Guia de implementação: Gerir dispositivos com o Windows 10/11
Este guia descreve como proteger e gerir aplicações e pontos finais do Windows com o Microsoft Intune e inclui as nossas recomendações de configuração e recursos desde pré-requisitos à inscrição.
Para cada secção deste guia, reveja as tarefas associadas. Algumas tarefas são necessárias e algumas, como configurar o Acesso Condicional do Microsoft Entra, são opcionais. Selecione as ligações fornecidas em cada secção para aceder aos nossos documentos de ajuda recomendados no Microsoft Learn, onde pode encontrar informações mais detalhadas e instruções de procedimentos.
Etapa 1: Pré-requisitos
Conclua os seguintes pré-requisitos para ativar as capacidades de gestão de pontos finais do inquilino:
- Adicionar usuários e grupos
- Atribuir licenças a usuários
- Define uma autoridade de gerenciamento de dispositivo móvel
Para obter informações sobre as funções e permissões do Microsoft Intune, veja RBAC com o Microsoft Intune. As funções Administrador Global do Microsoft Entra e Administrador do Intune têm direitos totais no Microsoft Intune. Estas funções são altamente privilegiadas e têm mais acesso do que o necessário para muitas tarefas de gestão de dispositivos no Microsoft Intune. Recomendamos que utilize a função incorporada com menos privilégios disponível para concluir tarefas.
Para obter mais detalhes e recomendações sobre como preparar a sua organização, integrar ou adotar o Intune para gestão de dispositivos móveis, veja Guia de migração: Configurar ou mudar para o Microsoft Intune.
Passo 2: Planear a implementação
Use o guia de Planejamento do Microsoft Intune para definir as metas de gerenciamento de dispositivo, os cenários de caso de uso e os requisitos. Utilize o guia para planear a implementação, comunicação, suporte, teste e validação. Por exemplo, em alguns casos, não tem de estar presente quando funcionários e estudantes estão a inscrever os respetivos dispositivos. Recomendamos que tenha um plano de comunicação para que as pessoas saibam onde encontrar informações sobre como instalar e utilizar o Portal da Empresa do Intune.
Para obter mais informações, veja Guia de planeamento do Microsoft Intune.
Passo 3: Criar políticas de conformidade
Utilize políticas de conformidade para garantir que os dispositivos que acedem aos seus dados estão seguros e cumprem os padrões da sua organização. A fase final do processo de inscrição é a avaliação de compatibilidade, que verifica se as definições no dispositivo cumprem as suas políticas. Os utilizadores do dispositivo têm de resolver todos os problemas de conformidade para obter acesso a recursos protegidos. O Intune marca os dispositivos que ficam aquém dos requisitos de conformidade como não conformes e toma medidas adicionais (como enviar uma notificação ao utilizador, restringir o acesso ou limpar o dispositivo) de acordo com a sua ação para configurações de não conformidade.
Pode utilizar as políticas de Acesso Condicional do Microsoft Entra em conjunto com as políticas de conformidade do dispositivo para controlar o acesso a PCs Windows, e-mail empresarial e serviços do Microsoft 365. Por exemplo, pode criar uma política que impede os funcionários de acederem ao Microsoft Teams no Edge sem inicialmente inscreverem ou protegerem os respetivos dispositivos.
Dica
Para obter uma descrição geral das políticas de conformidade do dispositivo, veja Descrição geral da conformidade.
Tarefa | Detalhe |
---|---|
Criar uma política de conformidade | Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade a grupos de usuários e de dispositivos. |
Adicionar ações de não conformidade | Escolha o que acontece quando os dispositivos não atendem mais às condições da sua política de conformidade. Exemplos de ações incluem o envio de alertas, o bloqueio remoto de dispositivos ou a extinção de dispositivos. Você pode adicionar ações de não conformidade ao configurar uma política de conformidade do dispositivo ou, posteriormente, ao editar a política. |
Criar uma política de acesso condicional baseada em dispositivos ou aplicações | Selecione as aplicações ou serviços que pretende proteger e defina as condições de acesso. |
Bloquear o acesso a aplicativos que não usam autenticação moderna | Crie uma política de acesso condicional com base no aplicativo para bloquear aplicativos que usam métodos de autenticação diferentes de OAuth2, por exemplo, os aplicativos que usam autenticação básica e baseada em formulário. No entanto, antes de bloquear o acesso, inicie sessão no Microsoft Entra ID e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a utilizar a autenticação básica para aceder a coisas essenciais de que se esqueceu ou de que não tem conhecimento. Por exemplo, itens como quiosques de calendário de salas de reunião usam autenticação básica. |
Adicionar definições de conformidade personalizadas | Com as definições de conformidade personalizadas, pode escrever os seus próprios scripts bash para abordar cenários de conformidade ainda não incluídos nas opções de conformidade do dispositivo incorporadas no Microsoft Intune. Este artigo descreve como criar, monitorizar e resolver problemas de políticas de conformidade personalizadas para dispositivos Windows. As definições de conformidade personalizadas exigem que crie um script personalizado que identifique as definições e os pares de valores. |
Passo 4: Configurar a segurança do ponto final
Utilize as funcionalidades de segurança de ponto final do Intune para configurar a segurança do dispositivo e gerir tarefas de segurança para dispositivos em risco.
Tarefa | Detalhe |
---|---|
Gerenciar dispositivos com recursos de segurança do ponto de extremidade | Use as configurações de segurança do ponto de extremidade no Intune para gerenciar efetivamente a segurança do dispositivo e corrigir os problemas dos dispositivos. |
Adicionar configurações da Proteção dos pontos de extremidade | Configure funcionalidades de segurança comuns do Endpoint Protection, como firewall, BitLocker e Microsoft Defender. Confira uma descrição das configurações nessa área na referência de configurações do Endpoint Protection. |
Configurar o Microsoft Defender para Ponto de Extremidade no Intune | Quando integra o Intune no Microsoft Defender para Endpoint, não só ajuda a evitar falhas de segurança, como também pode tirar partido do Microsoft Defender para Pontos Finais – Gestão de Vulnerabilidades & Vulnerabilidades (TVM) e utilizar o Intune para remediar a fraqueza do ponto final identificada pela TVM. |
Gerenciar a política do BitLocker | Certifique-se de que os dispositivos são encriptados após a inscrição ao criar uma política que configura o BitLocker em dispositivos geridos. |
Gerir perfis de linha de base de segurança | Utilize as linhas de base de segurança no Intune para o ajudar a proteger os seus utilizadores e dispositivos. Uma linha de base de segurança inclui as melhores práticas e recomendações para definições que afetam a segurança. |
Utilizar o Windows Update para Empresas para atualizações de software | Configure uma estratégia de implementação do Windows Update com o Windows Update para Empresas. Este artigo apresenta-lhe os tipos de política que pode utilizar para gerir atualizações de software do Windows 10/11 e como fazer a transição de diferimentos de cadências de atualização para uma política de atualizações de funcionalidades. |
Passo 5: Configurar as definições do dispositivo
Utilize o Microsoft Intune para ativar ou desativar as definições e funcionalidades do Windows nos dispositivos. Para configurar e impor essas configurações, crie um perfil de configuração de dispositivo e atribua o perfil a grupos em sua organização. Os dispositivos recebem o perfil quando se registram.
Tarefa | Detalhe |
---|---|
Criar um perfil de dispositivo | Crie um perfil de dispositivo no Microsoft Intune e encontre recursos sobre todos os tipos de perfis de dispositivo. Também pode utilizar o catálogo de definições para criar uma política de raiz. |
Configurar definições de política de grupo | Use modelos do Windows 10 para definir as configurações da política de grupo no Microsoft Intune. Os modelos administrativos incluem centenas de configurações que podem ser definidas para o Internet Explorer, o Microsoft Edge, o OneDrive, a Área de Trabalho Remota, o Word, o Excel e outros programas do Office. Esses modelos oferecem aos administradores uma exibição simplificada das configurações semelhante à política de grupo, totalmente baseada em nuvem. |
Configurar o perfil de Wi-Fi | Esse perfil permite que as pessoas localizem e se conectem à rede Wi-Fi da sua organização. Para obter uma descrição das definições nesta área, consulte a referência de definições de Wi-Fi para o Windows 10 e posterior. |
Configurar Perfil VPN | Configure uma opção de VPN segura, como o Microsoft Tunnel, para pessoas que se conectam à rede da sua organização. Para obter uma descrição das configurações nessa área, consulte a referência de configurações do VPN. |
Configurar perfil de email | Defina as configurações de email para que as pessoas possam se conectar a um servidor para acesso a emails corporativos ou de estudante. Confira uma descrição das configurações nessa área na referência de configurações de email. |
Restringir recursos do dispositivo | Proteja os usuários contra acessos não autorizados e distrações limitando os recursos do dispositivo que eles podem usar no trabalho ou na escola. Para obter uma descrição das definições nesta área, consulte a referência de restrições de dispositivos para o Windows 10/11 e o Windows 10 Teams. |
Configurar perfil personalizado | Adicione e atribua as configurações e recursos do dispositivo que não são integrados ao Intune. Para obter uma descrição das definições nesta área, veja a referência de definições personalizadas. |
Configurar as definições do BIOS | Configure o Intune para que possa controlar as definições do UEFI (BIOS) em dispositivos inscritos, utilizando a Interface de Configuração de Firmware do Dispositivo (DFCI) |
Configurar a Associação a Um Domínio | Se estiver a planear inscrever dispositivos associados ao Microsoft Entra, certifique-se de que cria um perfil de associação a um domínio para que o Intune saiba qual o domínio no local a associar. |
Configurar as definições de otimização da entrega | Utilize estas definições para reduzir o consumo de largura de banda em dispositivos que transferem aplicações e atualizações. |
Personalizar a identidade visual e a experiência de registro | Personalize o Portal da Empresa Intune e a experiência do aplicativo Microsoft Intune com as próprias palavras, marca, preferências de tela e informações de contato da sua organização. |
Configurar quiosques e dispositivos dedicados | Crie um perfil de quiosque para gerir dispositivos em execução no modo de quiosque. |
Personalizar dispositivos partilhados | Controlar o acesso, as contas e as funcionalidades de energia em dispositivos partilhados ou com vários utilizadores. |
Configurar o limite de rede | Crie um perfil de limite de rede para proteger o seu ambiente de sites em que não confia. |
Configurar a monitorização do estado de funcionamento do Windows | Crie um perfil de monitorização do estado de funcionamento do Windows para permitir que a Microsoft recolha dados sobre o desempenho e forneça recomendações para melhorias. A criação de um perfil permite a funcionalidade de análise de pontos finais no Microsoft Intune, que analisa os dados recolhidos, recomenda software, ajuda a melhorar o desempenho do arranque e corrige problemas comuns de suporte. |
Configurar a aplicação Take a Test para estudantes | Configure a aplicação Take a Test para estudantes que façam testes ou exames em dispositivos inscritos. |
Configurar o perfil de rede móvel eSim | Pode configurar o eSIM para dispositivos compatíveis com ESIM, como o Surface LTE Pro, para ligar à Internet através de uma ligação de dados via rede móvel. Esta configuração é ideal para viajantes globais que precisam de se manter ligados e flexíveis durante a viagem e elimina a necessidade de um cartão SIM. |
Passo 6: Configurar métodos de autenticação seguros
Configure métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acessem seus recursos internos. O Intune dá suporte à autenticação multifator, a certificados e a credenciais derivadas. Os certificados também são usados para assinatura e criptografia de email usando S/MIME.
Tarefa | Detalhe |
---|---|
Exigir MFA (autenticação multifator) | Exigir que as pessoas forneçam duas formas de credenciais no momento da inscrição do dispositivo. Esta política funciona em conjunto com as políticas de Acesso Condicional do Microsoft Entra. |
Criar um perfil de certificado confiável | Crie e implante um perfil de certificado confiável antes de criar um perfil de certificado SCEP, PKCS ou PKCS importado. O perfil de certificado confiável implanta o certificado raiz confiável para dispositivos e usuários usando certificados SCEP, PKCS e PKCS importados. |
Usar certificados SCEP com o Intune | Saiba o que é necessário para usar certificados SCEP com o Intune e configurar a infraestrutura necessária. Em seguida, pode criar um perfil de certificado SCEP ou configurar uma autoridade de certificação de terceiros com o SCEP. |
Usar os certificados PKCS com o Intune | Configure a infraestrutura necessária (como conectores de certificado locais), exporte um certificado PKCS e adicione certificados a um perfil de configuração de dispositivo do Intune. |
Usar certificados PKCS importados com o Intune | Configure certificados PKCS importados, que permitem que você Configure e use S/MIME para criptografar email. |
Configurar um emissor de credenciais derivadas | Aprovisione dispositivos Windows com certificados derivados de smart cards de utilizador. |
Integrar o Windows Hello para Empresas com o Microsoft Intune | Crie uma política do Windows Hello para Empresas para ativar ou desativar o Windows Hello para Empresas durante a inscrição de dispositivos. O Hello para Empresas é um método de início de sessão alternativo que utiliza o Active Directory ou uma conta do Microsoft Entra para substituir uma palavra-passe, um smart card ou um smart card virtual. |
Passo 7: Implementar aplicações
Ao configurar aplicativos e políticas de aplicativos, pense nos requisitos de sua organização, como as plataformas às quais você oferece suporte, as tarefas que as pessoas realizam, o tipo de aplicativos de que precisam para concluir essas tarefas e quem precisa delas. Você pode usar o Intune para gerenciar todo o dispositivo (incluindo aplicativos) ou para gerenciar somente aplicativos.
Tarefa | Detalhe |
---|---|
Adicionar aplicativos de linha de negócios | Adicione aplicações de linha de negócio (LOB) macOS ao Intune e atribua a grupos. |
Adicionar o Microsoft Edge | Adicione e atribua o Microsoft Edge para Windows. |
Adicionar a aplicação Portal da Empresa do Intune a partir da Microsoft Store | Adicione e atribua manualmente a aplicação Portal da Empresa do Intune como uma aplicação necessária. |
Adicionar a aplicação Portal da Empresa do Intune para o Autopilot | Adicione a aplicação Portal da Empresa aos dispositivos aprovisionados pelo Windows Autopilot. |
Adicionar aplicações do Microsoft 365 | Adicione o Microsoft 365 Apps para Grandes Empresas. |
Atribuir aplicativos aos grupos | Depois de adicionar aplicativos ao Intune, atribua-os a usuários e dispositivos. |
Incluir e excluir atribuições de aplicativo | Controle o acesso e a disponibilidade de um aplicativo incluindo e excluindo os grupos selecionados da atribuição. |
Utilizar scripts do PowerShell | Carregue scripts do PowerShell para expandir as capacidades de gestão de dispositivos Windows no Intune e facilitar a mudança para a gestão moderna. |
Passo 8: Inscrever dispositivos
Durante a inscrição, o dispositivo é registado com o ID do Microsoft Entra e avaliado quanto à conformidade. Para obter informações sobre cada método de inscrição e como escolher um adequado para a sua organização, consulte Guia de inscrição de dispositivos Windows para o Microsoft Intune.
Tarefa | Detalhe |
---|---|
Ativar a inscrição automática de MDM | Simplifique a inscrição ao ativar a inscrição automática, que inscreve automaticamente dispositivos no Intune que se associam ou se registam com o seu ID do Microsoft Entra. A inscrição automática simplifica a implementação do Windows Autopilot, a inscrição BYOD, a inscrição com a Política de Grupo e a inscrição em massa através de um pacote de aprovisionamento. |
Ativar a deteção automática do servidor MDM | Se não tiver o Microsoft Entra ID P1 ou P2, recomendamos que crie um tipo de registo CNAME para os servidores de inscrição do Intune. O registo CNAME redireciona os pedidos de inscrição para o servidor certo para que os utilizadores inscritos não tenham de escrever o nome do servidor manualmente. |
Cenários do Windows Autopilot | Simplifique o OOBE orientado pelo utilizador ou de implementação automática para si e para os seus utilizadores ao configurar a inscrição de dispositivos do Microsoft Intune para que ocorra automaticamente durante o Windows Autopilot. |
Inscrever dispositivos associados híbridos do Microsoft Entra com o Windows Autopilot | O conector do Intune para o Active Directory permite que os dispositivos nos Serviços de Domínio do Active Directory se associem ao Microsoft Entra ID e, em seguida, se inscrevam automaticamente no Intune. Recomendamos esta opção de inscrição para ambientes no local que utilizam os Serviços de Domínio do Active Directory e não podem atualmente mover as respetivas identidades para o Microsoft Entra ID. |
Inscrever dispositivos com a Política de Grupo | Acionar a inscrição automática no Intune com uma política de grupo. |
Inscrever dispositivos em massa | Crie um pacote de aprovisionamento no Windows Configuration Designer que associe um grande número de novos dispositivos Windows ao Microsoft Entra ID e os inscreva no Intune. |
Configurar a página de estado de inscrição (ESP) | Crie um perfil de página de estado de inscrição com definições personalizadas para orientar os utilizadores através da configuração e inscrição de dispositivos. |
Alterar a etiqueta de propriedade do dispositivo | Depois que um dispositivo tiver sido registrado, você poderá alterar seu rótulo no Intune para propriedade corporativa ou pessoal. Este ajuste altera a forma como gere o dispositivo e pode ativar mais capacidades de gestão e identificação no Intune ou limitá-las. |
Configurar o proxy para o Intune Active Directory Connector | Configure o Conector do Intune para o Active Directory para trabalhar com os servidores proxy de saída existentes. |
Solucionar problemas de registro | Solucione problemas e encontre resoluções dos problemas que ocorrem durante o registro. |
Passo 9: Executar ações remotas
Após a configuração dos dispositivos, pode utilizar ações remotas suportadas para gerir e resolver problemas de dispositivos à distância. Os seguintes artigos apresentam-lhe as ações remotas do Windows. Se uma ação estiver ausente ou desativada no portal, não será suportada para o Windows.
Tarefa | Detalhe |
---|---|
Executar ação remota em dispositivos | Aprenda a fazer busca detalhada, gerenciar remotamente e solucionar problemas de dispositivos individuais no Intune. Este artigo lista todas as ações remotas disponíveis no Intune e links para esses procedimentos. |
Usar o TeamViewer para administrar remotamente dispositivos do Intune | Este tópico mostra como configurar o TeamViewer no Intune e como administrar um dispositivo remotamente. |
Usar tarefas de segurança para exibir ameaças e vulnerabilidades | Utilize o Intune para remediar a fraqueza do ponto final identificada pelo Microsoft Defender para Endpoint. Antes de poder trabalhar com tarefas de segurança, tem de integrar o Microsoft Defender para Endpoint no Intune. |
Passo 10: Ajudar funcionários e estudantes
Os recursos nesta secção estão na documentação da Ajuda do Utilizador do Microsoft Intune. Esta documentação destina-se a funcionários, estudantes e outros utilizadores de dispositivos licenciados pelo Intune que estejam a inscrever um dispositivo pessoal ou fornecido pela empresa. As ligações de documentação estão disponíveis em toda a aplicação Portal da Empresa do Intune e apontam para informações sobre:
- Métodos de inscrição, com instruções sobre como se inscrever
- Definições e funcionalidades do Portal da Empresa
- Como anular a inscrição e remover dados armazenados
- Atualizar as definições do dispositivo para os requisitos de conformidade
- Como comunicar problemas da aplicação
Dica
Torne os requisitos do sistema operativo e os requisitos de palavra-passe do dispositivo mais fáceis de encontrar no seu site ou num e-mail de inclusão para que os funcionários não tenham de atrasar a inscrição para procurarem essas informações.
Tarefa | Detalhe |
---|---|
Instalar a aplicação Portal da Empresa do Intune para Windows | Saiba onde obter a aplicação Portal da Empresa e como iniciar sessão. |
Atualizar a aplicação Portal da Empresa | Este artigo descreve como instalar a versão mais recente do Portal da Empresa e como ativar as atualizações automáticas de aplicações. |
Registrar um dispositivo | Este artigo descreve como inscrever dispositivos pessoais com o Windows 10 ou Windows 11. |
Cancelar o registro de um dispositivo | Este artigo descreve como anular a inscrição de um dispositivo no Intune e eliminar a cache armazenada e os registos do Portal da Empresa. |
Próximas etapas
Para obter uma descrição geral do centro de administração do Microsoft Intune e como navegar no mesmo, veja Tutorial: Instruções no centro de administração do Microsoft Intune. Os tutoriais têm conteúdo de nível 100 a 200, tanto para pessoas novas no Intune como para cenários específicos.
Para outras versões deste guia, consulte: