defina o Agendamento como cinco dias.

    Para obter mais informações sobre conformidade e as ações internas, confira a visão geral de conformidade.

  7. Após terminar, selecione Adicionar>OK para salvar as alterações.

Próximas etapas

Monitorar suas políticas.