Integrar dispositivos no Microsoft Defender para Empresas

Este artigo descreve como integrar dispositivos no Defender para Empresas.

Integre os seus dispositivos empresariais para protegê-los imediatamente. Pode escolher entre várias opções para integrar os dispositivos da sua empresa. Este artigo explica-lhe as suas opções e descreve como funciona a integração.

O que fazer

1. Selecione um separador:
   • Windows 10 e 11
   • Mac
   • Dispositivos móveis (estão disponíveis novas capacidades para dispositivos iOS e Android!)
   • Servidores (Windows Server ou Linux Server)
2. Veja as suas opções de inclusão e siga a documentação de orientação no separador selecionado.
3. Ver uma lista de dispositivos integrados.
4. Execute um teste de phishing num dispositivo.
5. Avance para os passos seguintes.

Windows 10 e 11

Windows 10 e 11

Nota

Os dispositivos Windows têm de estar a executar um dos seguintes sistemas operativos:

• Windows 10 ou 11 Empresas
• Windows 10 ou 11 Professional
• Windows 10 ou 11 Enterprise

Para obter mais informações, veja requisitos de Microsoft Defender para Empresas.

Escolha uma das seguintes opções para integrar dispositivos cliente Windows no Defender para Empresas:

• Script local (para integrar dispositivos manualmente no portal do Microsoft Defender)
• Política de Grupo (se já estiver a utilizar Política de Grupo na sua organização)
• Microsoft Intune (se já estiver a utilizar Intune)

Script local para Windows 10 e 11

Pode utilizar um script local para integrar dispositivos cliente Windows. Quando executa o script de inclusão num dispositivo, este cria uma confiança com Microsoft Entra ID (se essa confiança ainda não existir), inscreve o dispositivo no Microsoft Intune (se ainda não estiver inscrito) e, em seguida, integra o dispositivo no Defender para Empresas. Se não estiver a utilizar atualmente Intune, o método de script local é o método de inclusão recomendado para clientes do Defender para Empresas.

Sugestão

Recomendamos que integre até 10 dispositivos de cada vez quando utilizar o método de script local.

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, selecione Definições>Pontos finais e, em seguida, em Gestão de dispositivos, selecione Inclusão.

3. Selecione Windows 10 e 11 e, em seguida, na secção Método de implementação, selecione Script local.

4. Selecione Transferir pacote de inclusão. Recomendamos que guarde o pacote de inclusão numa unidade amovível.

5. Num dispositivo Windows, extraia os conteúdos do pacote de configuração para uma localização, como a pasta Ambiente de Trabalho. Deve ter um ficheiro com o nome WindowsDefenderATPLocalOnboardingScript.cmd.

6. Abra uma linha de comandos como administrador.

7. Escreva a localização do ficheiro de script. Por exemplo, se copiou o ficheiro para a pasta Ambiente de Trabalho, escreveria e, em seguida, premiria %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmda tecla Enter (ou selecione OK).

8. Após a execução do script, execute um teste de deteção.

Política de Grupo para Windows 10 e 11

Se preferir utilizar Política de Grupo para integrar clientes Windows, siga as orientações em Integrar dispositivos Windows com Política de Grupo. Este artigo descreve os passos para integrar no Microsoft Defender para Endpoint. Os passos para integrar no Defender para Empresas são semelhantes.

Intune para Windows 10 e 11

Pode integrar clientes Windows e outros dispositivos no Intune utilizando o centro de administração do Intune (https://intune.microsoft.com). Existem vários métodos disponíveis para inscrever dispositivos no Intune. Recomendamos que utilize um dos seguintes métodos:

• Ativar a inscrição automática do Windows para dispositivos pertencentes à empresa ou geridos pela empresa
• Pedir aos utilizadores para inscreverem os seus próprios dispositivos Windows 10/11 no Intune

Ativar a inscrição automática para Windows 10 e 11

Quando configura a inscrição automática, os utilizadores adicionam a respetiva conta profissional ao dispositivo. Em segundo plano, o dispositivo regista e associa Microsoft Entra ID e está inscrito no Intune.

1. Aceda à portal do Azure (https://portal.azure.com/) e inicie sessão.

2. Selecione Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

3. Configure o âmbito do Utilizador mdm e o âmbito de utilizador MAM.

   

   • Para o âmbito do Utilizador MDM, recomendamos que selecione Tudo para que todos os utilizadores possam inscrever automaticamente os respetivos dispositivos Windows.

   • Na secção Âmbito do utilizador da MAM, recomendamos os seguintes valores predefinidos para os URLs:

     • URL dos Termos de utilização da MDM
     • URL de Deteção de MDM
     • URL de Conformidade de MDM

4. Seleccione Guardar.

5. Depois de um dispositivo ser inscrito no Intune, pode adicioná-lo a um grupo de dispositivos no Defender para Empresas. Saiba mais sobre os grupos de dispositivos no Defender para Empresas.

Sugestão

Para saber mais, veja Ativar a inscrição automática do Windows.

Pedir aos utilizadores para inscreverem os respetivos dispositivos Windows 10 e 11

1. Veja o seguinte vídeo para ver como funciona a inscrição:
   
   

2. Partilhe este artigo com utilizadores na sua organização: Inscrever dispositivos Windows 10/11 no Intune.

3. Depois de um dispositivo ser inscrito no Intune, pode adicioná-lo a um grupo de dispositivos no Defender para Empresas. Saiba mais sobre os grupos de dispositivos no Defender para Empresas.

Executar um teste de deteção num dispositivo Windows 10 ou 11

Depois de integrar dispositivos Windows no Defender para Empresas, pode executar um teste de deteção no dispositivo para garantir que está tudo a funcionar corretamente.

1. No dispositivo Windows, crie uma pasta: C:\test-MDATP-test.

2. Abra a Linha de Comandos como administrador.

3. Na janela Linha de Comandos, execute o seguinte comando do PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Após a execução do comando, a janela da Linha de Comandos fecha automaticamente. Se for bem-sucedido, o teste de deteção é marcado como concluído e é apresentado um novo alerta no portal do Microsoft Defender (https://security.microsoft.com) para o dispositivo recentemente integrado dentro de cerca de 10 minutos.

Mac

Mac

Nota

Recomendamos que utilize um script local para integrar o Mac. Embora possa configurar a inscrição para Mac com Intune, o script local é o método mais simples para integrar o Mac no Defender para Empresas.

Escolha uma das seguintes opções para integrar o Mac:

• Script local para Mac (recomendado)
• Intune para Mac (se já estiver a utilizar Intune)

Script local para Mac

Quando executa o script local no Mac, este cria uma confiança com Microsoft Entra ID (se essa confiança ainda não existir), inscreve o Mac no Microsoft Intune (se ainda não estiver inscrito) e, em seguida, integra o Mac no Defender para Empresas. Recomendamos que integre até 10 dispositivos de cada vez com este método.

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, selecione Definições>Pontos finais e, em seguida, em Gestão de dispositivos, selecione Inclusão.

3. Selecione macOS. Na secção Método de implementação , selecione Script local.

4. Selecione Transferir pacote de inclusão e guarde-o numa unidade amovível. Selecione também Transferir pacote de instalação e guarde-o no seu dispositivo amovível.

5. No Mac, guarde o pacote de instalação como wdav.pkg num diretório local.

6. Guarde o pacote de inclusão no WindowsDefenderATPOnboardingPackage.zip mesmo diretório que utilizou para o pacote de instalação.

7. Utilize o Finder para navegar até wdav.pkg si guardado e, em seguida, abra-o.

8. Selecione Continuar, aceite os termos de licenciamento e, em seguida, introduza a sua palavra-passe quando lhe for pedido.

9. É-lhe pedido que permita a instalação de um controlador da Microsoft (a Extensão do Sistema Bloqueada ou a Instalação está em espera ou ambas). Tem de permitir a instalação do controlador. Selecione Abrir Preferências de Segurança ou Abrir Preferências> de SistemaSegurança & Privacidade e, em seguida, selecione Permitir.

10. Utilize o seguinte comando bash para executar o pacote de inclusão:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Depois de o Mac estar inscrito no Intune, pode adicioná-lo a um grupo de dispositivos. Saiba mais sobre os grupos de dispositivos no Defender para Empresas.

Intune para Mac

Se já tiver Intune, pode inscrever computadores Mac com o Intune centro de administração (https://intune.microsoft.com). Existem vários métodos disponíveis para inscrever o Mac no Intune. Recomendamos um dos seguintes métodos:

• Escolher uma opção para Mac pertencente à empresa
• Pedir aos utilizadores para inscreverem o seu próprio Mac no Intune

Opções para Mac pertencente à empresa

Escolha uma das seguintes opções para inscrever dispositivos Mac geridos pela empresa no Intune:

Opção	Descrição
Inscrição de Dispositivos Automatizada da Apple	Utilize este método para automatizar a inscrição em dispositivos comprados através do Apple Business Manager ou do Apple School Manager. A inscrição automática de dispositivos implementa o perfil de inscrição "pelo ar", pelo que não precisa de ter acesso físico aos dispositivos. Consulte Inscrever automaticamente o Mac com o Apple Business Manager ou o Apple School Manager.
Gestor de inscrição de dispositivos (DEM)	Utilize este método para implementações em grande escala e quando existirem várias pessoas na sua organização que podem ajudar na configuração da inscrição. Alguém com permissões de gestor de inscrição de dispositivos (DEM) pode inscrever até 1000 dispositivos com uma única conta Microsoft Entra. Este método utiliza a aplicação Portal da Empresa ou Microsoft Intune aplicação para inscrever dispositivos. Não pode utilizar uma conta DEM para inscrever dispositivos através da Inscrição Automatizada de Dispositivos. Veja Inscrever dispositivos no Intune com uma conta do gestor de inscrição de dispositivos.
Inscrição direta	A inscrição direta inscreve dispositivos sem afinidade de utilizador, pelo que este método é melhor para dispositivos que não estão associados a um único utilizador. Este método requer que tenha acesso físico aos Macs que está a inscrever. Veja Utilizar a Inscrição Direta para Mac.

Pedir aos utilizadores para inscreverem o seu próprio Mac no Intune

Se a sua empresa preferir que as pessoas inscrevam os seus próprios dispositivos no Intune, direcione os utilizadores para seguirem estes passos:

1. Aceda ao site Portal da Empresa (https://portal.manage.microsoft.com/) e inicie sessão.

2. Siga as instruções no site do Portal da Empresa para adicionar o respetivo dispositivo.

3. Instale a aplicação Portal da Empresa em https://aka.ms/EnrollMyMace siga as instruções na aplicação.

Confirme que um Mac está integrado

1. Para confirmar que o dispositivo está associado à sua empresa, utilize o seguinte comando Python no Bash:

   mdatp health --field org_id.

2. Se estiver a utilizar o macOS 10.15 (Catalina) ou posterior, conceda o consentimento do Defender para Empresas para proteger o seu dispositivo. Aceda a Segurança das Preferências> do Sistema& Privacidade Privacidade>>Acesso Total ao Disco. Selecione o ícone de bloqueio na parte inferior da caixa de diálogo para efetuar alterações e, em seguida, selecione Microsoft Defender para Empresas (ou Defender para Ponto Final, se for o que vê).

3. Para verificar se o dispositivo está integrado, utilize o seguinte comando no Bash:

   mdatp health --field real_time_protection_enabled

Depois de um dispositivo ser inscrito no Intune, pode adicioná-lo a um grupo de dispositivos. Saiba mais sobre os grupos de dispositivos no Defender para Empresas.

Dispositivos móveis

Dispositivos móveis

Pode utilizar os seguintes métodos para integrar dispositivos móveis, como dispositivos Android e iOS:

• Utilizar a aplicação Microsoft Defender
• Utilizar Microsoft Intune

Utilizar a aplicação Microsoft Defender

As capacidades de defesa contra ameaças para dispositivos móveis estão agora disponíveis para clientes do Defender para Empresas. Com estas capacidades, pode agora integrar dispositivos móveis (como Android e iOS) através da aplicação Microsoft Defender. Com este método, os utilizadores transferem a aplicação a partir do Google Play ou do Apple App Store, iniciem sessão e concluam os passos de inclusão.

Importante

Certifique-se de que todos os seguintes requisitos são cumpridos antes de integrar dispositivos móveis:

1. O Defender para Empresas terminou o aprovisionamento. No portal Microsoft Defender, aceda a Dispositivos> deRecursos.
   - Se vir uma mensagem a dizer" Aguarde! Estamos a preparar novos espaços para os seus dados e a ligá-los", então o Aprovisionamento do Defender para Empresas ainda não foi concluído. Este processo está a decorrer agora e pode demorar até 24 horas a concluir.
   - Se vir uma lista de dispositivos ou se lhe for pedido para integrar dispositivos, significa que o aprovisionamento do Defender para Empresas foi concluído.
2. Os utilizadores transferiram a aplicação Microsoft Authenticator no respetivo dispositivo e registaram o respetivo dispositivo com a respetiva conta escolar ou profissional do Microsoft 365.

Dispositivo	Procedimento
Android	1. No dispositivo, aceda à Google Play Store. 2. Se ainda não o fez, transfira e instale a aplicação Microsoft Authenticator. Inicie sessão e registe o seu dispositivo na aplicação Microsoft Authenticator. 3. Na Google Play Store, procure a aplicação Microsoft Defender e instale-a. 4. Abra a aplicação Microsoft Defender, inicie sessão e conclua o processo de inclusão.
iOS	1. No dispositivo, aceda ao apple App Store. 2. Se ainda não o fez, transfira e instale a aplicação Microsoft Authenticator. Inicie sessão e registe o seu dispositivo na aplicação Microsoft Authenticator. 3. No apple App Store, procure a aplicação Microsoft Defender. 4. Inicie sessão e instale a aplicação. 5. Aceite os termos de utilização para continuar. 6. Permita que a aplicação Microsoft Defender configure uma ligação VPN e adicione configurações de VPN. 7. Escolha se pretende permitir notificações (como alertas).

Sugestão

Depois de integrar dispositivos móveis com a aplicação Microsoft Defender, execute um teste de phishing num dispositivo.

Utilizar Microsoft Intune

Se a sua subscrição incluir Microsoft Intune, pode utilizá-la para integrar dispositivos móveis, como dispositivos Android e iOS/iPadOS. Veja os seguintes recursos para obter ajuda para inscrever estes dispositivos no Intune:

• Inscrever dispositivos Android
• Inscrever dispositivos iOS ou iPadOS

Depois de um dispositivo ser inscrito no Intune, pode adicioná-lo a um grupo de dispositivos. Saiba mais sobre os grupos de dispositivos no Defender para Empresas.

Servidores

Servidores

Nota

Se estiver a planear integrar uma instância do Windows Server ou do Linux Server, precisará de uma licença adicional, como Microsoft Defender para Servidores Empresariais. Em alternativa, pode utilizar Microsoft Defender para Servidores Plano 1 ou Plano 2. Para saber mais, consulte O que acontece se tiver uma combinação de subscrições de segurança de pontos finais da Microsoft?

Escolha o sistema operativo do servidor:

• Windows Server:
• Servidor Linux

Windows Server:

Importante

Certifique-se de que cumpre os seguintes requisitos antes de integrar um ponto final do Windows Server:

• Tem uma licença de Microsoft Defender para Servidores Empresariais. (Consulte Como obter Microsoft Defender para Servidores Empresariais.)
• O âmbito de imposição do Windows Server está ativado. Aceda a Definições>Endpoints>Âmbito de imposição da gestão>da configuração. Selecione Utilizar MDE para impor as definições de configuração de segurança do MEM, selecione Windows Server e, em seguida, selecione Guardar.

Pode integrar uma instância do Windows Server para o Defender para Empresas através de um script local.

Script local para Windows Server

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, selecione Definições>Pontos finais e, em seguida, em Gestão de dispositivos, selecione Inclusão.

3. Selecione um sistema operativo, como o Windows Server 1803, 2019 e 2022 e, em seguida, na secção Método de implementação , selecione Script local.

   Se selecionar Windows Server 2012 R2 e 2016, tem dois pacotes para transferir e executar: um pacote de instalação e um pacote de inclusão. O pacote de instalação contém um ficheiro MSI que instala o agente do Defender para Empresas. O pacote de inclusão contém o script para integrar o ponto final do Windows Server no Defender para Empresas.

4. Selecione Transferir pacote de inclusão. Recomendamos que guarde o pacote de inclusão numa unidade amovível.

   Se tiver selecionado Windows Server 2012 R2 e 2016, também selecione Transferir pacote de instalação e guarde o pacote numa unidade amovível

5. No ponto final do Windows Server, extraia os conteúdos do pacote de instalação/integração para uma localização, como a pasta Ambiente de Trabalho. Deve ter um ficheiro com o nome WindowsDefenderATPLocalOnboardingScript.cmd.

   Se estiver a integrar Windows Server 2012 R2 ou Windows Server 2016, extraia primeiro o pacote de instalação.

6. Abra uma linha de comandos como administrador.

7. Se estiver a integrar o Windows Server 2012R2 ou Windows Server 2016, execute o seguinte comando:

   Msiexec /i md4ws.msi /quiet

   Se estiver a integrar o Windows Server 1803, 2019 ou 2022, ignore este passo e avance para o passo 8.

8. Escreva a localização do ficheiro de script. Por exemplo, se copiou o ficheiro para a pasta Ambiente de Trabalho, escreveria e, em seguida, premiria %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdEnter (ou selecione OK).

9. Aceda a Executar um teste de deteção no Windows Server.

Executar um teste de deteção no Windows Server

Depois de integrar o ponto final do Windows Server no Defender para Empresas, pode executar um teste de deteção para garantir que está tudo a funcionar corretamente:

1. No dispositivo Windows Server, crie uma pasta: C:\test-MDATP-test.

2. Abra a Linha de Comandos como administrador.

3. Na janela Linha de Comandos, execute o seguinte comando do PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Após a execução do comando, a janela da Linha de Comandos será fechada automaticamente. Se for bem-sucedido, o teste de deteção é marcado como concluído e é apresentado um novo alerta no portal do Microsoft Defender (https://security.microsoft.com) para o dispositivo recentemente integrado dentro de cerca de 10 minutos.

Servidor Linux

Importante

Certifique-se de que cumpre os seguintes requisitos antes de integrar um ponto final do Servidor Linux:

• Tem uma licença de Microsoft Defender para Servidores Empresariais. (Consulte Como obter Microsoft Defender para Servidores Empresariais.)
• Cumpre os pré-requisitos para Microsoft Defender para Endpoint no Linux.

Integrar pontos finais do Servidor Linux

Pode utilizar os seguintes métodos para integrar uma instância do Linux Server no Defender para Empresas:

• Script local: Veja Implementar Microsoft Defender para Endpoint no Linux manualmente.
• Ansible: Veja Implementar Microsoft Defender para Endpoint no Linux com o Ansible.
• Chef: Veja Implementar o Defender para Endpoint no Linux com o Chef.
• Puppet: Veja Implementar Microsoft Defender para Endpoint no Linux com o Puppet.

Nota

Integrar uma instância do Linux Server no Defender para Empresas é o mesmo que integrar no Microsoft Defender para Endpoint no Linux.

Ver uma lista de dispositivos integrados

Importante

Tem de lhe ser atribuída uma função adequada, como Administrador Global, Administrador de Segurança ou Leitor de Segurança, para efetuar o seguinte procedimento. Para obter mais informações, veja Funções no Defender para Empresas.

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, aceda a Dispositivos> ativos. A vista Inventário de dispositivos é aberta.

Executar um teste de phishing num dispositivo

Depois de integrar um dispositivo, pode executar um teste rápido de phishing para garantir que o dispositivo está ligado e que os alertas são gerados conforme esperado.

1. Num dispositivo, aceda a https://smartscreentestratings2.net. O Defender para Empresas deve bloquear esse URL no dispositivo do utilizador.

2. Como membro da equipa de segurança da sua organização, aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

3. No painel de navegação, aceda a Incidentes. Deverá ver um alerta informativo que indica que um dispositivo tentou aceder a um site de phishing.

Passos seguintes

• Se tiver outros dispositivos para integrar, selecione o separador para esses dispositivos (Windows 10 e 11, Mac, Servidores ou Dispositivos móveis) e siga a documentação de orientação nesse separador.
• Se terminar de integrar dispositivos, avance para o Passo 6: Configurar as definições e políticas de segurança no Defender para Empresas.