Usar políticas de conformidade para definir regras para dispositivos gerenciados com o Intune

As soluções de MDM (gerenciamento de dispositivo móvel), como o Intune, podem ajudar a proteger os dados da organização exigindo que os usuários e dispositivos cumpram determinados requisitos. No Intune, esse recurso é chamado de políticas de conformidade.

Políticas de conformidade no Intune:

  • Definem as regras e configurações que os usuários e dispositivos devem cumprir para ser compatíveis.
  • Incluem as ações que se aplicam aos dispositivos que são incompatíveis. As ações de incompatibilidade podem alertar os usuários a respeito das condições de incompatibilidade e proteger os dados nos dispositivos incompatíveis.
  • Podem ser combinadas com o Acesso Condicional, que por sua vez pode bloquear usuários e dispositivos que não cumprem as regras.
  • Pode substituir a configuração de configurações que você também gerencia por meio de políticas de configuração de dispositivo. Para saber mais sobre a resolução de conflitos para políticas, consulte Políticas de conformidade e configuração de dispositivo que entram em conflito.

Existem duas partes nas políticas de conformidade no Intune:

  • Configurações de política de conformidade – configurações de todo o locatário que são como uma política de conformidade interna recebida por cada dispositivo. As configurações de política de conformidade definem uma linha de base para a forma como a política de conformidade funciona em seu ambiente do Intune. Isso inclui se os dispositivos que não receberam nenhuma política de conformidade do dispositivo são compatíveis ou incompatíveis.

  • Política de conformidade do dispositivo – regras específicas da plataforma que você configura e implanta nos grupos de usuários ou dispositivos. Essas regras definem os requisitos para dispositivos, como sistemas operacionais mínimos ou o uso de criptografia de disco. Os dispositivos devem cumprir com essas regras para ser considerados compatíveis.

Assim como outras políticas do Intune, as avaliações de política de conformidade para um dispositivo dependem de quando o dispositivo faz check-in com o Intune e dos ciclos de atualização do perfil e da política.

Configurações da política de conformidade

As configurações de política de conformidade são configurações de todo o locatário que determinam como o serviço de conformidade do Intune interage com seus dispositivos. Essas configurações se diferem das que você configura em uma política de conformidade do dispositivo.

Para gerenciar as configurações de política de conformidade, entre em Microsoft Intune centro de administração e vá paraas configurações de política deconformidade> do dispositivo de segurança> do ponto de extremidade.

As configurações de política de conformidade abrangem as seguintes configurações:

  • Marcar dispositivos sem política de conformidade atribuída como

    Essa configuração determina como o Intune trata os dispositivos que não foram atribuídos a uma política de conformidade do dispositivo. Essa configuração tem dois valores:

    • Compatível (padrão): Este recurso de segurança está desativado. Os dispositivos que não recebem uma política de conformidade do dispositivo são considerados compatíveis.
    • Não compatível: Este recurso de segurança está ativado. Os dispositivos que não receberam uma política de conformidade do dispositivo são considerados incompatíveis.

    Se você usar o Acesso Condicional com suas políticas de conformidade do dispositivo, altere essa configuração para Não em conformidade para garantir que apenas dispositivos confirmados como compatíveis possam acessar seus recursos.

    Se um usuário final for incompatível por não ter uma política atribuída a ele, o aplicativo Portal da Empresa mostrará Nenhuma política de conformidade foi atribuída.

  • Período de validade do status de conformidade (dias)

    Especifique um período no qual os dispositivos devem informar todas as políticas de conformidade recebidas. Se um dispositivo deixar de informar seu status de conformidade para uma política antes que o período de validade expire, o dispositivo será tratado como incompatível.

    Por padrão, o período é definido para 30 dias. É possível configurar um período de 1 a 120 dias.

    Você pode exibir detalhes sobre uma conformidade de dispositivos com a configuração do período de validade. Entre no Microsoft Intune centro de administração e vá para aconformidade de Configuraçãodo Monitor> de Dispositivos>. Essa configuração tem um nome de Está ativo na coluna de Configuração. Confira mais informações sobre essa e outras exibições de status de conformidade relacionadas em Monitorar a conformidade do dispositivo.

Políticas de conformidade do dispositivo

Políticas de conformidade do dispositivo do Intune:

  • Definir as regras e as configurações que os usuários e dispositivos gerenciados devem cumprir para ser compatíveis. Entre os exemplos de regras estão a exigência de que os dispositivos executem uma versão mínima do sistema operacional, que não tenham jailbreak ou raiz e que estejam abaixo ou no nível de ameaça, conforme especificado pelo software de gerenciamento de ameaças que você integrou com o Intune.
  • Dar suporte às ações que se aplicam aos dispositivos que não cumprem com suas regras de conformidade. Entre os exemplos de ações incluem estar bloqueado remotamente ou enviar um email de usuário do dispositivo sobre o status do dispositivo para que possa ser corrigido.
  • Implantar para os usuários em grupos de usuários ou dispositivos em grupos de dispositivo. Quando uma política de conformidade é implantada para um usuário, a conformidade de todos os dispositivos do usuário é verificada. Usar grupos de dispositivos neste cenário ajuda os relatórios de conformidade.

Se você usar o Acesso Condicional, suas políticas de Acesso Condicional poderão usar os resultados de conformidade do dispositivo para bloquear o acesso a recursos de dispositivos incompatíveis.

As configurações disponíveis que podem ser especificadas em uma política de conformidade do dispositivo dependem do tipo de plataforma que você selecionar ao criar uma política. Diferentes plataformas de dispositivo dão suporte a configurações distintas, e cada tipo de plataforma requer uma política separada.

Os assuntos a seguir levam a artigos dedicados sobre diferentes aspectos da política de configuração de dispositivo.

  • Ações de incompatibilidade – toda política de conformidade do dispositivo inclui uma ou mais ações de incompatibilidade. Essas ações são regras aplicadas a dispositivos que não cumprem com as condições definidas na política.

    Por padrão, cada política de conformidade do dispositivo inclui a ação de marcar um dispositivo como incompatível se ele deixar de cumprir uma regra de política. A política aplica ao dispositivo quaisquer ações adicionais por incompatibilidade que você tiver configurado, com base nos agendamentos definidos para essas ações.

    As ações de incompatibilidade podem ajudar a alertar os usuários quando o dispositivo deles for incompatível ou proteger os dados que podem estar em um dispositivo. Entre os exemplos de ações estão:

    • O envio de alertas por email a usuários e grupos com detalhes sobre o dispositivo incompatível. A política pode ser configurada para enviar um email imediatamente depois de ser marcada como incompatível e, todas as vezes, de maneira periódica, até que o dispositivo se torne compatível.
    • O bloqueio remoto de dispositivos que estão incompatíveis por algum tempo.
    • A desativação de dispositivos depois de continuarem incompatíveis por certo tempo. Esta ação marca um dispositivo qualificado como pronto para ser desativado. Um administrador pode então ver uma lista de dispositivos marcados para desativação e deve tomar uma ação explícita para retirar um ou mais dispositivos. A desativação de um dispositivo remove-o do gerenciamento do Intune e remove todos os dados da empresa do dispositivo. Para obter mais informações sobre essa ação, consulte Ações disponíveis para não conformidade.
  • Criação de uma política – com as informações neste artigo, você pode examinar os pré-requisitos, usar as opções para configurar regras, especificar ações de incompatibilidade e atribuir a política a grupos. Este artigo também inclui informações sobre os prazos de atualização das políticas.

    Veja as configurações de conformidade do dispositivo para as diferentes plataformas de dispositivos:

  • Configurações de conformidade personalizadas – Com configurações de conformidade personalizadas, você pode expandir as opções de conformidade interna do dispositivo do Intune. As configurações personalizadas fornecem flexibilidade para basear a conformidade nas configurações disponíveis em um dispositivo sem precisar esperar que o Intune adicione essas configurações.

    Você pode usar configurações de conformidade personalizadas com as seguintes plataformas:

    • Linux – Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
    • Windows 10/11

Monitorar o status de conformidade

O Intune inclui um painel de conformidade do dispositivo usado para monitorar o status de conformidade dos dispositivos e para você se aprofundar nas políticas e dispositivos e obter mais informações. Saiba mais sobre esse painel em Monitorar a conformidade do dispositivo.

Integrar com Acesso Condicional

Ao usar o Acesso Condicional, você pode configurar suas políticas de Acesso Condicional para usar os resultados das políticas de conformidade do dispositivo e determinar quais dispositivos podem acessar seus recursos organizacionais. Esse controle de acesso é adicional e separado das ações de incompatibilidade que você inclui em suas políticas de conformidade do dispositivo.

Quando um dispositivo se registra no Intune, ele se registra em Microsoft Entra ID. O status de conformidade para dispositivos é relatado como Microsoft Entra ID. Se suas políticas de Acesso Condicional tiverem controles de acesso definidos como Exigir que o dispositivo seja marcado como compatível, o Acesso Condicional usará esse status de conformidade para determinar se deve conceder ou bloquear o acesso a email e outros recursos da organização.

Se você for usar o status de conformidade do dispositivo com políticas de Acesso Condicional, examine como o seu locatário configurou Marcar dispositivos sem política de conformidade atribuída como, gerenciado em Configurações da política de conformidade.

Confira mais informações sobre como usar o Acesso Condicional com suas políticas de conformidade do dispositivo em Acesso Condicional com base no dispositivo

Saiba mais sobre o Acesso Condicional na documentação do Microsoft Entra:

Referência para a incompatibilidade e Acesso Condicional em diferentes plataformas

A tabela a seguir descreve como as configurações em não conformidade são gerenciadas quando uma política de conformidade é usada com uma política de Acesso Condicional.

  • Remediado: o sistema operacional do dispositivo impõe a conformidade. Por exemplo, o usuário é forçado a definir um PIN.

  • Em quarentena: o sistema operacional do dispositivo não impõe a conformidade. Por exemplo, dispositivos com Android e Android Enterprise não forçam o usuário a criptografar o dispositivo. Quando o dispositivo não está em conformidade, ocorrem as seguintes ações:

    • Quando uma política de Acesso Condicional se aplica ao usuário, o dispositivo é bloqueado.
    • O aplicativo Portal da Empresa notifica o usuário sobre qualquer problema de conformidade.

Configuração de política Plataforma
Distribuições permitidas Linux(somente) – Em quarentena
Criptografia de dispositivo - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: remediado (configurando o PIN)
- macOS 10.11 e posterior: em quarentena

- Linux: em quarentena

- Windows 10/11: em quarentena
Perfil de email - Android 4.0 e posterior: não aplicável
- Samsung Knox Standard 4.0 e posterior: não aplicável
- Android Enterprise: não aplicável

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: não aplicável

- Windows 10/11: não aplicável
Dispositivo desbloqueado ou com raiz - Android 4.0 e posterior: em quarentena (sem configuração)
- Samsung Knox Standard 4.0 e posterior: em quarentena (sem configuração)
- Android Enterprise: em quarentena (sem configuração)

- iOS 8.0 e posterior: em quarentena (sem configuração)
- macOS 10.11 e posterior: não aplicável

- Linux: não aplicável

- Windows 10/11: não aplicável
Versão máxima do SO - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: confira Distribuições permitidas

- Windows 10/11: em quarentena
Versão mínima do SO - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: em quarentena
- macOS 10.11 e posterior: em quarentena

- Linux: confira Distribuições permitidas

- Windows 10/11: em quarentena
Configuração de senha ou PIN - Android 4.0 e posterior: em quarentena
- Samsung Knox Standard 4.0 e posterior: em quarentena
- Android Enterprise: em quarentena

- iOS 8.0 e posterior: remediado
- macOS 10.11 e posterior: remediado

- Linux: em quarentena

- Windows 10/11: corrigido
Atestado de integridade do Windows - Android 4.0 e posterior: não aplicável
- Samsung Knox Standard 4.0 e posterior: não aplicável
- Android Enterprise: não aplicável

- iOS 8.0 e posterior: não aplicável
- macOS 10.11 e posterior: não aplicável

- Linux: não aplicável

- Windows 10/11: em quarentena

Observação

O aplicativo Portal da Empresa insere o fluxo de correção de registro quando o usuário entra no aplicativo e o dispositivo não faz check-in com êxito com o Intune há 30 dias ou mais (ou o dispositivo não está em conformidade devido a um motivo de conformidade de contato perdido). Nesse fluxo, tentamos iniciar um marcar-in mais uma vez. Se isso ainda não tiver êxito, emitiremos um comando de retirada para permitir que o usuário registre novamente o dispositivo manualmente.


Próximas etapas