Guia de planejamento do Microsoft Intune

  • Artigo

Uma implantação ou migração bem-sucedida do Microsoft Intune começa pelo planejamento. Este guia ajuda você a planejar sua movimentação ou adoção do Intune como sua solução unificada de gerenciamento de ponto de extremidade.

Diagrama que mostra as etapas para planejar sua migração ou migrar para Microsoft Intune, incluindo as necessidades de licenciamento.

O Intune oferece às organizações opções para fazer o que é melhor para elas e para muitos dispositivos de usuário diferentes. Você pode registrar dispositivos no Intune para MDM (gerenciamento de dispositivo móvel). Você também pode usar políticas de proteção de aplicativo para MAM (gerenciamento de aplicativos móveis) que se concentram na proteção de dados do aplicativo.

Este guia:

  • Listas e descreve alguns objetivos comuns para o gerenciamento de dispositivos
  • Listas possíveis necessidades de licenciamento
  • Fornece diretrizes sobre como lidar com dispositivos de propriedade pessoal
  • Recomenda a revisão de políticas e infraestrutura atuais
  • Dá exemplos de criação de um plano de distribuição
  • E muito mais

Use este guia para planejar sua migração ou migração para o Intune.

Dica

  • Deseja imprimir ou salvar este guia como um PDF? No navegador da Web, use a opção Imprimir , Salvar como PDF.
  • Este guia é uma coisa viva. Portanto, adicione ou atualize as dicas e diretrizes existentes que você achou úteis.

Etapa 1 – Determinar seus objetivos

As organizações usam o MDM (gerenciamento de dispositivo móvel) e o MAM (gerenciamento de aplicativo móvel) para controlar seus dados com segurança e com o mínimo de interrupções para os usuários. Ao avaliar uma solução de MDM/MAM, como o Microsoft Intune, considere qual é a meta e o que você deseja conseguir.

Nesta seção, discutimos objetivos ou cenários comuns ao usar o Intune.

Objetivo: acessar email e aplicativos organizacionais

Os usuários esperam trabalhar nos dispositivos usando aplicativos da organização, o que inclui ler e responder a emails, atualizar e compartilhar dados, entre outros. No Intune, você pode implantar diferentes tipos de aplicativos, incluindo:

  • Aplicativos Microsoft 365
  • Aplicativos Win32
  • Aplicativos LOB (Linha de negócios)
  • Aplicativos personalizados
  • Aplicativos internos ou aplicativos de loja

✔️ Tarefa: faça uma lista dos aplicativos que seus usuários usam regularmente

Esses são os aplicativos que você quer que estejam nos dispositivos deles. Algumas considerações:

  • Muitas organizações implantam aplicativos do Microsoft 365 em computadores e tablets, como Word, Excel, OneNote, PowerPoint e Teams. Em dispositivos menores, como celulares, aplicativos individuais podem ser instalados, dependendo dos requisitos do usuário.

    Por exemplo, a equipe de vendas pode precisar do Teams, do Excel e do SharePoint. Em dispositivos móveis, você pode implantar apenas esses aplicativos, em vez de implantar toda a família de produtos do Microsoft 365.

  • Os usuários esperam ler e responder a emails e participar de reuniões em todos os dispositivos, incluindo dispositivos pessoais. Em dispositivos de propriedade da organização, você pode implantar o Outlook e o Teams e gerenciar e controlar todas as configurações do dispositivo e todas as configurações do aplicativo, incluindo requisitos de PIN e senha.

    Em dispositivos pessoais, talvez você não tenha esse controle. Sendo assim, determine se você deseja conceder aos usuários acesso a aplicativos da organização, por exemplo, a emails e reuniões.

    Para obter mais informações e considerações, acesse Dispositivos pessoais versus dispositivos de propriedade da organização (neste artigo).

  • Se você planeja migrar para o Microsoft Outlook, observe as configurações de email que você usa atualmente. Essas configurações podem ser configuradas usando políticas de configuração de aplicativo do Intune.

  • Examine os aplicativos protegidos projetados para trabalhar com o Intune. Esses aplicativos têm suporte para aplicativos parceiros e aplicativos microsoft que são comumente usados com Microsoft Intune.

Objetivo: proteger o acesso em todos os dispositivos

Quando os dados são armazenados em dispositivos móveis, eles devem ser protegidos contra atividades mal-intencionadas.

✔️ Tarefa: determinar como você deseja proteger seus dispositivos

Antivírus, verificação de malware, resposta a ameaças e manter os dispositivos atualizados são considerações importantes. Você também deseja minimizar o impacto da atividade mal-intencionada.

Algumas considerações:

  • O antivírus (AV) e a proteção contra malware são obrigatórios. O Intune se integra a parceiros mtd(defesa contra ameaças móveis) Microsoft Defender para Ponto de Extremidade e diferentes para ajudar a proteger seus dispositivos, dispositivos pessoais e aplicativos gerenciados.

    O Microsoft Defender para Ponto de Extremidade inclui recursos de segurança e um portal para ajudar a monitorar ameaças e reagir a elas.

  • Se um dispositivo estiver comprometido, você deseja limitar o impacto mal-intencionado usando o Acesso Condicional.

    Por exemplo, Microsoft Defender para Ponto de Extremidade examina um dispositivo e determina que ele está comprometido. O Acesso Condicional pode bloquear automaticamente o acesso da organização neste dispositivo, incluindo email.

    O Acesso Condicional ajuda a proteger sua rede e recursos de dispositivos, mesmo dispositivos que não estão registrados no Intune.

  • Atualize o dispositivo, o sistema operacional e os aplicativos para ajudar a manter seus dados seguros. Crie um plano de como e quando as atualizações são instaladas. Há políticas no Intune que ajudam você a gerenciar atualizações, incluindo atualizações de aplicativos de loja.

    Os seguintes guias de planejamento de atualizações de software podem ajudá-lo a determinar sua estratégia de atualização:

  • Determine como os usuários se autenticarão nos recursos da organização de seus muitos dispositivos. Por exemplo, você pode:

    • Usar certificados nos dispositivos para autenticar recursos e aplicativos, como conectar-se a uma VPN (rede virtual privada), abrir o Outlook e muito mais. Esses certificados permitem uma experiência de usuário "sem senha". A experiência sem senha é considerada mais segura do que exigir que os usuários insiram o nome de usuário e a senha da organização.

      Se você estiver planejando usar certificados, use uma infraestrutura PKI (infraestrutura de chave pública) com suporte para criar e implantar perfis de certificado.

    • Use a MFA (autenticação multifator) para uma camada extra de autenticação em dispositivos de propriedade da organização. Ou use a MFA para autenticar aplicativos em dispositivos pessoais. A biometria, como o reconhecimento facial e as impressões digitais, também pode ser usada.

      Se você planeja usar a biometria para autenticação, certifique-se de que seus dispositivos dão suporte à biometria. A maioria dos dispositivos modernos tem.

    • Implementar uma implantação de Confiança Zero. Com Confiança Zero, você usa os recursos em Microsoft Entra ID e Microsoft Intune para proteger todos os pontos de extremidade, usa autenticação sem senha e muito mais.

  • Configure as políticas de contenção de dados que vêm com os aplicativos do Microsoft 365. Essas políticas ajudam a impedir que os dados da organização sejam compartilhados com outros aplicativos e locais de armazenamento que não são gerenciados por TI.

    Se alguns usuários precisarem apenas de acesso a emails corporativos e documentos, o que é comum para dispositivos de propriedade pessoal, você poderá exigir que os usuários usem aplicativos do Microsoft 365 com políticas de proteção de aplicativo. Os dispositivos não precisam ser registrados no Intune.

    Para obter mais informações e considerações, acesse Dispositivos pessoais versus dispositivos de propriedade da organização (neste artigo).

Objetivo: Distribuir TI

Muitas organizações querem dar a diferentes administradores controle sobre locais, departamentos e assim por diante. Por exemplo, o grupo Administradores de TI de Charlotte controla e monitora as políticas no campus de Charlotte. Esses Administradores de TI de Charlotte só podem ver e gerenciar políticas da localização de Charlotte. Eles não podem ver nem gerenciar políticas da localização de Redmond. Essa abordagem é chamada de TI distribuída.

No Intune, a TI distribuída se beneficia dos seguintes recursos:

  • As marcas de escopo usam o RBAC (controle de acesso baseado em função). Assim, somente usuários de um grupo específico têm permissão para gerenciar as políticas e os perfis dos usuários e dispositivos em seu escopo.

  • Quando você usa categorias de registro de dispositivo, os dispositivos são adicionados automaticamente a grupos com base nas categorias que você cria. Esse recurso usou Microsoft Entra grupos dinâmicos e ajuda a facilitar o gerenciamento de dispositivos.

    Quando registram os dispositivos, os usuários escolhem uma categoria, como Vendas, Administrador de TI, dispositivo de ponto de venda e assim por diante. Quando eles são adicionados a uma categoria, esses grupos de dispositivos estão prontos para receber suas políticas.

  • Quando os administradores criam políticas, você pode exigir várias aprovações de administrador para políticas específicas, incluindo políticas que executam scripts ou implantam aplicativos.

  • O Endpoint Privilege Management permite que o usuário não administrador padrão conclua tarefas que exigem privilégios elevados, como instalar aplicativos e atualizar drivers de dispositivo. O Endpoint Privilege Management faz parte do Intune Suite.

✔️ Tarefa: determinar como você deseja distribuir suas regras e configurações

Regras e configurações são implantadas usando políticas diferentes. Algumas considerações:

  • Determine a estrutura de administração. Por exemplo, talvez você queira se separar por local, como administradores de TI de Charlotte ou administradores de TI de Cambridge. Você pode separar por função, por exemplo, Administradores de rede, que controlam todo o acesso à rede, incluindo a VPN.

    Essas categorias se tornam suas marcas de escopo.

  • Às vezes, as organizações precisam usar TI distribuída em sistemas em que um grande número de administradores locais se conectam a um único locatário do Intune. Por exemplo, uma organização grande tem um único locatário do Intune. A organização tem um grande número de administradores locais e cada administrador gerencia um sistema, região ou local específico. Cada administrador precisa gerenciar apenas sua localização e não toda a organização.

    Para obter mais informações, acesse Ambiente de TI Distribuído com muitos administradores no mesmo locatário do Intune.

  • Muitas organizações separam grupos pelo tipo de dispositivo, como dispositivos iOS/iPadOS, Android ou Windows. Alguns exemplos:

    • Distribuir aplicativos específicos para dispositivos específicos. Por exemplo, implante o aplicativo de transporte da Microsoft em dispositivos móveis na rede Redmond.
    • Implantar políticas em locais específicos. Por exemplo, implante um perfil Wi-Fi em dispositivos na rede Charlotte para que eles se conectem automaticamente quando estiverem no intervalo.
    • Controlar as configurações em dispositivos específicos. Por exemplo, desabilite a câmera em dispositivos Android Enterprise usados em um piso de fabricação, crie um perfil antivírus Windows Defender para todos os dispositivos Windows ou adicione configurações de email a todos os dispositivos iOS/iPadOS.

    Essas categorias se tornam categorias de registro de dispositivo.

Objetivo: Manter os dados da organização dentro da organização

Quando são armazenados em dispositivos móveis, os dados precisam ser protegidos contra perda ou compartilhamento acidental. Esse objetivo também inclui limpar dados da organização de dispositivos pessoais e de propriedade da organização.

✔️ Tarefa: criar um plano para cobrir diferentes cenários que afetam sua organização

Alguns cenários de exemplo:

  • Um dispositivo é perdido, roubado ou deixa de ser usado. Um usuário deixa a organização.

  • Em dispositivos pessoais, talvez você queira impedir que os usuários copiem/colem, façam capturas de tela ou encaminhem emails. As políticas de proteção de aplicativo podem bloquear esses recursos em dispositivos que você não gerencia.

    Em dispositivos gerenciados (dispositivos registrados no Intune), você também pode controlar esses recursos usando os perfis de configuração do dispositivo. Os perfis de configuração do dispositivo controlam as configurações no dispositivo, não no aplicativo. Em dispositivos que acessam dados altamente confidenciais ou sigilosos, os perfis de configuração do dispositivo podem impedir atividades de copiar/colar, fazer capturas de tela e muito mais.

Para obter mais informações e considerações, acesse Dispositivos pessoais versus dispositivos de propriedade da organização (neste artigo).

Etapa 2 – Inventário de seus dispositivos

As organizações têm uma variedade de dispositivos, incluindo computadores desktop, laptops, tablets, scanners portáteis e telefones celulares. Esses dispositivos pertencem à organização ou pertencem aos usuários. Ao planejar sua estratégia de gerenciamento de dispositivos, considere tudo o que acessa os recursos da sua organização, incluindo dispositivos pessoais.

Esta seção inclui informações de dispositivo que você deve considerar.

Plataformas compatíveis

O Intune dá suporte às plataformas de dispositivo comuns e populares. Para versões específicas, acesse plataformas com suporte.

✔️ Tarefa: atualizar ou substituir dispositivos mais antigos

Se seus dispositivos usam versões sem suporte, que são principalmente sistemas operacionais mais antigos, então é hora de atualizar o sistema operacional ou substituir os dispositivos. Esses dispositivos e sistemas operacionais mais antigos podem ter suporte limitado e são um risco em potencial à segurança. Essa tarefa inclui computadores desktop que executam o Windows 7, dispositivos iPhone 7 que executam o sistema operacional v10.0 original e assim por diante.

Dispositivos pessoais e dispositivos da organização

Em dispositivos pessoais, é normal e esperado que os usuários marcar email, ingressar em reuniões, atualizar arquivos e muito mais. Muitas organizações permitem que dispositivos pessoais acessem recursos da organização.

BYOD/dispositivos pessoais fazem parte de uma estratégia de MAM (gerenciamento de aplicativos móveis) que:

  • Continua crescendo em popularidade com muitas organizações
  • É uma boa opção para organizações que desejam proteger os dados da organização, mas não querem gerenciar todo o dispositivo
  • Reduz os custos de hardware.
  • Pode aumentar as opções de produtividade móvel para funcionários, incluindo trabalhadores híbridos & remotos
  • Só remove dados da organização de aplicativos, em vez de remover todos os dados do dispositivo

Os dispositivos de propriedade da organização fazem parte de uma estratégia de MDM (gerenciamento de dispositivo móvel) que:

  • Dá controle total aos administradores de TI em sua organização
  • Tem um conjunto avançado de recursos que gerencia aplicativos, dispositivos e usuários
  • É uma boa opção para organizações que desejam gerenciar todo o dispositivo, incluindo hardware e software
  • Pode aumentar os custos de hardware, especialmente se os dispositivos existentes estiverem desatualizados ou não tiverem mais suporte
  • Pode remover todos os dados do dispositivo, incluindo dados pessoais

Captura de tela que compara o gerenciamento de dispositivos móveis e o gerenciamento de aplicativos em dispositivos em Microsoft Intune.

Como uma organização e como administrador, você decide se dispositivos pessoais são permitidos. Se você permitir dispositivos pessoais, precisará tomar decisões importantes, incluindo como proteger os dados da organização.

✔️ Tarefa: determinar como você deseja lidar com dispositivos pessoais

Se ser móvel ou dar suporte a trabalhos remotos é importante para sua organização, considere as seguintes abordagens:

  • Opção 1: permitir que dispositivos pessoais acessem recursos da organização. Os usuários têm a opção de se registrar ou não se registrar.

    • Para usuários que registram seus dispositivos pessoais, os administradores gerenciam totalmente esses dispositivos, incluindo políticas de push, controle de recursos de dispositivo & configurações e até mesmo limpeza de dispositivos. Como administrador, você pode desejar esse controle ou pode achar que o deseja.

      Quando registram seus dispositivos pessoais, os usuários podem não perceber ou compreender que os administradores podem fazer qualquer coisa no dispositivo, incluindo o acidental ou a redefinição acidental do dispositivo. Como administrador, talvez você não queira ter essa obrigação ou impacto potencial sobre dispositivos que não são da organização.

      Além disso, muitos usuários se recusam a se inscrever e podem encontrar outras maneiras de acessar recursos da organização. Por exemplo, você exige que os dispositivos estejam registrados para usar o aplicativo do Outlook para acessar o email da organização. Para ignorar esse requisito, os usuários abrem qualquer navegador da Web no dispositivo e entram no Outlook Web Access, que pode não ser o que você deseja. Ou eles criam capturas de tela e salvam as imagens no dispositivo, o que também não é o que você deseja.

      Se você escolher essa opção, não deixe de educar os usuários sobre os riscos e benefícios de registrar seus dispositivos pessoais.

    • Para usuários que não registram seus dispositivos pessoais, você gerencia o acesso ao aplicativo e protege os dados do aplicativo usando políticas de proteção de aplicativo.

      Use uma instrução Termos e condições com uma política de Acesso Condicional. Se os usuários não concordarem, eles não terão acesso aos aplicativos. Se os usuários concordarem com a instrução, um registro de dispositivo será adicionado a Microsoft Entra ID e o dispositivo se tornará uma entidade conhecida. Quando o dispositivo é conhecido, você pode acompanhar o que está sendo acessado nele.

      Sempre controle o acesso e a segurança usando políticas de aplicativo.

      Examine as tarefas que a organização mais usa, como o email e a participação em reuniões. Use políticas de configuração de aplicativo para configurar configurações específicas do aplicativo, como o Outlook. Use políticas de proteção do aplicativo para controlar a segurança e o acesso a esses aplicativos.

      Por exemplo, os usuários podem usar o aplicativo do Outlook em seus dispositivos pessoais para verificar emails de trabalho. No Intune, os administradores criam uma política de proteção de aplicativo do Outlook. Essa política usa a MFA (autenticação multifator) sempre que o aplicativo Outlook é aberto, impede a cópia e a cola e restringe outros recursos.

  • Opção 2: você deseja que todos os dispositivos sejam totalmente gerenciados. Nesse cenário, todos os dispositivos são registrados no Intune e gerenciados pela organização, incluindo dispositivos pessoais.

    Para ajudar a impor o registro, você pode implantar uma política de AC (Acesso Condicional) que exige que os dispositivos se registrem no Intune. Nesses dispositivos, você também pode:

    • Configure uma conexão WiFi/VPN para conectividade da organização e implante essas políticas de conexão em dispositivos. Os usuários não precisam inserir nenhuma configuração.
    • Se os usuários precisarem de aplicativos específicos em seu dispositivo, implante os aplicativos. Você também pode implantar aplicativos que sua organização exige para fins de segurança, como um aplicativo de defesa contra ameaças móveis.
    • Use políticas de conformidade para definir quaisquer regras que sua organização deve seguir, como regulamentação ou políticas que chamem controles MDM específicos. Por exemplo, você precisa do Intune para criptografar todo o dispositivo ou para produzir um relatório de todos os aplicativos no dispositivo.

    Se você também quiser controlar o hardware, forneça aos usuários todos os dispositivos necessários, incluindo telefones celulares. Invista em um plano de atualização de hardware para que os usuários continuem a ser produtivos e obtenham os recursos de segurança internos mais recentes. Registre esses dispositivos da organização no Intune e gerencie-os usando políticas.

Como melhor prática, sempre presuma que os dados deixarão o dispositivo. Verifique se os seus métodos de acompanhamento e auditoria estão em vigor. Para obter mais informações, consulte Confiança Zero com Microsoft Intune.

Gerenciar computadores desktop

O Intune pode gerenciar computadores desktop que executam o Windows 10 e versões mais recentes. O SO cliente Windows inclui recursos de gerenciamento de dispositivos modernos integrados e remove as dependências na política de grupo local do Active Directory Domain Services (AD). Você obtém os benefícios da nuvem ao criar regras e configurações no Intune e implantar essas políticas em todos os seus dispositivos cliente Windows, incluindo computadores desktop e PCs.

Para obter mais informações, acesse Cenário guiado – Área de Trabalho Moderna gerenciada por nuvem.

Se seus dispositivos Windows forem gerenciados atualmente usando o Gerenciador de Configurações, você ainda poderá registrar esses dispositivos no Intune. Essa abordagem é chamada de cogerenciamento. O cogerenciamento oferece muitos benefícios, incluindo a execução de ações remotas no dispositivo (reinicialização, controle remoto, redefinição de fábrica), o acesso condicional com conformidade do dispositivo e muito mais. Você também pode anexar os dispositivos ao Intune pela nuvem.

Para obter mais informações, confira:

✔️ Tarefa: veja o que você usa atualmente para o gerenciamento de dispositivo móvel

Sua adoção de um gerenciamento de dispositivo móvel pode depender do que sua organização usa atualmente, incluindo se essa solução usa recursos ou programas locais.

O guia de implantação da instalação tem informações úteis.

Algumas considerações:

  • Se você atualmente não usar nenhum serviço de MDM ou solução, ir direto para o Intune pode ser o melhor.

  • Para novos dispositivos não registrados no Configuration Manager (ou em nenhuma solução de MDM), ir direto para o Intune pode ser a melhor opção.

  • Se você usa o Configuration Manager, as opções incluem:

    • Se você deseja manter a infraestrutura existente e mover algumas cargas de trabalho para a nuvem, use o cogerenciamento. Você obtém os benefícios dos dois serviços. Os dispositivos existentes podem receber algumas políticas do Configuration Manager (local) e outras do Intune (nuvem).
    • Se você deseja manter a infraestrutura existente e usar o Intune para ajudar a monitorar os dispositivos locais, use a anexação de locatário. Você obtém o benefício de usar o centro de administração do Intune enquanto ainda usa Configuration Manager para gerenciar dispositivos.
    • Se você desejar uma solução de nuvem pura para gerenciar os dispositivos, vá para o Intune. Os usuários Configuration Manager existentes geralmente preferem continuar usando Configuration Manager com anexação ou cogerenciamento de locatários.

    Para obter mais informações, acesse cargas de trabalho de cogerenciamento.

Dispositivos FLW (trabalho de linha de frente)

Tablets e dispositivos compartilhados são comuns para trabalhadores de linha de frente (FLW). Eles são usados em muitos setores, incluindo varejo, saúde, manufatura e muito mais.

Há opções disponíveis para as diferentes plataformas, incluindo dispositivos android (AOSP) de realidade virtual, dispositivos iPad e PCs de nuvem Windows 365.

✔️ Tarefa: determinar seus cenários FLW

Os dispositivos FLW são de propriedade da organização, registrados no gerenciamento de dispositivos e podem ser usados por um usuário (atribuído pelo usuário) ou por muitos usuários (dispositivos compartilhados). Esses dispositivos são essenciais para que os trabalhadores de linha de frente façam seu trabalho e geralmente são usados em um modo de uso limitado. Por exemplo, um dispositivo é usado para verificar itens ou um tablet é usado para marcar em pacientes em um hospital.

Para obter mais informações, acesse Gerenciamento de dispositivos de trabalho do Frontline em Microsoft Intune.

Etapa 3 – Determinar custos e licenciamento

O gerenciamento de dispositivos é uma relação com diferentes serviços. O Intune inclui as configurações e os recursos que você pode controlar em diferentes dispositivos. Também há outros serviços que desempenham funções fundamentais:

  • Microsoft Entra ID P1 ou P2 inclui vários recursos que são fundamentais para o gerenciamento de dispositivos, incluindo:

    • Windows Autopilot: os dispositivos cliente Windows podem se registrar automaticamente no Intune e receber automaticamente suas políticas.
    • MFA (autenticação multifator): os usuários devem inserir dois ou mais métodos de verificação, como um PIN, um aplicativo autenticador, uma impressão digital e muito mais. O MFA é uma ótima opção ao usar políticas de proteção de aplicativo para dispositivos pessoais e dispositivos de propriedade da organização que exigem segurança extra.
    • Acesso condicional: se usuários e dispositivos seguirem suas regras, como uma senha de 6 dígitos, eles obterão acesso aos recursos da organização. Se não seguirem suas regras, eles não terão acesso.
    • Grupos de usuários dinâmicos e grupos de dispositivos dinâmicos: adicione usuários ou dispositivos automaticamente a grupos quando eles atendem a critérios, como uma cidade, título de trabalho, tipo de sistema operacional, versão do sistema operacional e muito mais.

  • Os aplicativos do Microsoft 365 incluem os aplicativos em que os usuários dependem, incluindo Outlook, Word, SharePoint, Teams, OneDrive e muito mais. Você pode implantar esses aplicativos nos dispositivos usando o Intune.

  • O Microsoft Defender para Ponto de Extremidade ajuda a monitorar e verificar seus dispositivos cliente Windows em busca de atividades mal-intencionado. Você também pode definir um nível de ameaça aceitável. Quando a utiliza em conjunto com o acesso condicional, você pode bloquear o acesso aos recursos da organização quando o nível de ameaça é excedido.

  • O Microsoft Purview classifica e protege documentos e emails aplicando rótulos. Nos aplicativos do Microsoft 365, você pode usar esse serviço para impedir o acesso não autorizado aos dados da organização, incluindo aplicativos em dispositivos pessoais.

Todos esses serviços estão incluídos na licença Microsoft 365 E5.

Para obter mais informações, confira:

✔️ Tarefa: determinar os serviços licenciados que sua organização precisa

Algumas considerações:

  • Se seu objetivo for implantar políticas (regras) e perfis (configurações), sem nenhuma aplicação, no mínimo, você precisará:

    • Intune

    O Intune está disponível com assinaturas diferentes, incluindo como um serviço autônomo. Para obter mais informações, acesse Microsoft Intune licenciamento. O Intune Suite tem recursos avançados de gerenciamento e segurança de ponto de extremidade, como ajuda remota ou Gerenciamento de Privilégios do Ponto de Extremidade. Ele está disponível como uma licença separada.

    Você usa o Configuration Manager e deseja configurar o cogerenciamento para os dispositivos. O Intune já está incluído na licença do Configuration Manager. Se você deseja que o Intune gerencie totalmente novos dispositivos ou dispositivos cogerenciados existentes, precisará de uma licença separada do Intune.

  • Você deseja impor as regras de conformidade ou de senha criadas no Intune. No mínimo, você precisa:

    • Intune
    • Microsoft Entra ID P1 ou P2

    O Intune e Microsoft Entra ID P1 ou P2 estão disponíveis com Enterprise Mobility + Security. Para obter mais informações, acesse Enterprise Mobility + Security opções de preço.

  • Você deseja gerenciar apenas aplicativos do Microsoft 365 em dispositivos. No mínimo, você precisa:

    • Microsoft 365 Básico Mobilidade e Segurança

    Para obter mais informações, confira:

  • Você deseja implantar aplicativos do Microsoft 365 em seus dispositivos e criar políticas para ajudar a proteger dispositivos que executam esses aplicativos. No mínimo, você precisa:

    • Intune
    • Aplicativos Microsoft 365

  • Você deseja criar políticas no Intune, implantar aplicativos do Microsoft 365 e impor suas regras e configurações. No mínimo, você precisa:

    • Intune
    • Aplicativos Microsoft 365
    • Microsoft Entra ID P1 ou P2

    Como todos esses serviços estão incluídos em alguns planos do Microsoft 365, talvez seja econômico usar a licença do Microsoft 365. Para obter mais informações, acesse planos de licenciamento do Microsoft 365.

Etapa 4 – Examinar políticas e infraestrutura existentes

Muitas organizações têm políticas e uma infraestrutura de gerenciamento de dispositivo que são apenas "mantidas". Por exemplo, você pode ter políticas de grupo de 20 anos e não saber o que elas fazem. Ao considerar uma migração para a nuvem, em vez considerar o que você sempre fez, determine qual é a meta.

Com essas metas em mente, crie uma linha de base para suas políticas. Se você tiver várias soluções de gerenciamento de dispositivos, agora pode ser a hora de usar um único serviço de gerenciamento de dispositivo móvel.

✔️ Tarefa: examine as tarefas que você executa no local

Essa tarefa inclui examinar serviços que podem ser movidos para a nuvem. Lembre-se, em vez considerar o que você sempre fez, determine qual é a meta.

Dica

Saiba mais sobre pontos de extremidade nativos da nuvem é um bom recurso.

Algumas considerações:

  • Examine as políticas existentes e sua estrutura. Algumas políticas podem se aplicar globalmente, algumas se aplicam no nível do site e outras são específicas a um dispositivo. A meta é conhecer e entender a intenção das políticas globais, a intenção das políticas locais e assim por diante.

    As políticas de grupo do AD local são aplicadas na ordem LSDOU – local, site, domínio e unidade organizacional (OU). Nessa hierarquia, políticas de UO substituem políticas de domínio, políticas de domínio substituem políticas de site e assim por diante.

    No Intune, as políticas são aplicadas aos usuários e grupos que você criar. Não há uma hierarquia. Se duas políticas atualizarem a mesma configuração, a configuração aparecerá como um conflito. Para obter mais informações sobre o comportamento de conflito, acesse Perguntas comuns, problemas e resoluções com políticas e perfis de dispositivo.

    Ao vir da política de grupo do AD para o Intune e depois de revisar suas políticas, suas políticas globais do AD logicamente começam a se aplicar a grupos que você tem ou grupos de que você precisa. Esses grupos incluem usuários e dispositivos que você deseja direcionar no nível global, no nível do site e assim por diante. Essa tarefa fornece uma ideia da estrutura de grupo que você precisa no Intune.

  • Esteja preparado para criar novas políticas no Intune. O Intune inclui vários recursos que abrangem cenários que podem ser de seu interesse. Alguns exemplos:

    • Linhas de base de segurança: em dispositivos Windows 10/11, as linhas de base de segurança são configurações de segurança pré-configuradas para valores recomendados. Se você é novo em proteger dispositivos ou deseja uma linha de base abrangente, examine as linhas de base de segurança. O insight de configurações fornece confiança nas configurações adicionando insights que organizações semelhantes adotaram com êxito. Os insights estão disponíveis para algumas configurações e não para todas as configurações. Para obter mais informações, consulte Insights de configurações.

    • Modelos administrativos: Em dispositivos Windows 10/11, use modelos ADMX para definir as configurações da política de grupo para o Windows, Internet Explorer, Office e Microsoft Edge versão 77 e posterior. Esses modelos ADMX são os mesmos usados na política de grupo do AD, mas são 100% baseados em nuvem no Intune.

    • Política de Grupo: Use análise de política de grupo para importar e analisar seus GPOs. Esse recurso ajuda você a determinar como seus GPOs se traduzem na nuvem. A saída mostra quais configurações têm suporte nos provedores de MDM, o que inclui o Microsoft Intune. Ela também mostra as configurações preteridas ou configurações não disponíveis para provedores de MDM.

      Você também pode ser capaz de criar uma política do Intune com base em suas configurações importadas. Para obter mais informações, acesse Criar uma política de catálogo de configurações usando seus GPOs importados.

    • Cenários guiados: Os cenários guiados são uma série personalizada de etapas focadas em casos de uso de ponta a ponta. Esses cenários incluem automaticamente políticas, aplicativos, atribuições e outras configurações de gerenciamento.

  • Crie uma linha de base de política que inclua o mínimo de suas metas. Por exemplo:

    • Email seguro: no mínimo, convém:

      • Criar políticas de proteção do aplicativo do Outlook.
      • Habilite o acesso condicional para Exchange Online ou conecte-se a outra solução de email local.

    • Configurações do dispositivo: no mínimo, convém:

      • Exigir um PIN de seis caracteres para desbloquear o dispositivo.
      • Impedir backups em serviços de nuvem pessoais, como o iCloud ou o OneDrive.

    • Perfis de dispositivo: no mínimo, convém:

      • Criar um perfil de Wi-Fi pré-configurado para se conectar à rede sem fio Wi-Fi da Contoso.
      • Criar um perfil de VPN com um certificado para se autenticar automaticamente e se conectar a uma VPN da organização.
      • Crie um perfil de email com as configurações pré-configuradas que se conectam ao Outlook.

    • Aplicativos: no mínimo, convém:

      • Implantar aplicativos do Microsoft 365 com políticas de proteção de aplicativo.
      • Implantar LOB (linha de negócios) com políticas de proteção do aplicativo.

    Para obter mais informações sobre as configurações mínimas recomendadas, acesse:

  • Examine a estrutura atual de seus grupos. No Intune, você pode criar e atribuir políticas a grupos de usuários, grupos de dispositivos e grupos dinâmicos de usuários e dispositivos (requer Microsoft Entra ID P1 ou P2).

    Quando você cria grupos na nuvem, como o Intune ou o Microsoft 365, eles são criados em Microsoft Entra ID. Você pode não ver a Microsoft Entra ID identidade visual, mas é isso que você está usando.

  • Se você tiver várias soluções de gerenciamento de dispositivos, vá para uma única solução de gerenciamento de dispositivo móvel. Recomendamos usar o Intune para ajudar a proteger os dados da organização em aplicativos e em dispositivos.

    Para obter mais informações, acesse Microsoft Intune gerencia identidades com segurança, gerencia aplicativos e gerencia dispositivos.

Etapa 5 – Criar um plano de distribuição

A próxima tarefa é planejar como e quando os usuários e os dispositivos recebem suas políticas. Nesta tarefa, considere também:

  • Defina suas metas e métricas de sucesso. Use esses pontos de dados para criar outras fases da distribuição. Garanta que as metas são SMART (Específicas, Mensuráveis, Atingíveis, Realistas e Oportunas). Planeje uma medição em relação às metas em cada fase para que seu projeto de distribuição permanece no caminho correto.
  • Tenha metas e objetivos claramente definidos. Inclua esses objetivos em todas as atividades de treinamento e reconhecimento para que os usuários entendem o motivo pelo qual a organização escolheu o Intune.

✔️ Tarefa: criar um plano para implementar suas políticas

E escolha como os usuários registram seus dispositivos no Intune. Algumas considerações:

  • Implemente suas políticas em fases. Por exemplo:

    • Comece com um grupo de teste ou piloto. Esses grupos devem saber que são os primeiros usuários e devem estar dispostos a fornecer comentários. Use esses comentários para aprimorar a configuração, a documentação, as notificações e para facilitar para os usuários em uma distribuição futura. Esses usuários não devem ser executivos nem VIPs.

      Após os testes iniciais, adicione mais usuários ao grupo piloto. Ou crie mais grupos piloto concentrados em uma distribuição diferente, por exemplo:

      • Departmentos: Cada departamento pode ser uma fase de distribuição. Você pode direcionar todo o departamento de uma só vez. Nessa distribuição, os usuários de cada departamento podem usar os dispositivos da mesma maneira e acessar os mesmos aplicativos. Os usuários provavelmente têm os mesmos tipos de políticas.

      • Geografia: Implante suas políticas para todos os usuários em uma geografia específica, seja no mesmo continente, país/região ou mesmo prédio da organização. Essa distribuição permite se concentrar na localização específica de usuários. Você pode oferecer uma abordagem com o Windows Autopilot para implantação pré-provisionada, pois o número de locais implantando o Intune ao mesmo tempo é menor. Há chances de ter departamentos ou casos de uso diferentes na mesma localização. Assim, você pode estar testando diferentes casos de uso simultaneamente.

      • Plataforma: essa distribuição implanta plataformas semelhantes ao mesmo tempo. Por exemplo, implante políticas para todos os dispositivos iOS/iPadOS em fevereiro, todos os dispositivos Android em março e todos os dispositivos Windows em abril. Essa abordagem pode simplificar o trabalho do suporte técnico, pois eles só dão suporte a uma plataforma por vez.

      Usando uma abordagem em etapas, você pode obter comentários de uma ampla variedade de tipos de usuários.

    • Após um piloto bem-sucedido, você estará pronto para iniciar uma distribuição de produção completa. O seguinte exemplo é um plano de distribuição do Intune que inclui grupos de destino e linhas do tempo:

    Fase de distribuição Julho Agosto Setembro Outubro
    Piloto Limitado TI (50 usuários)
    Piloto Expandido TI (200 usuários), Executivos de TI (10 usuários)
    Fase 1 da distribuição de produção Vendas e Marketing (2.000 usuários)
    Fase 2 da distribuição de produção Varejo (1.000 usuários)
    Fase 3 da distribuição de produção RH (50 usuários), Finanças (40 usuários), Executivos (30 usuários)

    Esse modelo também está disponível para download em Planejamento, design e implementação da implantação do Intune – Modelos de tabela.

  • Escolha como os usuários registrarão seus dispositivos pessoais e de propriedade da organização. Você pode adotar diferentes abordagens de registro, incluindo:

    • Autoatendimento do usuário: Os usuários registram seus próprios dispositivos seguindo as etapas fornecidas pela organização de TI. Essa abordagem é a mais comum e é mais escalonável do que o registro assistido pelo usuário.
    • Registro assistido pelo usuário: nesta abordagem de implantação pré-provisionada, um membro de TI ajuda os usuários no processo de registro pessoalmente ou usando o Teams. Essa abordagem é mais comum com a equipe executiva e com outros grupos que podem precisar de mais assistência.
    • Feira de tecnologia de TI: Neste evento, o grupo de TI configura um estande de assistência de registro do Intune. Os usuários recebem informações sobre o registro do Intune, fazem perguntas e obtêm ajuda para registrar os dispositivos. Essa opção é útil para o grupo de TI e os usuários, especialmente durante as fases iniciais da distribuição do Intune.

    O seguinte exemplo inclui as abordagens de registro:

    Fase de distribuição Julho Agosto Setembro Outubro
    Piloto Limitado
    Autoatendimento IT
    Piloto Expandido
    Autoatendimento IT
    Pré-provisionado Executivos de TI
    Fase 1 da distribuição de produção Vendas, Marketing
    Autoatendimento Vendas e Marketing
    Fase 2 da distribuição de produção Varejo
    Autoatendimento Varejo
    Fase 3 da distribuição de produção Executivos, RH, finanças
    Autoatendimento RH, Finanças
    Pré-provisionado Executivos

    Para obter mais informações sobre os diferentes métodos de registro de cada plataforma, acesse Diretrizes de implantação: Registrar dispositivos em Microsoft Intune.

Etapa 6 – Comunicar alterações

O gerenciamento de alterações depende de comunicações claras e úteis sobre as alterações futuras. A ideia é ter uma implantação suave do Intune e conscientizar os usuários sobre as alterações & qualquer interrupção.

✔️ Tarefa: seu plano de comunicação de distribuição deve incluir informações importantes

Essas informações devem incluir como notificar os usuários e quando se comunicar. Algumas considerações:

  • Determine quais informações se comunicar. Comunique-se em fases com os grupos e os usuários, começando pelo início da distribuição do Intune, passando pelo pré-registro e chegado ao pós-registro:

    • Fase inicial: Comunicação ampla que introduz o projeto do Intune. Ela deve responder as perguntas principais, como:

      • O que é o Intune?
      • Por que a organização está usando o Intune, incluindo os benefícios para a organização e para os usuários
      • Forneça um plano de alto nível da implantação e da distribuição.
      • Se dispositivos pessoais não forem permitidos a menos que os dispositivos sejam registrados, explique por que você tomou a decisão.

    • Fase de pré-registro: comunicação ampla que inclui informações sobre o Intune e outros serviços (como Office, Outlook e OneDrive), recursos de usuário e linhas do tempo específicas quando usuários e grupos se registrarão no Intune.

    • Fase de registro: a comunicação tem como destino usuários e grupos da organização que estão agendados para se registrar no Intune. Ele deve informar aos usuários que eles estão prontos para se inscrever, incluir etapas de registro e quem entrar em contato para obter ajuda e perguntas.

    • Fase pós-registro: a comunicação tem como destino usuários da organização e grupos que se registraram no Intune. Ele deve fornecer mais recursos que possam ser úteis para os usuários e coletar comentários sobre sua experiência durante e após o registro.

  • Escolha como se comunicar As informações de distribuição do Intune para seus grupos e usuários de destino. Por exemplo:

    • Crie uma reunião presencial com toda a organização ou use o Microsoft Teams.

    • Crie um email para o pré-registro, um email para o registro e um email para o pós-registro. Por exemplo:

      • Email 1: Explique os benefícios, as expectativas e o agendamento. Aproveite essa oportunidade para demonstrar outros serviços cujo acesso será concedido em dispositivos gerenciados pelo Intune.
      • Email 2: Anuncie que os serviços agora estão prontos para acesso por meio do Intune. Diga aos usuários para se registrarem agora. Dê aos usuários uma linha de tempo antes que o acesso seja afetado. Lembre os usuários dos benefícios e motivos estratégicos para a migração.

    • Use um site da organização que explique as fases de distribuição, o que os usuários podem esperar e com quem entrar em contato para obter ajuda.

    • Crie cartazes, use plataformas de mídia social da organização (como Microsoft Viva Engage) ou distribua panfletos para anunciar a fase de pré-registro.

  • Crie um linha do tempo que inclua quando e quem. As primeiras comunicações iniciais sobre o Intune podem ser voltadas para toda a organização ou apenas para um subconjunto. Elas podem ocorrer ao longo de várias semanas antes do início da distribuição do Intune. Depois disso, as informações poderão ser comunicadas em fases para os grupos e usuários, alinhado com sua agenda de distribuição do Intune.

    O seguinte exemplo é um plano de comunicação de distribuição do Intune de alto nível:

    Plano de comunicação Julho Agosto Setembro Outubro
    Fase 1 Tudo
    Reunião inicial Primeira semana
    Fase 2 IT Vendas e Marketing Varejo RH, Finanças e Executivos
    Email Pré-distribuição 1 Primeira semana Primeira semana Primeira semana Primeira semana
    Fase 3 IT Vendas e Marketing Varejo RH, Finanças e Executivos
    Email Pré-distribuição 2 Segunda semana Segunda semana Segunda semana Segunda semana
    Fase 4 IT Vendas e Marketing Varejo RH, Finanças e Executivos
    Email de registro Terceira semana Terceira semana Terceira semana Terceira semana
    Fase 5 IT Vendas e Marketing Varejo RH, Finanças e Executivos
    Email pós-registro Quarta semana Quarta semana Quarta semana Quarta semana

Etapa 7 – Suporte para auxiliares e usuários finais

Inclua o suporte de TI e o suporte técnico nos estágios iniciais do planejamento de implantação do Intune e dos esforços piloto. O envolvimento antecipado expõe a equipe de suporte ao Intune e eles adquirem conhecimento e experiência com a identificação e a resolução de problemas com mais eficiência. Ele também os prepara para dar suporte à distribuição de produção completa na organização. Equipes de suporte e suporte técnico experientes também ajudam os usuários a adotar essas alterações.

✔️ Tarefa: treinar suas equipes de suporte

Valide a experiência do usuário final com as métricas de sucesso em seu plano de implantação. Algumas considerações:

  • Determine quem dará suporte aos usuários finais. As organizações podem ter diferentes camadas ou níveis (1-3). Por exemplo, as camadas 1 e 2 podem fazer parte da equipe de suporte. A camada 3 inclui membros da equipe de MDM responsáveis pela implantação do Intune.

    A camada 1 normalmente é o primeiro nível de suporte e a primeira camada a ser contatada. Se a camada 1 não puder resolver o problema, ela o escalará para a camada 2. A camada 2 o escalará para a camada 3. O Suporte da Microsoft pode ser considerado como a camada 4.

    • Nas fases de distribuição iniciais, certifique-se de que todas as camadas de sua equipe de suporte documentam problemas e resoluções. Busque padrões e ajuste as comunicações para a próxima fase de distribuição. Por exemplo:
      • Se usuários ou grupos diferentes estiverem hesitantes quanto ao registro de dispositivos pessoais, considere fazer uma chamada do Teams para responder a perguntas comuns.
      • Se os usuários apresentarem os mesmos problemas para registrar dispositivos da organização, promova um evento presencial para ajudá-los a registrar os dispositivos.

  • Crie um fluxo de trabalho do help desk e comunique constantemente problemas de suporte, tendências e outras informações importantes para todas as camadas da equipe de suporte. Por exemplo, faça reuniões diárias ou semanais no Teams para que todas as camadas estejam cientes das tendências e dos padrões e possam obter ajuda.

    O seguinte exemplo mostra como a Contoso implementa seus fluxos de trabalho de suporte de TI ou suporte técnico:

    1. O usuário final contata a camada 1 de suporte de TI ou assistência técnica com um problema de registro.
    2. A camada 1 de suporte de TI ou suporte técnico não consegue determinar a causa raiz e escala para a camada 2.
    3. A camada 2 de suporte de TI ou suporte técnico investiga. A camada 2 não pode resolver o problema e o escala para a camada 3 e fornece informações adicionais para ajudar com o problema.
    4. A camada 3 de suporte técnico ou de TI investiga, determina a causa raiz e comunica a resolução para as camadas 1 e 2.
    5. Em seguida, a camada 1 de suporte de TI/suporte técnico contata os usuários e resolve o problema.

    Essa abordagem, especialmente nos estágios iniciais da distribuição do Intune, traz várias vantagens, incluindo:

    • Ajudar a aprender a tecnologia
    • Identificar rapidamente problemas e resolução
    • Melhorar a experiência geral do usuário

  • Treine sua central de ajuda e equipes de suporte. Faça com que eles registrem dispositivos que executam as diferentes plataformas usadas em sua organização para que eles estejam familiarizados com o processo. Considere usar as equipes de suporte e suporte técnico como um grupo piloto para seus cenários.

    Há recursos de treinamento disponíveis, incluindo vídeos do YouTube, tutoriais da Microsoft sobre cenários do Windows Autopilot, conformidade, configuração e cursos por meio de parceiros de treinamento.

    O seguinte exemplo é uma agenda de treinamento de suporte do Intune:

    • Análise do plano de suporte do Intune
    • Visão geral do Intune
    • Solução de problemas comuns
    • Ferramentas e recursos
    • Perguntas e Respostas

O fórum do Intune baseado na comunidade e a documentação do usuário final também são ótimos recursos.

Próximas etapas