Definir regras em dispositivos para permitir o acesso aos recursos em sua organização usando o IntuneSet rules on devices to allow access to resources in your organization using Intune

Muitas soluções de MDM (gerenciamento de dispositivo móvel) ajudam a proteger dados organizacionais exigindo que os usuários e dispositivos atendam a alguns requisitos.Many mobile device management (MDM) solutions help protect organizational data by requiring users and devices to meet some requirements. No Intune, esse recurso é chamado de "políticas de conformidade".In Intune, this feature is called "compliance policies". As políticas de conformidade definem as regras e configurações que os usuários e dispositivos devem cumprir para serem compatíveis.Compliance policies define the rules and settings that users and devices must meet to be compliant. Quando são combinadas com o acesso condicional, os administradores podem bloquear usuários e dispositivos que não atendem às regras.When combined with conditional access, administrators can block users and devices that don't meet the rules.

Por exemplo, um administrador do Intune pode exigir:For example, an Intune administrator can require:

  • que os usuários finais usem uma senha para acessar dados organizacionais em dispositivos móveisEnd users use a password to access organizational data on mobile devices
  • que o dispositivo não esteja desbloqueado por jailbreak ou por rootingThe device isn't jail-broken or rooted
  • uma versão mínima ou máxima do sistema operacional no dispositivoA minimum or maximum operating system version on the device
  • o dispositivo esteja em um nível igual ou inferior ao nível da ameaçaThe device to be at, or under a threat level

Você também pode usar esse recurso para monitorar o status de conformidade dos dispositivos em sua organização.You can also use this feature to monitor the compliance status on devices in your organization.

Importante

O Intune segue o agendamento de check-in do dispositivo para todas as avaliações de conformidade no dispositivo.Intune follows the device check-in schedule for all compliance evaluations on the device. Saiba mais sobre o agendamento de check-in do dispositivo.Learn more about the device check-in schedule.

As políticas de conformidade do dispositivo funcionam com o Azure ADDevice compliance policies work with Azure AD

O Intune usa o acesso condicional do Azure AD (Active Directory) (abre outro site do docs) para ajudar a impor a conformidade.Intune uses Azure Active Directory (AD) conditional access (opens another docs web site) to help enforce compliance. Quando um dispositivo é registrado no Intune, o processo de registro do Azure AD é iniciado e atualiza as informações do dispositivo no Azure AD.When a device enrolls in Intune, the Azure AD registration process starts, and device information is updated in Azure AD. Uma informação essencial é o status de conformidade do dispositivo.One key piece of information is the device compliance status. Esse status de conformidade é usado pelas políticas de acesso condicional para bloquear ou permitir o acesso a email e outros recursos da organização.This compliance status is used by conditional access policies to block or allow access to e-mail and other organization resources.

Maneiras de usar as políticas de conformidade do dispositivoWays to use device compliance policies

Com acesso condicionalWith conditional access

Para dispositivos que estão em conformidade com as regras da política, você pode conceder a eles acesso ao email e outros recursos da organização.For devices that comply to policy rules, you can give those devices access to email and other organization resources. Se os dispositivos não estiverem em conformidade com as regras de política, eles não terão acesso aos recursos da organização.If the devices don't comply to policy rules, then they don't get access to organization resources. Isso é acesso condicional.This is conditional access.

Sem acesso condicionalWithout conditional access

Você também pode usar políticas de conformidade do dispositivo sem qualquer acesso condicional.You can also use device compliance policies without any conditional access. Quando você usa as políticas de conformidade de forma independente, os dispositivos de destino são avaliados e relatados com o status de conformidade.When you use compliance policies independently, the targeted devices are evaluated and reported with their compliance status. Por exemplo, você pode obter um relatório do número de dispositivos que não estão criptografados ou de quais dispositivos estão desbloqueados por jailbreak ou por rooting.For example, you can get a report on how many devices aren't encrypted, or which devices are jail-broken or rooted. Quando você usa políticas de conformidade sem acesso condicional, não há restrições de acesso aos recursos da empresa.When you use compliance policies without conditional access, there aren't any access restrictions to organization resources.

Maneiras de implantar políticas de conformidade do dispositivoWays to deploy device compliance policies

Você pode implantar a política de conformidade para usuários em grupos de usuários ou dispositivos em grupos de dispositivo.You can deploy compliance policy to users in user groups or devices in device groups. Quando uma política de conformidade é implantada para um usuário, a conformidade de todos os dispositivos do usuário é verificada.When a compliance policy is deployed to a user, all of the user's devices are checked for compliance. No Windows 10 versão 1803 e dispositivos mais recentes, recomendamos implantar em grupos de dispositivos se o usuário principal não registrou o dispositivo.On Windows 10 version 1803 and newer devices, it's recommended to deploy to device groups if the primary user didn't enroll the device. Usar grupos de dispositivos neste cenário ajuda os relatórios de conformidade.Using device groups in this scenario helps with compliance reporting.

O Intune também inclui um conjunto de configurações de política de conformidade interna.Intune also includes a set of built-in compliance policy settings. As políticas internas a seguir são avaliadas em todos os dispositivos registrados no Intune:The following built-in policies get evaluated on all devices enrolled in Intune:

  • Marcar dispositivos sem política de conformidade atribuída como: Essa propriedade tem dois valores:Mark devices with no compliance policy assigned as: This property has two values:

    • Em conformidade: o recurso de segurança está desativadoCompliant: security feature off
    • Não em conformidade (padrão): recurso de segurança ligadoNot compliant (default): security feature on

    Se um dispositivo não tiver uma política de conformidade atribuída, ele será considerado como não estando em conformidade.If a device doesn't have a compliance policy assigned, then this device is considered not compliant. Por padrão, os dispositivos são marcados como Não está em conformidade.By default, devices are marked as Not compliant. Se você usa acesso condicional, recomendamos alterar a configuração para Não em conformidade.If you use conditional access, we recommended you change the setting to Not compliant. Se um usuário final não estiver em conformidade por não ter uma política atribuída, o Portal da Empresa mostrará No compliance policies have been assigned.If an end user isn't compliant because a policy isn't assigned, then the Company Portal app shows No compliance policies have been assigned.

  • Detecção avançada de jailbreak: Quando habilitada, essa configuração faz com que dispositivos iOS realizem check-in com o Intune com mais frequência.Enhanced jailbreak detection: When enabled, this setting causes iOS devices to check in with Intune more frequently. Habilitar essa propriedade usa serviços de localização do dispositivo e afeta o uso da bateria.Enabling this property uses the device’s location services, and impacts battery usage. Os dados de local do usuário não são armazenados pelo Intune.The user location data isn't stored by Intune.

    Habilitar essa configuração exige que os dispositivos:Enabling this setting requires devices to:

    • Habilite os serviços de localização no nível do sistema operacional.Enable location services at the OS level.
    • Permitam que o Portal da Empresa use serviços de localização.Allow the company portal to use location services.
    • Avaliem e relatem o status de jailbreak ao Intune pelo menos uma vez a cada 72 horas.Evaluate and report its jailbreak status to Intune at least once every 72 hours. Caso contrário, o dispositivo será marcado como não estando em conformidade.Otherwise, the device is marked not compliant. A avaliação é disparada com a abertura do aplicativo do Portal da Empresa ou a movimentação física do dispositivo para 500 metros de distância ou mais.Evaluation is triggered by opening the Company Portal app or physically moving the device 500 meters or more. Se o dispositivo não se mover 500 metros em 72 horas, o usuário precisará abrir o aplicativo Portal da Empresa para executar uma avaliação avançada de desbloqueio.If the device doesn't move 500 meters in 72 hours, the user needs to open the Company Portal app for enhanced jail break evaluation.
  • Período de validade do status de conformidade (dias): Insira o período que os dispositivos relatam o status de todas as políticas de conformidade recebidas.Compliance status validity period (days): Enter the time period that devices report the status for all received compliance policies. Dispositivos que não retornam o status dentro desse período são tratados como não estando em conformidade.Devices that don't return the status within this time period are treated as noncompliant. O valor padrão é de 30 dias.The default value is 30 days.

Você pode usar essas políticas internas para monitorar essas configurações.You can use these built-in policies to monitor these settings. O Intune também atualiza ou verifica se há atualizações em intervalos diferentes, dependendo da plataforma do dispositivo.Intune also refreshes or checks for updates at different intervals, depending on the device platform. Perguntas, problemas e resoluções comuns com perfis e políticas de dispositivo no Microsoft Intune é um bom recurso.Common questions, issues, and resolutions with device policies and profiles in Microsoft Intune is a good resource.

Relatórios de conformidade são uma ótima maneira de verificar o status dos dispositivos.Compliance reports are a great way to check the status of devices. Monitorar políticas de conformidade inclui algumas orientações.Monitor compliance policies includes some guidance.

Falta de conformidade e acesso condicional em diferentes plataformasNon-compliance and conditional access on the different platforms

A tabela a seguir descreve como as configurações não compatíveis são gerenciadas quando uma política de conformidade é usada com uma política de acesso condicional.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Configuração de políticaPolicy setting PlataformaPlatform
Configuração de senha ou PINPIN or password configuration - Android 4.0 e posterior: Em Quarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 e posterior: Em Quarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: Em Quarentena- Android Enterprise: Quarantined
- iOS 8.0 e posterior: Corrigida- iOS 8.0 and later: Remediated
- macOS 10.11 e posterior: Corrigida- macOS 10.11 and later: Remediated
- Windows 8.1 e posterior: Corrigida- Windows 8.1 and later: Remediated
- Windows Phone 8.1 e posterior: Corrigida- Windows Phone 8.1 and later: Remediated
Criptografia de dispositivoDevice encryption - Android 4.0 e posterior: Em Quarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 e posterior: Em Quarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: Em Quarentena- Android Enterprise: Quarantined
- iOS 8.0 e posterior: Corrigida (pela definição do PIN)- iOS 8.0 and later: Remediated (by setting PIN)
- macOS 10.11 e posterior: Corrigida (pela definição do PIN)- macOS 10.11 and later: Remediated (by setting PIN)
- Windows 8.1 e posterior: Não Aplicável- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 e posterior: Corrigida- Windows Phone 8.1 and later: Remediated
Dispositivo desbloqueado ou com raizJailbroken or rooted device - Android 4.0 e posterior: Em Quarentena (não é uma configuração)- Android 4.0 and later: Quarantined (not a setting)
- Samsung Knox Standard 4.0 e posterior: Em Quarentena (não é uma configuração)- Samsung Knox Standard 4.0 and later: Quarantined (not a setting)
- Android Enterprise: Em Quarentena (não é uma configuração)- Android Enterprise: Quarantined (not a setting)
- iOS 8.0 e posterior: Em Quarentena (não é uma configuração)- iOS 8.0 and later: Quarantined (not a setting)
- macOS 10.11 e posterior: Não Aplicável- macOS 10.11 and later: Not applicable
- Windows 8.1 e posterior: Não Aplicável- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 e posterior: Não Aplicável- Windows Phone 8.1 and later: Not applicable
Perfil de emailEmail profile - Android 4.0 e posterior: Não Aplicável- Android 4.0 and later: Not applicable
- Samsung Knox Standard 4.0 e posterior: Não Aplicável- Samsung Knox Standard 4.0 and later: Not applicable
- Android Enterprise: Não Aplicável- Android Enterprise: Not applicable
- iOS 8.0 e posterior: Em Quarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 e posterior: Em Quarentena- macOS 10.11 and later: Quarantined
- Windows 8.1 e posterior: Não Aplicável- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 e posterior: Não Aplicável- Windows Phone 8.1 and later: Not applicable
Versão mínima do SOMinimum OS version - Android 4.0 e posterior: Em Quarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 e posterior: Em Quarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: Em Quarentena- Android Enterprise: Quarantined
- iOS 8.0 e posterior: Em Quarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 e posterior: Em Quarentena- macOS 10.11 and later: Quarantined
- Windows 8.1 e posterior: Em Quarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 e posterior: Em Quarentena- Windows Phone 8.1 and later: Quarantined
Versão máxima do SOMaximum OS version - Android 4.0 e posterior: Em Quarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 e posterior: Em Quarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: Em Quarentena- Android Enterprise: Quarantined
- iOS 8.0 e posterior: Em Quarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 e posterior: Em Quarentena- macOS 10.11 and later: Quarantined
- Windows 8.1 e posterior: Em Quarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 e posterior: Em Quarentena- Windows Phone 8.1 and later: Quarantined
Atestado de integridade do WindowsWindows health attestation - Android 4.0 e posterior: Não Aplicável- Android 4.0 and later: Not applicable
- Samsung Knox Standard 4.0 e posterior: Não Aplicável- Samsung Knox Standard 4.0 and later: Not applicable
- Android Enterprise: Não Aplicável- Android Enterprise: Not applicable
- iOS 8.0 e posterior: Não Aplicável- iOS 8.0 and later: Not applicable
- macOS 10.11 e posterior: Não Aplicável- macOS 10.11 and later: Not applicable
- Windows 10 e Windows 10 Mobile: Em Quarentena- Windows 10 and Windows 10 Mobile: Quarantined
- Windows 8.1 e posterior: Em Quarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 e posterior: Não Aplicável- Windows Phone 8.1 and later: Not applicable

Corrigido: o sistema operacional do dispositivo impõe a conformidade.Remediated: The device operating system enforces compliance. Por exemplo, o usuário é forçado a definir um PIN.For example, the user is forced to set a PIN.

Em quarentena: o sistema operacional do dispositivo não impõe a conformidade.Quarantined: The device operating system doesn't enforce compliance. Por exemplo, dispositivos com Android e Android Enterprise não forçam o usuário a criptografar o dispositivo.For example, Android and Android Enterprise devices don't force the user to encrypt the device. Quando o dispositivo não está em conformidade, ocorrem as seguintes ações:When the device isn't compliant, the following actions take place:

  • Se uma política de acesso condicional se aplicar ao usuário, o dispositivo será bloqueado.If a conditional access policy applies to the user, the device is blocked.
  • O aplicativo Portal da Empresa notifica o usuário sobre qualquer problema de conformidade.The Company Portal app notifies the user about any compliance problems.

Portal Clássico do Azure vs. Portal do AzureAzure classic portal vs. Azure portal

A principal diferença ao usar políticas de conformidade do dispositivo no Portal do Azure:The main difference when using device compliance policies in the Azure portal:

  • No Portal do Azure, as políticas de conformidade são criadas separadamente para cada plataforma compatívelIn the Azure portal, the compliance policies are created separately for each supported platform
  • No Portal Clássico do Azure, uma política de conformidade do dispositivo é comum a todas as plataformas compatíveisIn the Azure classic portal, one device compliance policy is common to all supported platforms

Políticas de conformidade do dispositivo criadas no portal clássico não aparecem no Portal do Azure.Device compliance policies created in the classic portal don't appear in the Azure portal. No entanto, elas ainda serão destinadas aos usuários e poderão ser gerenciadas usando o portal clássico.However, they’re still targeted to users and manageable using the classic portal.

Para usar os recursos relacionados à conformidade do dispositivo no Portal do Azure, você deve criar novas políticas de conformidade de dispositivo no Portal do Azure.To use the device compliance-related features in the Azure portal, you must create new device compliance policies in the Azure portal. Se você atribuir uma política de conformidade do dispositivo no Portal do Azure a um usuário que já tenha uma política de conformidade do dispositivo atribuída pelo portal clássico, as políticas de conformidade do dispositivo do Portal do Azure terão precedência em relação às criadas no portal clássico.If you assign a device compliance policy in the Azure portal to a user who is also assigned a device compliance policy from the classic portal, then the device compliance policies from the Azure portal take precedence over the policies created in the classic portal.

Próximas etapasNext steps