Partilhar via


Definições de Conformidade do Dispositivo para Windows 10/11 no Intune

Este artigo lista e descreve as diferentes definições de compatibilidade que pode configurar em dispositivos Windows no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para exigir o BitLocker, definir um sistema operativo mínimo e máximo, definir um nível de risco com Microsoft Defender para Ponto de Extremidade e muito mais.

Esse recurso aplica-se a:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Como administrador Intune, utilize estas definições de conformidade para ajudar a proteger os recursos organizacionais. Para saber mais sobre as políticas de conformidade e o que fazem, veja Introdução à conformidade do dispositivo.

Antes de começar

Crie uma política de conformidade. Em Plataforma, selecione Windows 10 e posteriores.

Integridade do dispositivo

Para garantir que os dispositivos arrancam num estado fidedigno, Intune utiliza os serviços de atestado de dispositivos da Microsoft. Os dispositivos em Intune serviços comerciais, us government GCC High e DoD em execução Windows 10 utilizar o serviço Atestado de Estado de Funcionamento do Dispositivo (DHA).

Para saber mais, confira:

Regras de avaliação do Serviço de Atestado de Estado de Funcionamento do Windows

  • Exigir BitLocker:
    A Encriptação de Unidade BitLocker do Windows encripta todos os dados armazenados no volume do sistema operativo Windows. O BitLocker utiliza o Trusted Platform Module (TPM) para ajudar a proteger o sistema operativo Windows e os dados do utilizador. Também ajuda a confirmar que um computador não é adulterado, mesmo que seja deixado sem vigilância, perdido ou roubado. Se o computador estiver equipado com um TPM compatível, o BitLocker utiliza o TPM para bloquear as chaves de encriptação que protegem os dados. Como resultado, as chaves não podem ser acedidas até que o TPM verifique o estado do computador.

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – o dispositivo pode proteger os dados armazenados na unidade contra acesso não autorizado quando o sistema está desligado ou hiberna.

    Estado de Funcionamento do DispositivoAttestation CSP – BitLockerStatus

    Observação

    Se utilizar uma política de conformidade de dispositivos no Intune, tenha em atenção que o estado desta definição só é medido no momento do arranque. Por conseguinte, mesmo que a encriptação BitLocker possa ter sido concluída, será necessário reiniciar para que o dispositivo o detete e se torne compatível. Para obter mais informações, consulte o seguinte blogue de suporte da Microsoft sobre o Atestado de Estado de Funcionamento do Dispositivo.

  • Exigir que o Arranque Seguro seja ativado no dispositivo:

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – o sistema é forçado a arrancar para um estado fidedigno de fábrica. Os componentes principais que são utilizados para arrancar a máquina têm de ter assinaturas criptográficas corretas que sejam consideradas fidedignas pela organização que fabricou o dispositivo. O firmware UEFI verifica a assinatura antes de permitir o arranque do computador. Se algum ficheiro for adulterado, que quebra a assinatura, o sistema não arranca.

    Observação

    A definição Exigir Que o Arranque Seguro seja ativado no dispositivo é suportada em alguns dispositivos TPM 1.2 e 2.0. Para dispositivos que não suportam o TPM 2.0 ou posterior, a política status no Intune é apresentada como Não Conforme. Para obter mais informações sobre as versões suportadas, consulte Atestado de Estado de Funcionamento do Dispositivo.

  • Exigir integridade do código:
    A integridade do código é uma funcionalidade que valida a integridade de um controlador ou ficheiro de sistema sempre que é carregado para a memória.

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – requer integridade do código, que deteta se um ficheiro de sistema ou controlador não assinado está a ser carregado para o kernel. Também deteta se um ficheiro de sistema é alterado por software malicioso ou executado por uma conta de utilizador com privilégios de administrador.

Para saber mais, confira:

Propriedades do Dispositivo

Versão do Sistema Operativo

Para descobrir versões de compilação para todos os Windows 10/11 Atualizações de Funcionalidades e Atualizações Cumulativos (a utilizar em alguns dos campos abaixo), consulte Informações de versão do Windows. Certifique-se de que inclui o prefixo de versão adequado antes dos números de criação, como 10,0 para Windows 10, como ilustram os exemplos seguintes.

  • Versão mínima do SO:
    Introduza a versão mínima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escreva ver. O ver comando devolve a versão no seguinte formato:

    Microsoft Windows [Version 10.0.17134.1]

    Quando um dispositivo tem uma versão anterior à versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.

  • Versão máxima do SO:
    Introduza a versão máxima permitida no formato de número major.minor.build.revision . Para obter o valor correto, abra uma linha de comandos e escreva ver. O ver comando devolve a versão no seguinte formato:

    Microsoft Windows [Version 10.0.17134.1]

    Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.

  • SO mínimo necessário para dispositivos móveis:
    Introduza a versão mínima permitida no formato de número major.minor.build.

    Quando um dispositivo tem uma versão anterior da versão do SO introduzida, é comunicado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o respetivo dispositivo. Após a atualização, podem aceder aos recursos da empresa.

  • SO máximo necessário para dispositivos móveis:
    Introduza a versão máxima permitida, no número major.minor.build.

    Quando um dispositivo está a utilizar uma versão do SO posterior à versão introduzida, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador final que contacte o administrador de TI. O dispositivo não pode aceder aos recursos da organização até que a regra seja alterada para permitir a versão do SO.

  • Compilações válidas do sistema operativo:
    Especifique uma lista de compilações mínimas e máximas do sistema operativo. As compilações válidas do sistema operativo proporcionam flexibilidade adicional quando comparadas com as versões mínimas e máximas do SO. Considere um cenário em que a versão mínima do SO está definida como 10.0.18362.xxx (Windows 10 1903) e a versão máxima do SO está definida como 10.0.18363.xxx (Windows 10 1909). Esta configuração pode permitir que um dispositivo Windows 10 1903 que não tenha atualizações cumulativas recentes instaladas seja identificado como conforme. As versões mínimas e máximas do SO poderão ser adequadas se tiver padronizado numa única versão de Windows 10, mas poderá não cumprir os seus requisitos se precisar de utilizar várias compilações, cada uma com níveis de patch específicos. Nesse caso, considere tirar partido de compilações válidas do sistema operativo, o que permite especificar várias compilações de acordo com o exemplo seguinte.

    O maior valor suportado para cada uma das versões, principais, secundárias e campos de compilação é 65535. Por exemplo, o maior valor que pode introduzir é 65535.65535.65535.65535.

    Exemplo:
    A tabela seguinte é um exemplo de um intervalo para as versões aceitáveis dos sistemas operativos para versões de Windows 10 diferentes. Neste exemplo, foram permitidas três Atualizações de Funcionalidades diferentes (1809, 1909 e 2004). Especificamente, apenas as versões do Windows e que tenham aplicado atualizações cumulativas de junho a setembro de 2020 serão consideradas conformes. Trata-se apenas de dados de exemplo. A tabela inclui uma primeira coluna que inclui qualquer texto que pretenda descrever a entrada, seguido da versão mínima e máxima do SO dessa entrada. A segunda e terceira colunas têm de cumprir versões de compilação válidas do SO no formato de número major.minor.build.revision . Depois de definir uma ou mais entradas, pode Exportar a lista como um ficheiro de valores separados por vírgulas (CSV).

    Descrição Versão mínima do sistema operacional Versão máxima do sistema operacional
    Vitória 10 2004 (jun-setembro de 2020) 10.0.19041.329 10.0.19041.508
    Vitória 10 1909 (jun-setembro de 2020) 10.0.18363.900 10.0.18363.1110
    Vitória 10 1809 (jun-setembro de 2020) 10.0.17763.1282 10.0.17763.1490

    Observação

    Se especificar vários intervalos de compilações de versões do SO na sua política e um dispositivo tiver uma compilação fora dos intervalos em conformidade, Portal da Empresa notificará o utilizador do dispositivo de que o dispositivo não está em conformidade com esta definição. No entanto, tenha em atenção que, devido a limitações técnicas, a mensagem de remediação de compatibilidade só mostra o primeiro intervalo de versões do SO especificado na política. Recomendamos que documente os intervalos de versões do SO aceitáveis para dispositivos geridos na sua organização.

Conformidade do Configuration Manager

Aplica-se apenas a dispositivos cogeridos com Windows 10/11. Intune dispositivos apenas devolvem uma status não disponível.

  • Exigir a conformidade do dispositivo do Configuration Manager:
    • Não configurado (predefinição) – Intune não marcar para nenhuma das definições de Configuration Manager de conformidade.
    • Exigir – exigir que todas as definições (itens de configuração) no Configuration Manager estejam em conformidade.

Segurança do Sistema

Senha

  • Exigir uma palavra-passe para desbloquear dispositivos móveis:

    • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
    • Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo.
  • Palavras-passe simples:

    • Não configurado (predefinição) – os utilizadores podem criar palavras-passe simples, como 1234 ou 1111.
    • Bloquear – os utilizadores não podem criar palavras-passe simples, como 1234 ou 1111.
  • Tipo de palavra-passe:
    Escolha o tipo de palavra-passe ou PIN necessário. Suas opções:

    • Predefinição do dispositivo (predefinição) – exigir uma palavra-passe, PIN numérico ou PIN alfanumérico
    • Numérico – Exigir uma palavra-passe ou UM PIN numérico
    • Alfanumérico – exigir uma palavra-passe ou PIN alfanumérico.

    Quando definido como Alfanumérico, estão disponíveis as seguintes definições:

  • Comprimento mínimo da palavra-passe:
    Introduza o número mínimo de dígitos ou carateres que a palavra-passe tem de ter.

  • Máximo de minutos de inatividade antes de a palavra-passe ser necessária:
    Introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe.

  • Expiração da palavra-passe (dias):
    Introduza o número de dias antes de a palavra-passe expirar e esta tem de criar uma nova, de 1 a 730.

  • Número de palavras-passe anteriores para impedir a reutilização:
    Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas.

  • Exigir palavra-passe quando o dispositivo regressa do estado inativo (Móvel e Holográfico):

    • Não configurado (predefinição)
    • Exigir – exigir que os utilizadores do dispositivo introduzam a palavra-passe sempre que o dispositivo regressa de um estado inativo.

    Importante

    Quando o requisito de palavra-passe é alterado num ambiente de trabalho do Windows, os utilizadores são afetados da próxima vez que iniciarem sessão, pois é quando o dispositivo passa de inativo para ativo. Os utilizadores com palavras-passe que cumpram os requisitos continuam a ser solicitados a alterar as respetivas palavras-passe.

Criptografia

  • Encriptação do armazenamento de dados num dispositivo:
    Esta definição aplica-se a todas as unidades num dispositivo.

    • Não configurado (predefinição)
    • Exigir – utilize Exigir para encriptar o armazenamento de dados nos seus dispositivos.

    DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

    Observação

    A definição Encriptação do armazenamento de dados num dispositivo verifica genericamente a presença de encriptação no dispositivo, mais especificamente ao nível da unidade do SO. Atualmente, Intune suporta apenas a encriptação marcar com o BitLocker. Para uma definição de encriptação mais robusta, considere utilizar Exigir BitLocker, que tira partido do Atestado de Estado de Funcionamento do Dispositivo Windows para validar o BitLocker status ao nível do TPM. No entanto, ao tirar partido desta definição, tenha em atenção que pode ser necessário reiniciar antes de o dispositivo ser refletido como conforme.

Segurança do Dispositivo

  • Firewall:

    • Não configurado (predefinição) – Intune não controla a Firewall do Windows nem altera as definições existentes.
    • Exigir – ative a Firewall do Windows e impeça os utilizadores de a desativar.

    CSP do Firewall

    Observação

    • Se o dispositivo sincronizar imediatamente após um reinício ou sincronizar imediatamente a partir do modo de suspensão, esta definição poderá comunicar como um Erro. Este cenário pode não afetar a status de conformidade geral do dispositivo. Para reavaliar o status de conformidade, sincronize manualmente o dispositivo.

    • Se for aplicada uma configuração (por exemplo, através de uma política de grupo) a um dispositivo que configure a Firewall do Windows para permitir todo o tráfego de entrada ou desative a firewall, definir Firewall como Exigir devolverá Não conforme, mesmo que Intune política de configuração do dispositivo ative a Firewall. Isto deve-se ao facto de o objeto de política de grupo substituir a política de Intune. Para corrigir este problema, recomendamos que remova quaisquer definições de política de grupo em conflito ou que migre as definições de política de grupo relacionadas com a Firewall para Intune política de configuração do dispositivo. Em geral, recomendamos que mantenha as predefinições, incluindo o bloqueio de ligações de entrada. Para obter mais informações, veja Melhores práticas para configurar a Firewall do Windows.

  • Trusted Platform Module (TPM):

    • Não configurado (predefinição) – Intune não marcar o dispositivo para uma versão do chip TPM.
    • Exigir - Intune verifica a compatibilidade da versão do chip do TPM. O dispositivo está em conformidade se a versão do chip do TPM for superior a 0 (zero). O dispositivo não está em conformidade se não existir uma versão TPM no dispositivo.

    DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

  • Antivírus:

    • Não configurado (predefinição) – Intune não marcar para quaisquer soluções antivírus instaladas no dispositivo.
    • Exigir – verifique a compatibilidade com soluções antivírus registadas no Segurança do Windows Center, como a Symantec e a Microsoft Defender. Quando definido como Exigir, um dispositivo com o respetivo software Antivírus desativado ou desatualizado não está em conformidade.

    DeviceStatus CSP - DeviceStatus/Antivirus/Status

  • Antisspyware:

    • Não configurado (predefinição) – Intune não marcar para quaisquer soluções antisspyware instaladas no dispositivo.
    • Exigir – verifique a conformidade com soluções antisspyware registadas no Segurança do Windows Center, como a Symantec e a Microsoft Defender. Quando definido como Exigir, um dispositivo com o software antimalware desativado ou desatualizado não está em conformidade.

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

As seguintes definições de compatibilidade são suportadas com o ambiente de trabalho Windows 10/11.

  • Microsoft Defender Antimalware:

    • Não configurado (predefinição) – Intune não controla o serviço nem altera as definições existentes.
    • Exigir – ative o Microsoft Defender serviço antimalware e impeça os utilizadores de o desativar.
  • Microsoft Defender versão mínima do Antimalware:
    Introduza a versão mínima permitida do Microsoft Defender serviço antimalware. Por exemplo, digite 4.11.0.0. Quando deixada em branco, qualquer versão do serviço antimalware Microsoft Defender pode ser utilizada.

    Por predefinição, não está configurada nenhuma versão.

  • Microsoft Defender informações de segurança antimalware atualizadas:
    Controla a Segurança do Windows atualizações de proteção contra vírus e ameaças nos dispositivos.

    • Não configurado (predefinição) – Intune não impõe quaisquer requisitos.
    • Exigir – forçar a Microsoft Defender informações de segurança a estarem atualizadas.

    Defender CSP – Defender/Estado de Funcionamento/SignatureOutOfDate CSP

    Para obter mais informações, consulte Atualizações de informações de segurança para Microsoft Defender Antivírus e outros antimalware da Microsoft.

  • Proteção em tempo real:

    • Não configurado (predefinição) – Intune não controla esta funcionalidade nem altera as definições existentes.
    • Exigir – ative a proteção em tempo real, que procura software maligno, spyware e outro software indesejável.

    Política CSP – Defender/AllowRealtimeMonitoring CSP

Microsoft Defender para Ponto de Extremidade

regras de Microsoft Defender para Ponto de Extremidade

Para obter informações adicionais sobre Microsoft Defender para Ponto de Extremidade integração em cenários de acesso condicional, veja Configurar o Acesso Condicional no Microsoft Defender para Ponto de Extremidade.

  • Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo:
    Utilize esta definição para assumir a avaliação de riscos dos seus serviços de defesa contra ameaças como uma condição de conformidade. Escolha o nível máximo de ameaça permitido:

    • Não configurado (predefinição)
    • Limpar – esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se o dispositivo for detetado como tendo qualquer nível de ameaças, será avaliado como não conforme.
    • Baixo – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer valor superior coloca o dispositivo num status não conforme.
    • Médio – o dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, é determinado que não está em conformidade.
    • Alta – esta opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.

    Para configurar Microsoft Defender para Ponto de Extremidade como o seu serviço de defesa contra ameaças, veja Ativar Microsoft Defender para Ponto de Extremidade com Acesso Condicional.

Subsistema do Windows para Linux

As definições nesta secção requerem o plug-in Subsistema do Windows para Linux (WSL). Para obter mais informações, veja Avaliar a compatibilidade do Subsistema do Windows para Linux.

Para distribuições e versões do Linux permitidas, introduza pelo menos um nome de distribuição do Linux. Opcionalmente, introduza uma versão mínima ou máxima do SO.

Observação

Os nomes e versões de distribuição introduzidos afetam a política de conformidade das seguintes formas:

  • Se não for fornecida nenhuma distribuição, todas as distribuições são permitidas. Esse é o comportamento padrão.
  • Se só forem fornecidos nomes de distribuição, todas as versões instaladas dessa distribuição são permitidas.
  • Se for fornecido um nome de distribuição e uma versão mínima do SO, todas as distribuições instaladas com o nome fornecido e a versão mínima ou posterior são permitidas.
  • Se for fornecido um nome de distribuição e uma versão máxima do SO, todas as distribuições instaladas com o nome fornecido e a versão máxima ou anterior são permitidas.
  • Se for fornecido um nome de distribuição, uma versão mínima do SO e uma versão máxima do SO, todas as distribuições instaladas e versões do SO dentro do intervalo fornecido são permitidas.

Windows Holographic for Business

Windows Holographic for Business utiliza a plataforma Windows 10 e posterior. Windows Holographic for Business suporta a seguinte definição:

  • Segurança> do SistemaEncriptação>Encriptação do armazenamento de dados no dispositivo.

Para verificar a encriptação de dispositivos no Microsoft HoloLens, veja Verificar a encriptação do dispositivo.

Surface Hub

O Surface Hub utiliza a plataforma Windows 10 e posterior. Os Surface Hubs são suportados para conformidade e Acesso Condicional. Para ativar estas funcionalidades nos Surface Hubs, recomendamos que ative a inscrição automática do Windows no Intune (requer Microsoft Entra ID) e direcione os dispositivos Surface Hub como grupos de dispositivos. Os Surface Hubs têm de estar Microsoft Entra associados para que a conformidade e o Acesso Condicional funcionem.

Para obter orientações, consulte Configurar a inscrição para dispositivos Windows.

Consideração especial para Os Surface Hubs em execução Windows 10/11 Team OS:
Os Surface Hubs que executam Windows 10/11 Team OS não suportam as políticas de conformidade de Microsoft Defender para Ponto de Extremidade e Palavra-passe neste momento. Por conseguinte, para os Surface Hubs que executam Windows 10/11 Team OS, defina as duas seguintes definições como a predefinição Não configurado:

  • Na categoria Palavra-passe, defina Exigir uma palavra-passe para desbloquear dispositivos móveis para a predefinição Não configurado.

  • Na categoria Microsoft Defender para Ponto de Extremidade, defina Exigir que o dispositivo esteja na classificação de risco do computador ou abaixo da predefinição Não configurado.

Próximas etapas