Definir a autoridade de gerenciamento de dispositivo móvel

  • Artigo

A configuração de autoridade de gerenciamento de dispositivo móvel (MDM) determina como você gerenciar seus dispositivos. Como administrador de TI, você deverá definir uma autoridade MDM antes que os usuários possam registrar dispositivos para gerenciamento. Você também deve receber uma licença do Intune para definir a Autoridade de MDM.

As configurações possíveis são:

  • Intune Autônomo – gerenciamento apenas na nuvem, que você pode configurar usando o portal do Azure. Inclui o conjunto completo de recursos que o Intune oferece. Defina a autoridade MDM no centro de administração Microsoft Intune.

  • Cogerenciamento do Intune – integração da solução de nuvem do Intune com o Configuration Manager para dispositivos Windows 10. Você configura o Intune usando o console do Configuration Manager. Configure o registro automático de dispositivos ao Intune.

  • Mobilidade básica e segurança para o Microsoft 365 – Depois que essa configuração for ativada, a autoridade MDM será definida como "Office 365". Se você quiser começar a usar o Intune, será necessário comprar licenças do Intune.

  • Mobilidade básica e segurança para a coexistência do Microsoft 365 – você pode adicionar o Intune ao seu locatário se já estiver usando Mobilidade básica e segurança para o Microsoft 365. Você pode definir a autoridade de gerenciamento como Intune ou Mobilidade básica e segurança para o Microsoft 365 para cada usuário ditar qual serviço é usado para gerenciar seus dispositivos registrados em MDM. A autoridade de gerenciamento de cada usuário é definida com base na licença atribuída ao usuário:

    • Mobilidade básica e segurança para Microsoft 365 gerencia os dispositivos de usuários que têm apenas uma licença para Microsoft 365 Básico ou Standard.
    • O Intune gerencia os dispositivos de usuários que têm uma licença que lhes permite usá-lo.
    • Se você adicionar uma licença que dá direito ao Intune a um usuário gerenciado anteriormente por Mobilidade básica e segurança para o Microsoft 365, seus dispositivos serão alternados para o gerenciamento do Intune. Para evitar perder Mobilidade básica e segurança para a configuração do Microsoft 365 nos dispositivos dos usuários, atribua configurações do Intune aos usuários antes de alterná-las para o Intune.

Definir a autoridade de MDM para o Intune

Para locatários que usam a versão de serviço 1911 e posterior, a autoridade de MDM é definida automaticamente como o Intune.

Para locatários que usam a versão do serviço 1911 e posterior, se você ativou Mobilidade básica e segurança, siga as etapas nesta seção.

Para locatários de versão de serviço pré-1911, se você ainda não definiu a autoridade MDM, siga as etapas nesta seção.

  1. No centro de administração Microsoft Intune, selecione a faixa laranja para abrir a configuração autoridade de Gerenciamento de Dispositivos móvel. A faixa laranja somente será exibida se você ainda não tiver definido a autoridade de MDM.

  2. Em Autoridade de Gerenciamento de Dispositivo Móvel, escolha sua autoridade MDM entre as seguintes opções:

    • Autoridade MDM do Intune
    • Nenhum

    Captura de tela do Intune definir a tela da autoridade de gerenciamento de dispositivo móvel.

Uma mensagem indica que você configurou com êxito o Intune como autoridade MDM.

Fluxo de trabalho da Interface do Usuário da administração do Intune

Quando o gerenciamento de dispositivo Android ou Apple está habilitado, o Intune envia informações do dispositivo e do usuário a serem integradas com esses serviços de terceiros para que eles gerenciem seus respectivos dispositivos.

Os cenários que adicionam um consentimento para compartilhar dados estão inclusos quando:

  • Você habilita perfis de trabalho de propriedade pessoal ou corporativa do Android Enterprise.
  • Você habilita e carrega os certificados por Push de MDM da Apple.
  • Você habilita qualquer um dos serviços da Apple, como o Programa de Registro de Dispositivos, o School Manager ou o Volume Purchase Program.

Em cada caso, o consentimento está estritamente relacionado à execução de um serviço de gerenciamento de dispositivos móveis. Por exemplo, confirmar que um Administrador de TI autorizou os dispositivos do Google ou da Apple a se inscreverem. A documentação que trata das informações que serão compartilhadas quando os novos fluxos de trabalho forem ativados está disponível nos seguintes locais:

Principais Considerações

Depois de alternar para a nova autoridade MDM, haverá algum tempo de transição (até oito horas) antes que o dispositivo faça a verificação e sincronize com o serviço. Você é obrigado a configurar configurações na nova autoridade de MDM para garantir que os dispositivos registrados continuem a ser gerenciados e protegidos após a alteração.

  • Os dispositivos devem se conectar ao serviço após a alteração para que as configurações da nova autoridade de MDM (Intune autônomo) substituam as configurações existentes no dispositivo.
  • Depois que você alterar a autoridade de MDM, algumas das configurações básicas (como perfis) da autoridade de MDM anterior permanecerão no dispositivo por até sete dias ou até que o dispositivo se conecte ao serviço pela primeira vez. Você deve configurar aplicativos e configurações (como políticas, perfis e aplicativos) na nova autoridade MDM o mais rápido possível e implantar a configuração nos grupos de usuários que contêm usuários que têm dispositivos registrados existentes. Assim que um dispositivo se conectar ao serviço após a alteração na autoridade de MDM, ele receberá as novas configurações da nova autoridade de MDM e evitará falhas na proteção e no gerenciamento.
  • Os dispositivos que não têm usuários associados (normalmente quando você tem o Programa de registro de dispositivos iOS/iPadOS ou cenários de registro em massa) não são migrados para a nova autoridade de MDM. Para esses dispositivos, você precisa chamar o suporte para obter assistência para movê-los para a nova autoridade de MDM.

Coexistência

Ao habilitar a coexistência, você pode usar o Intune para um novo conjunto de usuários enquanto continua a usar Mobilidade básica e segurança para os usuários existentes. Você pode controlar quais dispositivos são gerenciados pelo Intune por meio do usuário. O Intune gerencia todos os dispositivos registrados por um usuário, se o usuário tiver uma licença do Intune ou usar o cogerenciamento do Intune com Configuration Manager. Caso contrário, o usuário será gerenciado pela Mobilidade e Segurança Básicas.

Há três etapas principais para habilitar a coexistência:

  1. Preparação
  2. Adicionar autoridade de MDM do Intune
  3. Migração de usuário e dispositivo (opcional).

Preparação

Antes de habilitar a coexistência com Mobilidade e Segurança Básicas, considere os seguintes pontos:

  • Verifique se você tem licenças do Intune suficientes para os usuários que pretende gerenciar por meio do Intune.
  • Revise quais usuários receberam licenças do Intune. Depois que você habilitar a coexistência, qualquer usuário que já tenha uma licença do Intune terá seus dispositivos alternados para o Intune. Para evitar alterações inesperadas de dispositivo, recomendamos não atribuir nenhuma licença do Intune até habilitar a coexistência.
  • Crie e implante políticas do Intune para substituir as políticas de segurança de dispositivo que foram implantadas originalmente por meio do portal de Segurança e Conformidade do Office 365. Essa substituição deve ser feita para todos os usuários que você pretende mover da Mobilidade e Segurança Básicas para o Intune. Se não houver nenhuma política do Intune atribuída a esses usuários, habilitar a coexistência poderá fazer com que eles percam as configurações de Mobilidade e Segurança Básicas. Essas configurações são perdidas sem substituição, como perfis de email gerenciados. Mesmo ao substituir as políticas de segurança do dispositivo por políticas do Intune, os usuários podem ser solicitados a reautenticar seus perfis de email após o dispositivo ser movido para o gerenciamento do Intune.
  • Não é possível desprovisionar a Mobilidade e a Segurança Básicas após a configuração. No entanto, há etapas que podem ser tomadas para desativar as políticas. Para obter mais informações, consulte Desativar Mobilidade e Segurança Básicas.

Adicionar autoridade de MDM do Intune

Para habilitar a coexistência, você deve adicionar o Intune como a autoridade de MDM do seu ambiente:

  1. Entre no centro de administração Microsoft Intune com Microsoft Entra direitos de administrador de serviços global ou intune.

  2. Navegue até Dispositivos.

  3. É exibida a folha Adicionar Autoridade de MDM.

  4. Para alternar a autoridade de MDM do Office 365 para o Intune e habilitar a coexistência, selecione Autoridade de MDM do Intune>Adicionar.

    Captura de tela da tela Adicionar Autoridade MDM.

Migrar usuários e dispositivos (opcional)

Depois de habilitar a autoridade do Intune MDM, a coexistência é ativada e você pode começar a gerenciar usuários por meio do Intune. Opcionalmente, você pode mover dispositivos que foram gerenciados anteriormente por Mobilidade básica e segurança a serem gerenciados pelo Intune atribuindo a esses usuários uma licença do Intune. Os dispositivos dos usuários mudarão para o Intune no próximo check-in de MDM. As configurações aplicadas a esses dispositivos por meio de Mobilidade básica e segurança não são mais aplicadas e são removidas dos dispositivos.

Limpeza do dispositivo móvel após a expiração do certificado MDM

O certificado MDM é renovado automaticamente quando os dispositivos móveis estão se comunicando com o serviço Intune. Se os dispositivos móveis são apagados ou se eles não conseguem se comunicar com o serviço do Intune por algum tempo, o certificado do MDM não é renovado. O dispositivo será removido do Portal do Microsoft Azure 180 dias após a expiração do certificado MDM.

Remover a autoridade de MDM

A autoridade de MDM não pode ser alterada novamente para Desconhecida. A autoridade de MDM é usada pelo serviço a fim de determinar para qual portal os dispositivos registrados devem se reportar (Microsoft Intune ou Mobilidade e Segurança Básicas para o Microsoft 365).

O que esperar após a alteração da autoridade de MDM

  • Quando o serviço do Intune detecta uma alteração na autoridade de MDM de um locatário, ele envia uma mensagem de notificação para todos os dispositivos registrados. A mensagem de notificação solicita que os dispositivos marcar e sincronizem com o serviço, fora de sua agenda regular. Como resultado, todos os dispositivos ligados e online ligados se conectam com o serviço e recebem a nova autoridade MDM. A nova autoridade gerencia e protege os dispositivos sem interrupção. Portanto, depois que a autoridade MDM para o locatário for alterada de autônomo do Intune, os dispositivos continuarão funcionando normalmente sob a nova autoridade MDM.

  • Os dispositivos ligados e online durante ou logo após a alteração na autoridade de MDM experimentam um atraso. O atraso pode durar até oito horas, dependendo do tempo da próxima marcar regular agendada. Durante o atraso, os dispositivos não são registrados com o serviço sob a nova autoridade MDM. Após o atraso, os dispositivos são totalmente registrados e operacionais sob a nova autoridade MDM.

    Importante

    Entre o momento em que você altera a autoridade de MDM e em que o certificado APNs renovado é carregado para a nova autoridade, novos registros de dispositivo e check-in de dispositivo para dispositivos iOS/iPadOS falham. Portanto, é importante que você analise e carregue o certificado de APNs para a nova autoridade assim que possível após a alteração na autoridade de MDM.

  • Os usuários podem alterar rapidamente para a nova autoridade de MDM iniciando manualmente um check-in do dispositivo para o serviço. Os usuários podem fazer essa alteração facilmente usando o aplicativo Portal da Empresa e iniciando uma verificação de conformidade do dispositivo.

  • Para verificar se tudo está funcionando corretamente depois que os dispositivos fizerem check-in e forem sincronizados com o serviço após a alteração da autoridade de MDM, procure os dispositivos na nova autoridade de MDM.

  • Há um período intermediário em que um dispositivo fica offline durante a alteração na autoridade de MDM até ele fazer check-in no serviço. Durante o período provisório, é importante proteger e manter a funcionalidade do dispositivo. Para proteger e manter a funcionalidade do dispositivo, os seguintes perfis permanecem no dispositivo. Esses perfis permanecem no dispositivo até sete dias ou até que o dispositivo se conecte com a nova autoridade MDM. Depois que o dispositivo se conecta e recebe novas configurações, os perfis existentes são substituídos:

    • Perfil de email
    • Perfil da VPN
    • Perfil de certificado
    • Perfil de Wi-Fi
    • Perfis de configuração

  • Depois de alterar para a nova autoridade MDM, os dados de conformidade no centro de administração Microsoft Intune podem levar até uma semana para relatar com precisão. No entanto, os estados de conformidade no Microsoft Entra ID e no dispositivo são precisos para que o dispositivo ainda esteja protegido.

  • Verifique se as novas configurações destinadas a substituir as configurações existentes têm o mesmo nome que as anteriores para garantir que as configurações antigas sejam substituídas. Caso contrário, os dispositivos podem acabar com políticas e perfis redundantes.

    Dica

    Como prática recomendada, você deve criar todos os parâmetros de gerenciamento e as configurações, além das implantações, logo após a alteração para a autoridade de MDM ser concluída. Isso ajuda a garantir que os dispositivos estejam protegidos e sejam gerenciados ativamente durante o período intermediário.

  • Depois de alterar a autoridade MDM, execute as etapas a seguir para validar que os novos dispositivos sejam registrados com êxito para a nova autoridade:

    • Registrar um novo dispositivo
    • Verifique se o dispositivo recém-registrado é mostrado na nova autoridade de MDM.
    • Execute uma ação, como Bloqueio Remoto, do centro de administração Microsoft Intune até o dispositivo. Se for bem-sucedido, a nova autoridade MDM está gerenciando o dispositivo.

  • Se você tiver problemas com dispositivos específicos, poderá cancelar o registro deles e registrá-los novamente para que se conectem à nova autoridade e sejam gerenciados o mais rapidamente possível.

Confirmar a autoridade de MDM do locatário

Para confirmar se sua autoridade de MDM está definida como Intune, use as seguintes etapas:

  1. No centro de administração Microsoft Intune, selecione Locatário de administração>de locatários status.
  2. Na guia Detalhes do locatário , localize a autoridade MDM.

Próximas etapas

Com a autoridade de MDM definida, você pode começar o registro de dispositivos.