Partilhar via


Passo 5. Implementar perfis de dispositivo no Microsoft Intune

Microsoft Intune inclui definições e funcionalidades que pode ativar ou desativar em diferentes dispositivos na sua organização. Estas definições e funcionalidades são adicionadas a "perfis de configuração". Pode criar perfis para diferentes dispositivos e plataformas diferentes, incluindo iOS/iPadOS, administrador de dispositivos Android, Android Enterprise e Windows. Em seguida, utilize Intune para aplicar ou "atribuir" o perfil aos dispositivos.

Este artigo fornece orientações sobre como começar a utilizar perfis de configuração.

O quarto passo do Mobile Gestão de Dispositivos impor definições seguras em dispositivos com perfis de configuração.

Os perfis de configuração permitem-lhe configurar uma proteção importante e colocar os dispositivos em conformidade para que possam aceder aos seus recursos. Anteriormente, estes tipos de alterações de configuração eram configurados com definições de Política de Grupo no Active Directory Domain Services. Uma estratégia de segurança moderna inclui mover controlos de segurança para a cloud onde a imposição destes controlos não depende de recursos e acesso no local. Intune perfis de configuração são a forma de fazer a transição destes controlos de segurança para a cloud.

Para lhe dar uma ideia do tipo de perfis de configuração que pode criar, consulte Aplicar funcionalidades e definições nos seus dispositivos através de perfis de dispositivo no Microsoft Intune.

Implementar linhas de base de segurança do Windows para Intune

Como ponto de partida, se quiser alinhar as configurações do dispositivo com as linhas de base de segurança da Microsoft, recomendamos as linhas de base de segurança no Microsoft Intune. A vantagem desta abordagem é que pode confiar na Microsoft para manter as linhas de base atualizadas à medida que Windows 10 e 11 funcionalidades são lançadas.

Para implementar as linhas de base de segurança do Windows para Intune, disponíveis para Windows 10 e Windows 11. Veja Utilizar linhas de base de segurança para configurar dispositivos Windows no Intune para saber mais sobre as linhas de base disponíveis.

Por agora, basta implementar a linha de base de segurança mdm mais adequada. Veja Gerir perfis de linha de base de segurança no Microsoft Intune para criar o perfil e escolher a versão de linha de base.

Mais tarde, quando Microsoft Defender para Endpoint estiver configurado e tiver ligado Intune, implemente as linhas de base do Defender para Endpoint. Este tópico é abordado no próximo artigo desta série: Passo 6. Monitorizar o risco e a conformidade do dispositivo com as linhas de base de segurança.

É importante compreender que estas linhas de base de segurança não são compatíveis com CIS ou NIST, mas espelham de perto as suas recomendações. Para obter mais informações, veja As linhas de base de segurança Intune CIS ou NIST estão em conformidade?

Personalizar perfis de configuração para a sua organização

Além de implementar as linhas de base pré-configuradas, muitas organizações à escala empresarial implementam perfis de configuração para um controlo mais granular. Esta configuração ajuda a reduzir a dependência dos Objetos Política de Grupo no ambiente Active Directory no local e a mover controlos de segurança para a cloud.

As muitas definições que pode configurar através de perfis de configuração podem ser agrupadas em quatro categorias, conforme ilustrado abaixo.

Intune categorias de perfis de dispositivo, incluindo funcionalidades do dispositivo, restrições de dispositivos, configuração de acesso e definições personalizadas.

A tabela seguinte descreve a ilustração.

Categoria Descrição Exemplos
Funcionalidades do dispositivo Controla as funcionalidades no dispositivo. Esta categoria aplica-se apenas a dispositivos iOS/iPadOS e macOS. Airprint, notificações, mensagens de ecrã de bloqueio
Restrições de dispositivos Controla as definições de segurança, hardware, partilha de dados e muito mais nos dispositivos Exigir um PIN, encriptação de dados
Configuração de acesso Configura um dispositivo para aceder aos recursos da sua organização perfis de Email, perfis VPN, definições de Wi-Fi, certificados
Personalizado Definir a configuração personalizada ou executar ações de configuração personalizadas Definir definições de OEM, executar scripts do PowerShell

Ao personalizar perfis de configuração para a sua organização, utilize a seguinte documentação de orientação:

  • Simplifique a sua estratégia de governação de segurança ao manter o número global de políticas reduzido.
  • Agrupe as definições nas categorias listadas acima ou as categorias que fazem sentido para a sua organização.
  • Ao mover controlos de segurança do Política de Grupo Objects (GPO) para Intune perfis de configuração, considere se as definições configuradas por cada GPO ainda são relevantes e necessárias para contribuir para a sua estratégia de segurança na cloud geral. O Acesso Condicional e as muitas políticas que podem ser configuradas em serviços cloud, incluindo Intune, fornecem uma proteção mais sofisticada do que poderia ser configurada num ambiente no local onde os GPOs personalizados foram originalmente concebidos.
  • Utilize o Política de Grupo Analytics para comparar e mapear as suas definições de GPO atuais para capacidades no Microsoft Intune. Veja Analisar os objetos de política de grupo (GPO) no local com Política de Grupo análise no Microsoft Intune.
  • Ao utilizar perfis de configuração personalizados, certifique-se de que utiliza a documentação de orientação aqui: Criar um perfil com definições personalizadas no Intune.

Recursos adicionais

Se não tiver a certeza de por onde começar com os perfis de dispositivo, o seguinte pode ajudar:

Se o seu ambiente incluir GPOs no local, as seguintes funcionalidades são uma boa transição para a cloud:

Passo seguinte

Vá para o Passo 6. Monitorizar o risco e a conformidade do dispositivo com as linhas de base de segurança.