Segurança e privacidade para clientes do Configuration ManagerSecurity and privacy for Configuration Manager clients

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

Este artigo descreve informações de segurança e privacidade para clientes do Configuration Manager.This article describes security and privacy information for Configuration Manager clients. Também inclui informações de privacidade para dispositivos móveis gerenciados usando o conector do Exchange Server.It also includes information for mobile devices that are managed by the Exchange Server connector.

Práticas recomendadas de segurança para clientesSecurity best practices for clients

O site do Configuration Manager aceita dados de dispositivos que executam o cliente do Configuration Manager.The Configuration Manager site accepts data from devices that run the Configuration Manager client. Esse comportamento introduz o risco de os clientes atacarem o site.This behavior introduces the risk that the clients could attack the site. Por exemplo, eles podem enviar inventário com problemas ou tentar sobrecarregar os sistemas de site.For example, they could send malformed inventory, or attempt to overload the site systems. Implante o cliente do Configuration Manager somente em dispositivos em que você confia.Deploy the Configuration Manager client only to devices that you trust. Além disso, use as práticas de segurança recomendadas a seguir para ajudar a proteger o site contra dispositivos não autorizados ou comprometidos:In addition, use the following security best practices to help protect the site from rogue or compromised devices:

Use certificados PKI (infraestrutura de chave pública) para comunicação do cliente com os sistemas de sites que executam o IISUse public key infrastructure (PKI) certificates for client communications with site systems that run IIS

  • Como uma propriedade do site, defina Configurações do sistema de site para HTTPS apenas.As a site property, configure Site system settings for HTTPS only.

  • Instale clientes com a propriedade CCMSetup UsePKICert.Install clients with the UsePKICert CCMSetup property.

  • Use uma CRL (Lista de Revogação de Certificado) e certifique-se de que os clientes e servidores que se comunicam sempre possam acessá-la.Use a certificate revocation list (CRL) and make sure that clients and communicating servers can always access it.

Clientes de dispositivos móveis e alguns clientes baseados na Internet exigem esses certificados.Mobile device clients and some internet-based clients require these certificates. A Microsoft recomenda esses certificados para todas as conexões de cliente na intranet.Microsoft recommends these certificates for all client connections on the intranet.

Para obter mais informações sobre os requisitos de certificado PKI e como eles são usados para ajudar a proteger o Configuration Manager, veja Requisitos de certificado de PKI.For more information about the PKI certificate requirements and how they're used to help protect Configuration Manager, see PKI certificate requirements.

Aprove automaticamente computadores cliente de domínios confiáveis e verifique e aprove manualmente outros computadoresAutomatically approve client computers from trusted domains and manually check and approve other computers

Quando não é possível usar a autenticação de PKI, a aprovação identifica um computador em que você confia para ser gerenciado pelo Configuration Manager.When you can't use PKI authentication, approval identifies a computer that you trust to be managed by Configuration Manager. A hierarquia tem as seguintes opções para configurar a aprovação do cliente:The hierarchy has the following options to configure client approval:

  • ManualManual
  • Automática para computadores em domínios confiáveisAutomatic for computers in trusted domains
  • Automática para todos os computadoresAutomatic for all computers

O método mais seguro de aprovação é aprovar automaticamente os clientes que são membros de domínios confiáveis.The most secure approval method is to automatically approve clients that are members of trusted domains. Em seguida, verifique manualmente e aprove todos os outros computadores.Then manually check and approve all other computers. Não é recomendável aprovar todos os clientes automaticamente, a menos que você tenha acesso a outros controles para impedir que computadores não confiáveis ​​acessem sua rede.Automatically approving all clients isn't recommended, unless you have other access controls to prevent untrustworthy computers from accessing your network.

Para obter mais informações sobre como aprovar computadores manualmente, veja Gerenciar clientes no nó de dispositivos.For more information about how to manually approve computers, see Manage clients from the devices node.

Não confiar em bloqueio para impedir que os clientes acessem a hierarquia do Configuration ManagerDon't rely on blocking to prevent clients from accessing the Configuration Manager hierarchy

Clientes bloqueados são rejeitados pela infraestrutura do Configuration Manager.Blocked clients are rejected by the Configuration Manager infrastructure. Se os clientes estiverem bloqueados, eles não poderão se comunicar com sistemas de sites para baixar a política, carregar dados de inventário nem enviar mensagens de estado ou status.If clients are blocked, they can't communicate with site systems to download policy, upload inventory data, or send state or status messages.

O bloqueio é projetado para os seguintes cenários:Blocking is designed for the following scenarios:

  • Para bloquear mídia de inicialização perdida ou comprometida quando você implanta um sistema operacional para os clientesTo block lost or compromised boot media when you deploy an OS to clients
  • Quando todos os sistemas de site aceitam conexões de cliente HTTPSWhen all site systems accept HTTPS client connections

Quando os sistemas de sites aceitam conexões de cliente HTTP, eles não dependem de bloqueio para proteger a hierarquia do Configuration Manager contra computadores não confiáveis.When site systems accept HTTP client connections, don't rely on blocking to protect the Configuration Manager hierarchy from untrusted computers. Neste cenário, um cliente bloqueado poderia reingressar no site com um novo certificado autoassinado e ID de hardware.In this scenario, a blocked client could rejoin the site with a new self-signed certificate and hardware ID.

A revogação de certificado é a principal linha de defesa contra certificados potencialmente comprometidos.Certificate revocation is the primary line of defense against potentially compromised certificates. Uma CRL (lista de certificados revogados) só está disponível sando uma PKI (infraestrutura de chave pública) com suporte.A certificate revocation list (CRL) is only available from a supported public key infrastructure (PKI). O bloqueio de clientes no Configuration Manager oferece uma segunda linha de defesa para proteger sua hierarquia.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

Para obter mais informações, veja Determinar se é necessário bloquear clientes.For more information, see Determine whether to block clients.

Use os métodos de instalação de cliente mais seguros que sejam praticáveis para o seu ambienteUse the most secure client installation methods that are practical for your environment

  • Para computadores de domínio, a instalação do cliente de Política de Grupo e os métodos de instalação do cliente baseados em atualização de software são mais seguros do que a instalação por push de cliente.For domain computers, Group Policy client installation and software update-based client installation methods are more secure than client push installation.

  • Se você aplicar controles de acesso e de alteração, use métodos de instalação manual e geração de imagens.If you apply access controls and change controls, use imaging and manual installation methods.

  • Na versão 1806 ou posterior, use a autenticação mútua Kerberos com a instalação do cliente por push.In version 1806 or later, use Kerberos mutual authentication with client push installation.

De todos os métodos de instalação do cliente, a instalação do cliente por push é o menos seguro devido às suas muitas dependências.Of all the client installation methods, client push installation is the least secure because of the many dependencies it has. Essas dependências incluem permissões administrativas locais, o compartilhamento Admin$ e exceções do firewall.These dependencies include local administrative permissions, the Admin$ share, and firewall exceptions. O número e o tipo dessas dependências aumentam a superfície de ataque.The number and type of these dependencies increase your attack surface.

Da versão 1806 em diante, ao usar o push de cliente, o site pode exigir autenticação mútua do Kerberos não permitindo fallback para NTLM antes de estabelecer a conexão.Starting in version 1806, when using client push, the site can require Kerberos mutual authentication by not allowing fallback to NTLM before establishing the connection. Essa melhoria ajuda a proteger a comunicação entre o servidor e o cliente.This enhancement helps to secure the communication between the server and the client. Para obter mais informações, consulte Como instalar clientes com o push do cliente.For more information, see How to install clients with client push.

Para obter mais informações sobre os diferentes métodos de instalação de cliente, veja Métodos de instalação do cliente.For more information about the different client installation methods, see Client installation methods.

Sempre que possível, selecione um método de instalação do cliente que exija permissões de segurança mínimas no Configuration Manager.Wherever possible, select a client installation method that requires the least security permissions in Configuration Manager. Restrinja os usuários administrativos atribuídos a funções de segurança com permissões que possam ser usadas para finalidades que não implantação do cliente.Restrict the administrative users that are assigned security roles with permissions that can be used for purposes other than client deployment. Por exemplo, configurar uma atualização automática do cliente requer a função de segurança Administrador Completo, que concede a um usuário administrativo todas as permissões de segurança.For example, configuring automatic client upgrade requires the Full Administrator security role, which grants an administrative user all security permissions.

Para obter mais informações sobre as dependências e as permissões de segurança necessárias para cada método de instalação do cliente, veja "Dependências do método de instalação" em Pré-requisitos para clientes de computadores.For more information about the dependencies and security permissions required for each client installation method, see "Installation method dependencies" in Prerequisites for computer clients.

Se você usar a instalação por push de cliente, execute etapas adicionais para proteger a Conta de Instalação de Push de ClienteIf you must use client push installation, take additional steps to secure the Client Push Installation Account

Essa conta deve ser um membro do grupo Administradores local em cada computador que instala o cliente do Configuration Manager.This account must be a member of the local Administrators group on each computer that installs the Configuration Manager client. Nunca adicione a Conta de Instalação do Cliente por Push ao grupo Administradores de Domínio.Never add the Client Push Installation Account to the Domain Admins group. Em vez disso, crie um grupo global e adicione esse grupo global ao grupo local de Administradores em seus clientes.Instead, create a global group, and then add that global group to the local Administrators group on your clients. Crie um objeto de política de grupo para adicionar uma configuração de Grupo Restrito para adicionar a Conta de Instalação do Cliente por Push ao grupo local de Administradores.Create a group policy object to add a Restricted Group setting to add the Client Push Installation Account to the local Administrators group.

Para obter segurança adicional, crie várias Contas de Instalação do Cliente por Push, cada uma com acesso administrativo a um número limitado de computadores.For additional security, create multiple Client Push Installation Accounts, each with administrative access to a limited number of computers. Se uma conta for comprometida, somente os computadores cliente aos quais a conta tem acesso serão comprometidos.If one account is compromised, only the client computers to which that account has access are compromised.

Remover certificados antes da geração de imagens dos clientesRemove certificates before imaging clients

Quando você implanta clientes usando imagens do sistema operacional, sempre remova os certificados antes de capturar a imagem.When you deploy clients by using OS images, always remove certificates before capturing the image. Esses certificados incluem os certificados de PKI para autenticação de cliente e os certificados autoassinados.These certificates include PKI certificates for client authentication, and self-signed certificates. Se você não remover esses certificados, os clientes poderão representar uns aos outros.If you don't remove these certificates, clients might impersonate each other. Você não pode verificar os dados para cada cliente.You can't verify the data for each client.

Para obter mais informações, veja Criar uma sequência de tarefas para capturar um sistema operacional.For more information, see Create a task sequence to capture an operating system.

Verifique se os clientes do computador do Configuration Manager obtêm uma cópia autorizada desses certificadosEnsure that the Configuration Manager computer clients get an authorized copy of these certificates

O certificado de chave de raiz confiável do Configuration ManagerThe Configuration Manager trusted root key certificate

Quando as duas instruções a seguir forem verdadeiras, os clientes contarão com a chave de raiz confiável do Configuration Manager para autenticar os pontos de gerenciamento válido:When both of the following statements are true, clients rely on the Configuration Manager trusted root key to authenticate valid management points:

  • Você não estendeu o esquema do Active Directory para o Configuration ManagerYou haven't extended the Active Directory schema for Configuration Manager
  • Os clientes não usam certificados de PKI quando se comunicam com pontos de gerenciamentoClients don't use PKI certificates when they communicate with management points

Neste cenário, os clientes não têm nenhuma maneira de verificar se o ponto de gerenciamento é confiável para a hierarquia, a menos que usem a chave de raiz confiável.In this scenario, clients have no way to verify that the management point is trusted for the hierarchy unless they use the trusted root key. Sem a chave de raiz confiável, um invasor capacitado pode direcionar clientes para um ponto de gerenciamento não autorizado.Without the trusted root key, a skilled attacker could direct clients to a rogue management point.

Quando os clientes não conseguem baixar a chave de raiz confiável do Configuration Manager do Catálogo Global ou usando certificados PKI, provisione previamente os clientes com a chave de raiz confiável.When clients can't download the Configuration Manager trusted root key from the Global Catalog or by using PKI certificates, pre-provision the clients with the trusted root key. Essa ação garanta que eles não possam ser direcionados a um ponto de gerenciamento invasor.This action makes sure that they can't be directed to a rogue management point. Para obter mais informações, consulte Planejando a chave de raiz confiável.For more information, see Planning for the trusted root key.

O certificado de autenticação de servidor do siteThe site server signing certificate

Os clientes usam esse certificado para verificar se o servidor do site assinou a política baixada de um ponto de gerenciamento.Clients use this certificate to verify that the site server signed the policy downloaded from a management point. Esse certificado é assinado automaticamente pelo servidor do site e publicado nos Serviços de Domínio Active Directory.This certificate is self-signed by the site server and published to Active Directory Domain Services.

Quando os clientes não podem baixar o certificado de autenticação do servidor do site do Catálogo Global, por padrão, eles o baixam do ponto de gerenciamento.When clients can't download the site server signing certificate from the Global Catalog, by default they download it from the management point. Se o ponto de gerenciamento estiver exposto a uma rede não confiável, como a Internet, instale manualmente o certificado de autenticação do servidor do site em clientes.If the management point is exposed to an untrusted network like the internet, manually install the site server signing certificate on clients. Essa ação garante que eles não possam baixar políticas de cliente adulteradas de um ponto de gerenciamento comprometido.This action makes sure that they can't download tampered client policies from a compromised management point.

Para instalar manualmente o certificado de assinatura de servidor do site, use a propriedade CCMSetup client.msi SMSSIGNCERT.To manually install the site server signing certificate, use the CCMSetup client.msi property SMSSIGNCERT. Para obter mais informações, veja Sobre propriedades de instalação do cliente.For more information, see About client installation properties.

Não use atribuição automática de site se o cliente baixar a chave de raiz confiável do primeiro ponto de gerenciamento contatadoDon't use automatic site assignment if the client downloads the trusted root key from the first management point it contacts

Para evitar o risco de um novo cliente baixar a chave de raiz confiável por meio de um ponto de gerenciamento não autorizado, apenas use a atribuição automática de site nos seguintes cenários:To avoid the risk of a new client downloading the trusted root key from a rogue management point, only use automatic site assignment in the following scenarios:

  • O cliente pode acessar informações do site do Configuration Manager publicadas no Active Directory Domain Services.The client can access Configuration Manager site information that's published to Active Directory Domain Services.

  • Você provisiona previamente o cliente com a chave de raiz confiável.You pre-provision the client with the trusted root key.

  • Você usa certificados PKI de uma autoridade de certificação corporativa para estabelecer relação de confiança entre o cliente e o ponto de gerenciamento.You use PKI certificates from an enterprise certification authority to establish trust between the client and the management point.

Para obter mais informações sobre a chave raiz confiável, veja Planejamento da chave de raiz confiável.For more information about the trusted root key, see Planning for the trusted root key.

Instale os computadores cliente com a opção CCMSetup Client.msi SMSDIRECTORYLOOKUP=NoWINSInstall client computers with the CCMSetup Client.msi option SMSDIRECTORYLOOKUP=NoWINS

O método local mais seguro de serviço para os clientes encontrarem sites e pontos de gerenciamento é usar Serviços de Domínio Active Directory.The most secure service location method for clients to find sites and management points is to use Active Directory Domain Services. Às vezes esse método não é possível para alguns ambientes.Sometimes this method isn't possible for some environments. Por exemplo, porque não é possível estender o esquema do Active Directory para o Configuration Manager, ou porque os clientes estão em uma floresta ou grupo de trabalho não confiável.For example, because you can't extend the Active Directory schema for Configuration Manager, or because clients are in an untrusted forest or a workgroup. Se esse método não for possível, use a publicação DNS como um método de local de serviço alternativo.If this method isn't possible, use DNS publishing as an alternative service location method. Se ambos os métodos falharem e quando o ponto de gerenciamento não estiver configurado para conexões de cliente HTTPS, os clientes poderão realizar o fallback para usarem WINS.If both these methods fail, and when the management point isn't configured for HTTPS client connections, clients can fall back to using WINS.

A publicação no WINS é menos segura do que outros métodos de publicação.Publishing to WINS is less secure than the other publishing methods. Configure computadores cliente para não fazerem fallback para o uso do WINS especificando SMSDIRECTORYLOOKUP=NoWINS.Configure client computers to not fall back to using WINS by specifying SMSDIRECTORYLOOKUP=NoWINS. Se você precisar usar WINS como local de serviço, use SMSDIRECTORYLOOKUP=WINSSECURE.If you must use WINS for service location, use SMSDIRECTORYLOOKUP=WINSSECURE. Essa é a configuração padrão.This setting is the default. Ele usa a chave de raiz confiável do Configuration Manager para validar o certificado autoassinado do ponto de gerenciamento.It uses the Configuration Manager trusted root key to validate the self-signed certificate of the management point.

Observação

Quando você configura o cliente para SMSDIRECTORYLOOKUP=WINSSECURE e encontra um ponto de gerenciamento do WINS, o cliente verifica a sua cópia da chave de raiz confiável do Configuration Manager que está na WMI.When you configure the client for SMSDIRECTORYLOOKUP=WINSSECURE and it finds a management point from WINS, the client checks its copy of the Configuration Manager trusted root key that's in WMI.

Se a assinatura no certificado do ponto de gerenciamento corresponder à cópia do cliente da chave de raiz confiável, o certificado será validado.If the signature on the management point certificate matches the client's copy of the trusted root key, the certificate is validated. Depois de validar o certificado, o cliente começa a se comunicar com o ponto de gerenciamento que ele encontrou usando WINS.After validating the certificate, the client starts communicates with the management point that it found by using WINS.

Se a assinatura no certificado do ponto de gerenciamento não corresponder à cópia do cliente da chave de raiz confiável, o certificado não será válido.If the signature on the management point certificate doesn't match the client's copy of the trusted root key, the certificate isn't valid. Nesse cenário, o cliente não se comunica com o ponto de gerenciamento que ele encontrou usando WINS.In this scenario, the client doesn't communicate with the management point that it found by using WINS.

Verifique se as janelas de manutenção são grandes o suficiente para implantar atualizações de software críticasMake sure that maintenance windows are large enough to deploy critical software updates

Janelas de manutenção para coleções de dispositivos restringem os momentos em que o Configuration Manager pode instalar software nesses dispositivos.Maintenance windows for device collections restrict the times that Configuration Manager can install software on these devices. Se você configurar a janela de manutenção para ser muito pequena, o cliente não poderá instalar atualizações críticas de software.If you configure the maintenance window to be too small, the client may not install critical software updates. Esse comportamento deixa o cliente vulnerável a qualquer ataque que a atualização de software minimize.This behavior leaves the client vulnerable to any attack that the software update mitigates.

Tome precauções de segurança adicionais para reduzir a superfície de ataque em dispositivos do Windows Embedded com filtros de gravaçãoTake additional security precautions to reduce the attack surface on Windows embedded devices with write filters

Quando você habilita filtros de gravação em dispositivos Windows Embedded, todas as instalações de software ou alterações são feitas somente na sobreposição.When you enable write filters on Windows Embedded devices, any software installations or changes are only made to the overlay. Essas alterações não persistem depois que o dispositivo é reiniciado.These changes don't persist after the device restarts. Se você usar o Configuration Manager para desabilitar os filtros de gravação, durante esse período, o dispositivo incorporado ficará vulnerável às alterações em todos os volumes.If you use Configuration Manager to disable the write filters, during this period the embedded device is vulnerable to changes to all volumes. Esses volumes incluem pastas compartilhadas.These volumes include shared folders.

O Configuration Manager bloqueia o computador durante esse período de modo que somente os administradores locais possam entrar.Configuration Manager locks the computer during this period so that only local administrators can sign in. Sempre que possível, tome precauções de segurança adicionais para ajudar a proteger o computador.Whenever possible, take additional security precautions to help protect the computer. Por exemplo, habilite restrições adicionais no firewall.For example, enable additional restrictions on the firewall.

Se você usar janelas de manutenção para manter as alterações, planeje essas janelas com cuidado.If you use maintenance windows to persist changes, plan these windows carefully. Minimize o tempo pelo qual os filtros de gravação estão desabilitados, mas torne-os longos o suficiente para permitir que instalações de software e reinícios sejam concluídos.Minimize the time that write filters are disabled, but make them long enough to allow software installations and restarts to complete.

Use a versão mais recente do cliente com a instalação do cliente baseada em atualização de softwareUse the latest client version with software update-based client installation

Se você usar a instalação do cliente com base em atualização de software e instalar uma versão posterior do cliente no site, atualize a atualização de software publicada.If you use software update-based client installation, and install a later version of the client on the site, update the published software update. Então os clientes recebem a versão mais recente do ponto de atualização de software.Then clients receive the latest version from the software update point.

Quando você atualiza o site, a atualização de software para a implantação do cliente publicada no ponto de atualização de software não será atualizada automaticamente.When you update the site, the software update for client deployment that's published to the software update point isn't automatically updated. Você deve publicar novamente o cliente do Configuration Manager no ponto de atualização de software e atualizar o número de versão.Republish the Configuration Manager client to the software update point and update the version number.

Para obter mais informações, veja Como instalar clientes do Configuration Manager usando instalação baseada em atualização de software.For more information, see How to install Configuration Manager clients by using software update-based installation.

Apenas suspender a entrada de PIN do BitLocker em dispositivos confiáveis e de acesso restritoOnly suspend BitLocker PIN entry on trusted and restricted-access devices

Somente defina a configuração do cliente Suspender entrada de PIN do BitLocker na reinicialização como Sempre para computadores em que você confia e que tenham acesso físico restrito.Only configure the client setting to Suspend BitLocker PIN entry on restart to Always for computers that you trust and that have restricted physical access.

Quando você define essa configuração de cliente para Sempre, o Configuration Manager pode concluir a instalação do software.When you set this client setting to Always, Configuration Manager can complete the installation of software. Esse comportamento ajuda a instalar atualizações de software críticas e retomar os serviços.This behavior helps install critical software updates and resume services. No entanto, se um invasor interceptar o processo de reinicialização, ele poderá assumir o controle do computador.If an attacker intercepts the restart process, they could take control of the computer. Use essa configuração apenas quando confiar no computador e quando o acesso físico ao computador for restrito.Use this setting only when you trust the computer, and when physical access to the computer is restricted. Por exemplo, essa configuração pode ser apropriada para servidores em um data center.For example, this setting might be appropriate for servers in a data center.

Para obter mais informações sobre essa configuração do cliente, veja Sobre configurações do cliente.For more information on this client setting, see About client settings.

Não ignorar a política de execução do PowerShellDon't bypass PowerShell execution policy

Se você definir a configuração de cliente do Configuration Manager para Política de execução do PowerShell como Ignorar, o Windows permitirá a execução de scripts do PowerShell não assinados.If you configure the Configuration Manager client setting for PowerShell execution policy to Bypass, then Windows allows unsigned PowerShell scripts to run. Esse comportamento pode permitir que malware seja executado em computadores cliente.This behavior could allow malware to run on client computers. Quando sua organização exige essa opção, use uma configuração personalizada do cliente.When your organization requires this option, use a custom client setting. Atribua-o somente aos computadores cliente que devem executar scripts do PowerShell não assinados.Assign it to only the client computers that must run unsigned PowerShell scripts.

Para obter mais informações sobre essa configuração do cliente, veja Sobre configurações do cliente.For more information on this client setting, see About client settings.

Práticas recomendadas de segurança para dispositivos móveisSecurity best practices for mobile devices

Instale o ponto proxy do registro em uma rede de perímetro e o ponto de registro na intranetInstall the enrollment proxy point in a perimeter network and the enrollment point in the intranet

Para dispositivos móveis baseados na Internet registrados com o Configuration Manager, instale o ponto proxy do registro em uma rede de perímetro e o ponto de registro na intranet.For internet-based mobile devices that you enroll with Configuration Manager, install the enrollment proxy point in a perimeter network and the enrollment point in the intranet. Essa separação de função ajuda a proteger o ponto de registro de um ataque.This role separation helps to protect the enrollment point from attack. Se um invasor comprometer o ponto de registro, ele poderá obter certificados para autenticação.If an attacker compromises the enrollment point, they could obtain certificates for authentication. Além disso, eles poderão roubar as credenciais de usuários que registrem seus dispositivos móveis.They can also steal the credentials of users who enroll their mobile devices.

Defina as configurações de senha para ajudar a proteger dispositivos móveis contra acesso não autorizadoConfigure the password settings to help protect mobile devices from unauthorized access

Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração de dispositivo móvel para configurar a complexidade da senha como o PIN.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password complexity as the PIN. Especifique pelo menos o comprimento de senha mínimo padrão.Specify at least the default minimum password length.

Para dispositivos móveis que não têm o cliente do Configuration Manager instalado, mas são gerenciados pelo conector do Exchange Server: defina as Configurações de Senha para o conector do Exchange Server de modo que a complexidade da senha seja o PIN.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector such that the password complexity is the PIN. Especifique pelo menos o comprimento de senha mínimo padrão.Specify at least the default minimum password length.

Somente permita a execução de aplicativos assinados por empresas em que você confiaOnly allow applications to run that are signed by companies that you trust

Ajude a impedir a adulteração de informações de inventário e de status, permitindo que aplicativos sejam executados apenas quando são assinados por empresas em que você confia.Help prevent tampering of inventory information and status information by allowing applications to run only when they're signed by companies that you trust. Não permita que os dispositivos instalem os arquivos não assinados.Don't allow devices to install unsigned files.

Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração de dispositivo móvel para definir a configuração de segurança Aplicativos não assinados como Proibido.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the security setting Unsigned applications as Prohibited. Configure Instalações de arquivo não assinadas para que sejam uma fonte confiável.Configure Unsigned file installations to be a trusted source.

Para dispositivos móveis que não têm o cliente do Configuration Manager instalado, mas são gerenciados pelo conector do Exchange Server: defina as Configurações de aplicativo para o conector do Exchange Server de modo que Instalação de arquivo não assinado e Aplicativos não assinados seja Proibidos.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Application Settings for the Exchange Server connector such that Unsigned file installation and Unsigned applications are Prohibited.

Bloquear dispositivos móveis quando eles não estiverem em usoLock mobile devices when not in use

Ajude a evitar ataques de elevação de privilégio bloqueando o dispositivo móvel quando ele não estiver em uso.Help prevent elevation of privilege attacks by locking the mobile device when it isn't used.

Para dispositivos móveis registrados pelo Configuration Manager: use um item de configuração do dispositivo móvel para definir a configuração de senha Tempo ocioso em minutos antes de o dispositivo móvel ser bloqueado.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password setting Idle time in minutes before mobile device is locked.

Para dispositivos móveis que não têm o cliente do Configuration Manager instalado, mas são gerenciados pelo conector do Exchange Server: defina as Configurações de senha para que o conector do Exchange Server configure o Tempo ocioso em minutos antes de o dispositivo móvel ser bloqueado.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector to set the Idle time in minutes before mobile device is locked.

Restringir os usuários que podem registrar seus dispositivos móveisRestrict the users who can enroll their mobile devices

Ajude a impedir a elevação de privilégios, restringindo os usuários que podem registrar seus dispositivos móveis.Help prevent elevation of privileges by restricting the users who can enroll their mobile devices. Use uma configuração de cliente personalizada, em vez de configurações padrão, para permitir que apenas usuários autorizados registrem seus dispositivos móveis.Use a custom client setting rather than default client settings to allow only authorized users to enroll their mobile devices.

Diretrizes de afinidade de dispositivo de usuário para dispositivos móveisUser device affinity guidance for mobile devices

Não implante aplicativos para usuários que tenham dispositivos móveis registrados pelo Configuration Manager ou Microsoft Intune nos seguintes cenários:Don't deploy applications to users who have mobile devices enrolled by Configuration Manager or Microsoft Intune in the following scenarios:

  • Quando o dispositivo móvel é usado por mais de uma pessoa.The mobile device is used by more than one person.

  • O dispositivo é registrado por um administrador em nome de um usuário.The device is enrolled by an administrator on behalf of a user.

  • Quando o dispositivo é transferido para outra pessoa sem ser desativado e, em seguida, registrado novamente.The device is transferred to another person without retiring and then re-enrolling the device.

O registro de dispositivo cria um relacionamento de afinidade de dispositivo de usuário.Device enrollment creates a user device affinity relationship. Essa relação mapeia o usuário que realiza o registro para o dispositivo móvel.This relationship maps the user who performs enrollment to the mobile device. Se outro usuário usar o dispositivo móvel, ele poderá executar os aplicativos implantados no usuário original, o que pode resultar em uma elevação de privilégios.If another user uses the mobile device, they can run the applications deployed to the original user, which might result in an elevation of privileges. De modo semelhante, se um administrador registrar o dispositivo móvel para um usuário, os aplicativos implantados para o usuário não serão instalados no dispositivo móvel.Similarly, if an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Em vez disso, os aplicativos implantados para o administrador podem ser instalados.Instead, applications deployed to the administrator might be installed.

Diferentemente da afinidade de dispositivo de usuário para computadores Windows, não é possível definir manualmente informações de afinidade de dispositivo de usuário para dispositivos móveis registrados pelo Microsoft Intune.Unlike user device affinity for Windows computers, you can't manually define the user device affinity information for mobile devices enrolled by Microsoft Intune.

Se você transferir a propriedade de um dispositivo móvel registrado pelo Intune, primeiro desative o dispositivo móvel do Intune.If you transfer ownership of a mobile device that's enrolled by Intune, first retire the mobile device from Intune. Essa ação remove a relação de afinidade de dispositivo de usuário.This action removes the user device affinity relationship. Então peça para o usuário atual registrar o dispositivo novamente.Then ask the current user to enroll the device again.

Verifique se os usuários registraram seus próprios dispositivos móveis para o Microsoft IntuneMake sure that users enroll their own mobile devices for Microsoft Intune

Um relacionamento de afinidade de dispositivo de usuário é criado durante o registro.A user device affinity relationship is created during enrollment. Essa ação mapeia o usuário que realiza o registro para o dispositivo móvel.This action maps the user who performs enrollment to the mobile device. Se um administrador registrar o dispositivo móvel para um usuário, os aplicativos implantados para o usuário não serão instalados no dispositivo móvel.If an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Em vez disso, os aplicativos implantados para o administrador podem ser instalados.Instead, applications deployed to the administrator might be installed.

Proteger a conexão entre o servidor do site do Configuration Manager e do Exchange ServerProtect the connection between the Configuration Manager site server and the Exchange Server

Se o Exchange Server for local, use IPsec.If the Exchange Server is on-premise, use IPsec. O Exchange hospedado protege automaticamente a conexão usando SSL.Hosted Exchange automatically secures the connection by using SSL.

Use o princípio de privilégios limitados para o conectorUse the principle of least privileges for the connector

Para obter uma lista dos cmdlets mínimos que o conector do Exchange Server requer, veja Gerenciar dispositivos móveis com o Configuration Manager e o Exchange.For a list of the minimum cmdlets that the Exchange Server connector requires, see Manage mobile devices with Configuration Manager and Exchange.

Práticas recomendadas de segurança para MacsSecurity best practices for Macs

Armazene e acesse os arquivos de origem do cliente de um local seguroStore and access the client source files from a secured location

Antes da instalação ou do registro do cliente em um computador Mac, o Configuration Manager não verifica se estes arquivos de origem do cliente foram violados.Before installing or enrolling the client on Mac computer, Configuration Manager doesn't verify whether these client source files have been tampered with. Baixe esses arquivos de uma fonte confiável.Download these files from a trustworthy source. Armazene e acesse-os com segurança.Securely store and access them.

Monitorar e acompanhar o período de validade do certificadoMonitor and track the validity period of the certificate

Para garantir a continuidade dos negócios, monitore e acompanhe o período de validade dos certificados que você usa em computadores Mac.To ensure business continuity, monitor and track the validity period of the certificates that you use for Mac computers. O Configuration Manager não dá suporte para a renovação automática desse certificado, nem avisa que o certificado está prestes a expirar.Configuration Manager doesn't support automatic renewal of this certificate, or warn you that the certificate is about to expire. Um período de validade típico é um ano.A typical validity period is one year.

Para obter informações sobre como renovar o certificado, veja Renovação manual do certificado do cliente Mac.For more information about how to renew the certificate, see Renewing the Mac client certificate manually.

Configurar o certificado raiz confiável para SSL apenasConfigure the trusted root certificate for SSL only

Para ajudar a proteger-se contra a elevação de privilégios, configure o certificado para a autoridade de certificação raiz confiável de modo que ele seja confiável somente para o protocolo SSL.To help protect against elevation of privileges, configure the certificate for the trusted root certificate authority so that it's only trusted for the SSL protocol.

Ao registrar computadores Mac, um certificado de usuário para gerenciar o cliente do Configuration Manager é instalado automaticamente.When you enroll Mac computers, a user certificate to manage the Configuration Manager client is automatically installed. Esse certificado de usuário inclui os certificados raiz confiáveis em sua cadeia confiável.This user certificate includes the trusted root certificates in its trust chain. Para restringir a confiança desse certificado raiz apenas ao protocolo SSL, use o seguinte procedimento:To restrict the trust of this root certificate to the SSL protocol only, use the following procedure:

  1. No computador Mac, abra uma janela de terminal.On the Mac computer, open a terminal window.

  2. Insira o seguinte comando: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ AccessEnter the following command: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Na caixa de diálogo Acesso de Conjunto de Chaves na seção Conjuntos de chaves, clique em Sistema.In the Keychain Access dialog box, in the Keychains section, click System. Em seguida, na seção Categoria, clique em Certificados.Then in the Category section, click Certificates.

  4. Localize e, em seguida, clique duas vezes no certificado de AC raiz para o certificado do cliente Mac.Locate and double-click the root CA certificate for the Mac client certificate.

  5. Na caixa de diálogo do certificado de autoridade de certificação raiz, expanda a seção Confiar e faça as seguintes alterações:In the dialog box for the root CA certificate, expand the Trust section, and then make the following changes:

    1. Ao usar este certificado: altere a configuração Sempre Confiar para Usar Padrões do Sistema.When using this certificate: Change the Always Trust setting to Use System Defaults.

    2. Protocolo SSL: altere sem valor especificado para Sempre Confiar.Secure Sockets Layer (SSL): Change no value specified to Always Trust.

  6. Feche a caixa de diálogo.Close the dialog box. Quando solicitado, insira a senha do administrador e clique em Atualizar Configurações.When prompted, enter the administrator's password, and then click Update Settings.

Depois de concluir esse procedimento, o certificado raiz só será confiável para validar o protocolo SSL.After you complete this procedure, the root certificate is only trusted to validate the SSL protocol. Outros protocolos que agora são não confiáveis com esse certificado raiz incluem Secure Mail (S/MIME), EAP (Protocolo de Autenticação Extensível) ou assinatura de código.Other protocols that are now untrusted with this root certificate include Secure Mail (S/MIME), Extensible Authentication (EAP), or code signing.

Observação

Você também pode usar esse procedimento se tiver instalado o certificado do cliente independentemente do Configuration Manager.Also use this procedure if you installed the client certificate independently from Configuration Manager.

Problemas de segurança para clientes do Configuration ManagerSecurity issues for Configuration Manager clients

Os seguintes problemas de segurança não têm nenhuma atenuação:The following security issues have no mitigation:

Mensagens de status não são autenticadasStatus messages aren't authenticated

Nenhuma autenticação é realizada em mensagens de status.No authentication is performed on status messages. Quando um ponto de gerenciamento aceita conexões de cliente HTTP, qualquer dispositivo pode enviar mensagens de status para o ponto de gerenciamento.When a management point accepts HTTP client connections, any device can send status messages to the management point. Se o ponto de gerenciamento aceitar somente conexões de cliente HTTPS, um dispositivo deverá ter um certificado de autenticação de cliente válido, mas também poderá enviar qualquer mensagem de status.If the management point accepts HTTPS client connections only, a device must have a valid client authentication certificate, but could also send any status message. O ponto de gerenciamento descarta qualquer mensagem de status inválida recebida de um cliente.The management point discards any invalid status message received from a client.

Há alguns possíveis ataques contra essa vulnerabilidade:There are a few potential attacks against this vulnerability:

  • Um invasor pode enviar uma mensagem de status falsa para associar-se a uma coleção baseada em consultas de mensagens de status.An attacker could send a bogus status message to gain membership in a collection that's based on status message queries.
  • Qualquer cliente pode lançar uma negação de serviço contra o ponto de gerenciamento inundando-o com mensagens de status.Any client could launch a denial of service against the management point by flooding it with status messages.
  • Se as mensagens de status provocarem ações em regras de filtro de mensagens de status, um invasor poderá acionar a regra de filtro de mensagens de status.If status messages are triggering actions in status message filter rules, an attacker could trigger the status message filter rule.
  • Um invasor pode enviar uma mensagem de status que tornaria as informações de relatórios imprecisas.An attacker could send status message that would render reporting information inaccurate.

As políticas podem ser redirecionadas para clientes que não sejam o alvoPolicies can be retargeted to non-targeted clients

Existem vários métodos que os invasores podem usar para fazer uma política específica a um cliente ser aplicada a um cliente totalmente diferente.There are several methods that attackers could use to make a policy targeted to one client apply to an entirely different client. Por exemplo, um invasor em um cliente confiável pode enviar informações falsas de inventário ou descoberta para que o computador seja adicionado a uma coleção à qual ele não deve pertencer.For example, an attacker at a trusted client could send false inventory or discovery information to have the computer added to a collection to which it shouldn't belong. Esse cliente então recebe todas as implantações dessa coleção.That client then receives all the deployments to that collection.

Os controles existem para ajudar a impedir que invasores modifiquem a política diretamente.Controls exist to help prevent attackers from directly modifying policy. No entanto, os invasores poderão pegar uma política existente que reformata e reimplanta um sistema operacional e enviá-la a um computador diferente.However, attackers could take an existing policy that reformats and redeploys an OS and send it to a different computer. Essa política redirecionada pode criar uma negação de serviço.This redirected policy could create a denial of service. Esses tipos de ataques exigem tempo preciso e amplo conhecimento da infraestrutura do Configuration Manager.These types of attacks would require precise timing and extensive knowledge of the Configuration Manager infrastructure.

Logs de cliente permitem o acesso do usuárioClient logs allow user access

Todos os arquivos de log de cliente permitem ao grupo de Usuários acesso de Leitura e ao usuário Interativo especial, acesso de Gravação.All the client log files allow the Users group with Read access, and the special Interactive user with Write access. Se você permitir log detalhado, os invasores poderão ler os arquivos de log para procurar informações sobre conformidade ou vulnerabilidades do sistema.If you enable verbose logging, attackers might read the log files to look for information about compliance or system vulnerabilities. Processos como o software que o cliente instala em um contexto do usuário devem gravar logs com uma conta de usuário com direitos baixos.Processes such as software that the client installs in a user's context must write to logs with a low-rights user account. Esse comportamento significa que um invasor também pode gravar logs com uma conta de direitos baixos.This behavior means an attacker could also write to the logs with a low-rights account.

O risco mais grave é que um invasor poderia remover informações nos arquivos de log.The most serious risk is that an attacker could remove information in the log files. Um administrador pode precisar dessas informações para auditoria e detecção de intrusão.An administrator might need this information for auditing and intrusion detection.

Um computador pode ser usado para obter um certificado designado para registro do dispositivo móvelA computer could be used to obtain a certificate that's designed for mobile device enrollment

Quando o Configuration Manager processa uma solicitação de registro, não é possível verificar se a solicitação teve origem em um dispositivo móvel ou em um computador.When Configuration Manager processes an enrollment request, it can't verify the request originated from a mobile device rather than from a computer. Se a solicitação for de um computador, ele poderá instalar um certificado PKI que o permita se registrar com o Configuration Manager.If the request is from a computer, it can install a PKI certificate that then allows it to register with Configuration Manager.

Para ajudar a evitar um ataque de elevação de privilégio nesse cenário, permita apenas que usuários confiáveis registrem seus dispositivos móveis.To help prevent an elevation of privilege attack in this scenario, only allow trusted users to enroll their mobile devices. Monitore cuidadosamente as atividades de registro de dispositivo no site.Carefully monitor device enrollment activities in the site.

Um cliente bloqueado ainda pode enviar mensagens ao ponto de gerenciamentoA blocked client can still send messages to the management point

Quando você bloqueia um cliente em que não confia, mas ele estabeleceu uma conexão de rede para notificação do cliente, o Configuration Manager não desconecta a sessão.When you block a client that you no longer trust, but it established a network connection for client notification, Configuration Manager doesn't disconnect the session. O cliente bloqueado pode continuar a enviar pacotes para o seu ponto de gerenciamento até desconectar-se da rede.The blocked client can continue to send packets to its management point until the client disconnects from the network. Esses pacotes são apenas pacotes pequenos do tipo keep alive.These packets are only small, keep-alive packets. Esse cliente não poderá ser gerenciado pelo Configuration Manager até que seja desbloqueado.This client can't be managed by Configuration Manager until it's unblocked.

A atualização automática do cliente não verifica o ponto de gerenciamentoAutomatic client upgrade doesn't verify the management point

Quando você usa a atualização automática de cliente, o cliente pode ser direcionado para um ponto de gerenciamento para baixar os arquivos de origem do cliente.When you use automatic client upgrade, the client can be directed to a management point to download the client source files. Nesse cenário, o cliente não verifica o ponto de gerenciamento como uma fonte confiável.In this scenario, the client doesn't verify the management point as a trusted source.

Quando os usuários registram computadores Mac pela primeira vez, eles correm risco de falsificação de DNSWhen users first enroll Mac computers, they're at risk from DNS spoofing

Quando o computador Mac se conecta ao ponto proxy do registro durante o registro, é improvável que o computador Mac já tenha o certificado de AC raiz confiável.When the Mac computer connects to the enrollment proxy point during enrollment, it's unlikely that the Mac computer already has the trusted root CA certificate. Nesse ponto, o computador Mac não confia no servidor e solicita que o usuário continue.At this point, the Mac computer doesn't trust the server, and prompts the user to continue. Se um servidor DNS invasor resolver o FQDN (nome de domínio totalmente qualificado) do ponto proxy do registro, ele poderá direcionar o computador Mac para um ponto proxy do registro invasor para instalar certificados de uma fonte não confiável.If a rogue DNS server resolves the fully qualified domain name (FQDN) of the enrollment proxy point, it could direct the Mac computer to a rogue enrollment proxy point to install certificates from an untrusted source. Para reduzir esse risco, siga as práticas recomendadas para evitar a falsificação de DNS em seu ambiente.To help reduce this risk, follow best practices to avoid DNS spoofing in your environment.

O registro do Mac não limita as solicitações de certificadoMac enrollment doesn't limit certificate requests

Os usuários podem registrar novamente seus computadores Mac, cada vez solicitando um novo certificado de cliente.Users can re-enroll their Mac computers, each time requesting a new client certificate. O Configuration Manager não verifica múltiplas solicitações nem limita o número de certificados solicitados de um único computador.Configuration Manager doesn't check for multiple requests or limit the number of certificates requested from a single computer. Um usuário invasor pode executar um script que repita a solicitação de registro de linha de comando.A rogue user could run a script that repeats the command-line enrollment request. Esse ataque pode causar uma negação de serviço na rede ou na AC (autoridade de certificação) emissora.This attack could cause a denial of service on the network or on the issuing certificate authority (CA). Para reduzir esse risco, monitore cuidadosamente a autoridade de certificação emissora sobre esse tipo de comportamento suspeito.To help reduce this risk, carefully monitor the issuing CA for this type of suspicious behavior. Bloqueie imediatamente da hierarquia do Configuration Manager qualquer computador que apresente esse padrão de comportamento.Immediately block from the Configuration Manager hierarchy any computer that shows this pattern of behavior.

Uma confirmação de apagamento não verifica se o dispositivo foi apagado com êxitoA wipe acknowledgment doesn't verify that the device has been successfully wiped

Quando você inicia uma ação de apagamento para um dispositivo móvel e o Configuration Manager reconhece o apagamento, a verificação é que o Configuration Manager enviou a mensagem com êxito.When you initiate a wipe action for a mobile device, and Configuration Manager acknowledges the wipe, the verification is that Configuration Manager successfully sent the message. Ele não verifica que o dispositivo agiu quanto à solicitação.It doesn't verify that the device acted on the request.

Para dispositivos móveis gerenciados pelo conector do Exchange Server, uma confirmação de apagamento verifica se o comando foi recebido pelo Exchange, não pelo dispositivo.For mobile devices managed by the Exchange Server connector, a wipe acknowledgment verifies that the command was received by Exchange, not by the device.

Se você usar as opções para confirmar alterações em dispositivos do Windows Embedded, as contas poderão ser bloqueadas antes do esperadoIf you use the options to commit changes on Windows Embedded devices, accounts might be locked out sooner than expected

Se o dispositivo Windows Embedded estiver executando uma versão de sistema operacional anterior ao Windows 7 e um usuário tentar entrar enquanto os filtros de gravação estiverem desabilitados pelo Configuration Manager, o Windows permitirá apenas metade do número configurado de tentativas incorretas antes do bloqueio da conta.If the Windows Embedded device is running an OS version prior to Windows 7, and a user attempts to sign in while the write filters are disabled by Configuration Manager, Windows allows only half of the configured number of incorrect attempts before the account is locked out.

Por exemplo, você pode configurar a política de domínio para que o Limite de bloqueio de conta seja de seis tentativas.For example, you configure the domain policy for Account lockout threshold to six attempts. Um usuário digita incorretamente sua senha três vezes e a conta é bloqueada. Esse comportamento cria efetivamente uma negação de serviço.A user mistypes their password three times, and the account is locked out. This behavior effectively creates a denial of service. Se os usuários entrarem em dispositivos inseridos nesse cenário, alerte-os sobre a possibilidade de um limite de bloqueio reduzido.If users must sign in to embedded devices in this scenario, caution them about the potential for a reduced lockout threshold.

Informações de privacidade para clientes do Configuration ManagerPrivacy information for Configuration Manager clients

Quando você implanta o cliente do Configuration Manager, habilita configurações de cliente para recursos do Configuration Manager.When you deploy the Configuration Manager client, you enable client settings for Configuration Manager features. As configurações que você usa para configurar os recursos podem se aplicar a todos os clientes na hierarquia do Configuration Manager.The settings that you use to configure the features can apply to all clients in the Configuration Manager hierarchy. Esse comportamento é o mesmo estejam eles diretamente conectados à rede interna, conectados por meio de uma sessão remota ou conectados à Internet.This behavior is the same whether they're directly connected to the internal network, connected through a remote session, or connected to the internet.

As informações do cliente são armazenadas no banco de dados do Configuration Manager no SQL Server e não são enviadas à Microsoft.Client information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. As informações são mantidas no banco de dados até que sejam excluídas pelas tarefas de manutenção do site Excluir Dados Antigos de Descoberta a cada 90 dias.Information is retained in the database until it's deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Você pode configurar o intervalo de exclusão.You can configure the deletion interval.

Alguns dados de diagnóstico e de uso resumidos ou agregados são enviados à Microsoft.Some summarized or aggregate diagnostics and usage data is sent to Microsoft. Para obter mais informações, consulte Dados de diagnóstico e de uso.For more information, see Diagnostics and usage data.

Antes de configurar o cliente do Configuration Manager, considere seus requisitos de privacidade.Before you configure the Configuration Manager client, consider your privacy requirements.

Você pode saber mais sobre a coleta e o uso de dados da Microsoft na Política de Privacidade da Microsoft.You can learn more about Microsoft's data collection and use in the Microsoft Privacy Statement.

Status do clienteClient status

O Configuration Manager monitora as atividades dos clientes.Configuration Manager monitors the activity of clients. Periodicamente, ele avalia o cliente do Configuration Manager e pode corrigir problemas com o cliente e suas dependências.It periodically evaluates the Configuration Manager client and can remediate issues with the client and its dependencies. O status do cliente é habilitado por padrão.Client status is enabled by default. Ele usa as métricas do lado do servidor para as verificações de atividade do cliente.It uses server-side metrics for the client activity checks. O status do cliente usa ações do lado do cliente para autoverificações, correção e envio de informações de status do cliente ao site.Client status uses client-side actions for self-checks, remediation, and for sending client status information to the site. O cliente executa as autoverificações de acordo com um agendamento que você pode configurar.The client runs the self-checks according to a schedule that you configure. O cliente envia os resultados das verificações para o site do Configuration Manager.The client sends the results of the checks to the Configuration Manager site. Essas informações são criptografadas durante a transferência.This information is encrypted during transfer.

As informações de status do cliente são armazenadas no banco de dados do Configuration Manager no SQL Server e não são enviadas à Microsoft.Client status information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. As informações não são armazenadas em formato criptografado no banco de dados do site.The information isn't stored in encrypted format in the site database. Essas informações são mantidas no banco de dados até serem excluídas de acordo com o valor definido na configuração de status do cliente Manter o histórico de status do cliente durante o seguinte número de dias.This information is retained in the database until it's deleted according to the value configured for the Retain client status history for the following number of days client status setting. O valor padrão dessa configuração é a cada 31 dias.The default value for this setting is every 31 days.

Para poder instalar o cliente do Configuration Manager com verificação de status do cliente, considere seus requisitos de privacidade.Before you install the Configuration Manager client with client status checking, consider your privacy requirements.

Informações de privacidade para dispositivos móveis gerenciados com o conector do Exchange ServerPrivacy information for mobile devices that are managed with the Exchange Server Connector

O conector do Exchange Server localiza e gerencia dispositivos que se conectam a um Exchange Server local ou hospedado usando o protocolo ActiveSync.The Exchange Server Connector finds and manages devices that connect to an on-premises or hosted Exchange Server by using the ActiveSync protocol. Os registros localizados pelo conector do Exchange Server são armazenados no banco de dados do Configuration Manager no seu SQL Server.The records found by the Exchange Server Connector are stored in the Configuration Manager database in your SQL server. As informações são coletadas do Exchange Server.The information is collected from the Exchange Server. Ele não contém nenhuma informação adicional do que os dispositivos móveis enviam para o Exchange Server.It doesn't contain any additional information from what the mobile devices send to Exchange Server.

As informações do dispositivo móvel não são enviadas à Microsoft.The mobile device information isn't sent to Microsoft. As informações do dispositivo móvel são armazenadas no banco de dados do Configuration Manager no seu SQL Server.The mobile device information is stored in the Configuration Manager database in your SQL server. As informações são retidas no banco de dados até que sejam excluídas pela tarefa de manutenção de site Excluir Dados Antigos de Descoberta a cada 90 dias.Information is retained in the database until it's deleted by the site maintenance task Delete Aged Discovery Data every 90 days. Você configura o intervalo de exclusão.You configure the deletion interval.

Para poder instalar e configurar o conector do Exchange Server, considere os requisitos de privacidade.Before you install and configure the Exchange Server connector, consider your privacy requirements.

Você pode saber mais sobre a coleta e o uso de dados da Microsoft na Política de Privacidade da Microsoft.You can learn more about Microsoft's data collection and use in the Microsoft Privacy Statement.