Proteger dados e dispositivos com o Microsoft Intune
Microsoft Intune pode ajudá-lo a manter seus dispositivos gerenciados seguros e atualizados, ajudando você a proteger os dados da sua organização contra dispositivos comprometidos. A proteção de dados inclui controlar o que os usuários fazem com os dados de uma organização em dispositivos gerenciados e não gerenciados. A proteção de dados também se estende ao bloqueio de acesso a dados de dispositivos que podem estar comprometidos.
Este artigo destaca muitas das funcionalidades internas do Intune e tecnologias de parceiros que você pode integrar ao Intune. Ao saber mais sobre eles, você poderá reunir vários para obter soluções mais abrangentes em sua jornada em direção a um ambiente de confiança zero.
No centro de administração Microsoft Intune, o Intune dá suporte a dispositivos gerenciados que executam Android, iOS/iPad, Linux, macOS e Windows 10 e Windows 11.
Ao usar o Configuration Manager para gerenciar dispositivos locais, você pode estender as políticas do Intune para esses dispositivos configurando a anexação de locatário ou o cogerenciamento.
O Intune também pode trabalhar com informações de dispositivos que você gerencia com produtos de terceiros que fornecem a conformidade do dispositivo e a proteção contra ameaças móveis.
Proteger dispositivos por meio de políticas
Implante as políticas de segurança do ponto de extremidade, configuração de dispositivo e conformidade do dispositivo do Intune para configurar dispositivos para atender às metas de segurança de suas organizações. As políticas dão suporte a um ou mais perfis, que são os conjuntos discretos de regras específicas da plataforma que você implanta em grupos de dispositivos registrados.
Com políticas de segurança de ponto de extremidade, implante políticas focadas em segurança projetadas para ajudá-lo a se concentrar na segurança de seus dispositivos e reduzir o risco. As tarefas disponíveis podem ajudá-lo a identificar dispositivos em risco, corrigir esses dispositivos e restaurá-los em um estado compatível ou mais seguro.
Com as políticas de configuração de dispositivo, gerencie perfis que definem as configurações e os recursos que os dispositivos usam em sua organização. Configurar dispositivos para proteção de ponto de extremidade, provisionar certificados para autenticação, definir comportamentos de atualização de software e muito mais.
Com as políticas de conformidade do dispositivo, você cria perfis para diferentes plataformas de dispositivo que estabelecem requisitos de dispositivo. Os requisitos podem incluir versões de sistema operacional, o uso de criptografia de disco ou estar em níveis de ameaça específicos, conforme definido pelo software de gerenciamento de ameaças.
O Intune pode proteger dispositivos que não estão em conformidade com suas políticas e alertar o usuário do dispositivo para que ele possa colocar o dispositivo em conformidade.
Ao adicionar o Acesso Condicional ao mix, configure políticas que permitem que apenas dispositivos compatíveis acessem os recursos da sua rede e da organização. As restrições de acesso podem incluir compartilhamentos de arquivos e o email da empresa. As políticas de Acesso Condicional também funcionam com os dados de estado do dispositivo relatados por parceiros de conformidade do dispositivo de terceiros que você integra ao Intune.
A seguir estão algumas das configurações de segurança e tarefas que você pode gerenciar por meio de políticas disponíveis:
Criptografia de dispositivo – gerencie o BitLocker em dispositivos Windows 10 e o FileVault em dispositivos macOS.
Métodos de autenticação – configure como seus dispositivos se autenticam para os recursos, email e aplicativos da sua organização.
Use certificados para autenticação em aplicativos, recursos da sua organização e para assinatura e criptografia de email usando S/MIME. Você também pode configurar credenciais derivadas quando seu ambiente exigir o uso de cartões inteligentes.
Defina configurações que ajudem a limitar o risco, como:
- Exigir MFA (autenticação multifator) para adicionar uma camada extra de autenticação para os usuários.
- Definir requisitos de PIN e senha que devem ser atendidos antes de obter acesso aos recursos.
- Habilitar o Windows Hello para Empresas para dispositivos Windows 10.
VPNs (redes virtuais privadas) – Com perfis VPN, atribua configurações de VPN a dispositivos para que eles possam se conectar facilmente à rede da sua organização. O Intune dá suporte a vários tipos de conexão VPN e aplicativos que incluem recursos internos para algumas plataformas e aplicativos VPN de primeiro e terceiros para dispositivos.
Atualizações de software – gerencie como e quando os dispositivos devem receber atualizações de software. Há suporte para o seguinte:
- Atualizações de firmware do Android:
- FOTA (Firmware Over-the-Air) – Com suporte de alguns OEMs, você pode usar o FOTA para atualizar remotamente o firmware dos dispositivos.
- Lg OTA (Zebra LifeGuard Over-the-Air) – Gerenciar atualizações de firmware para dispositivos Zebra com suporte por meio do centro de administração do Intune.
- iOS – Gerenciar versões do sistema operacional do dispositivo e quando os dispositivos marcar para e instalar atualizações.
- macOS – Gerenciar atualizações de software para dispositivos macOS registrados como dispositivos supervisionados.
- Windows 10, você pode gerenciar a experiência de Windows Update para dispositivos. Você pode configurar quando os dispositivos examinam ou instalam atualizações, manter um conjunto de dispositivos gerenciados em versões de recursos específicas e muito mais.
- Atualizações de firmware do Android:
Linhas de base de segurança – implante linhas de base de segurança para estabelecer uma postura de segurança principal em seus dispositivos Windows 10. As linhas de base de segurança são grupos pré-configurados de configurações do Windows que são recomendadas pelas equipes de produtos relevantes. Você pode usar as linhas de base como foram fornecidas ou editar instâncias delas para atender às metas de segurança para grupos de dispositivos de destino.
Proteger dados por meio de políticas
Os aplicativos gerenciados pelo Intune e as políticas de proteção de aplicativo do Intune podem ajudar a interromper vazamentos de dados e manter os dados da sua organização seguros. Essas proteções podem ser aplicadas a dispositivos registrados com o Intune e a dispositivos que não estão.
Aplicativos gerenciados pelo Intune (ou aplicativos gerenciados, para abreviar), são aplicativos que foram integrados com o Intune App SDK ou encapsulados pelo App Wrapping Tool do Intune. Estes aplicativos podem ser gerenciados por meio das políticas de proteção de aplicativo do Intune. Para exibir uma lista de aplicativos gerenciados publicamente disponíveis, confira aplicativos protegidos do Intune.
Os usuários podem usar aplicativos gerenciados para trabalhar com os dados da sua organização e seus próprios dados pessoais. No entanto, quando as políticas de proteção de aplicativo exigem o uso de um aplicativo gerenciado, o aplicativo gerenciado é o único aplicativo que pode ser usado para acessar os dados da sua organização. Proteção de aplicativos regras não se aplicam aos dados pessoais de um usuário.
Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. As regras identificam o aplicativo gerenciado que deve ser usado e definem o que pode ser feito com os dados enquanto o aplicativo está em uso.
Veja os seguintes exemplos de proteções e restrições que podem ser definidas com as políticas de proteção de aplicativo e os aplicativos gerenciados:
- Configure proteções de camada de aplicativo, como exigir um PIN para abrir um aplicativo em um contexto de trabalho.
- Controlar o compartilhamento de dados de uma organização entre aplicativos em um dispositivo, como bloquear cópia e colar ou capturas de tela.
- Evite a salvação dos dados da sua organização em locais de armazenamento pessoal.
Usar ações de dispositivo para proteger dispositivos e dados
No centro de administração Microsoft Intune, você pode executar ações de dispositivo que ajudam a manter um dispositivo selecionado protegido. Você pode executar um subconjunto dessas ações como ações de dispositivo em massa para afetar vários dispositivos ao mesmo tempo. E várias ações remotas do Intune também podem ser usadas com dispositivos co-gerenciados.
As ações de dispositivo não são políticas e entrarão em vigor uma única vez quando invocadas. Elas serão aplicadas imediatamente se o dispositivo estiver acessível online ou da próxima vez que o dispositivo for inicializado ou fizer check-in no Intune. Essas ações são consideradas complementares ao uso de políticas que configuram e mantêm configurações de segurança para uma população de dispositivos.
Veja os seguintes exemplos de ações que você pode executar para ajudar a proteger dispositivos e dados:
Dispositivos gerenciados pelo Intune:
- Rotação da chave do BitLocker (somente Windows)
- Desabilitar o bloqueio de ativação (somente iOS)
- Verificação Completa ou Rápida (somente Windows 10)
- Bloqueio remoto
- Retire (que remove os dados da sua organização do dispositivo, deixando os dados pessoais intactos)
- Atualizar a Inteligência de Segurança do Microsoft Defender
- Apagar (redefinir o dispositivo para as configurações de fábrica, removendo todos os dados, aplicativos e configurações)
Dispositivos gerenciados pelo Configuration Manager:
- Desativar
- Revelar
- Sincronizar (forçar um dispositivo a fazer check-in imediatamente com o Intune para encontrar novas políticas ou ações pendentes)
Integrar com outros produtos e tecnologias de parceiros
O Intune dá suporte à integração com aplicativos de parceiros de fontes internas e de terceiros, que se expandem em seus recursos integrados. Você também pode integrar o Intune a várias tecnologias da Microsoft.
Parceiros de conformidade
Saiba mais sobre como usar parceiros de conformidade do dispositivo com o Intune. Ao gerenciar um dispositivo com um parceiro de gerenciamento de dispositivo móvel diferente do Intune, você pode integrar esses dados de conformidade com Microsoft Entra ID. Quando integradas, as políticas de Acesso Condicional podem usar os dados de parceiro junto com os dados de conformidade do Intune.
Gerenciador de Configurações
Você pode usar muitas políticas e ações de dispositivo do Intune para proteger os dispositivos que gerencia com o Configuration Manager. Para dar suporte a esses dispositivos, configure o cogerenciamento ou a anexação de locatário. Você também pode usar ambos junto com o Intune.
Com o cogerenciamento, você pode gerenciar simultaneamente um dispositivo Windows 10 com Configuration Manager e Intune. Você instala o cliente do Configuration Manager e registra o dispositivo no Intune. O dispositivo se comunica com ambos os serviços.
Com a anexação do locatário, você configura a sincronização entre seu site Configuration Manager e seu locatário do Intune. Essa sincronização fornece uma única exibição para todos os dispositivos que você gerencia com Microsoft Intune.
Depois que uma conexão entre o Intune e Configuration Manager for estabelecida, os dispositivos de Configuration Manager estarão disponíveis no centro de administração Microsoft Intune. Em seguida, você pode implantar políticas do Intune nesses dispositivos ou usar ações de dispositivo para protegê-los.
Algumas das proteções que você pode aplicar incluem:
- Implantar certificados em dispositivos usando o Protocolo SCEP do Intune ou os perfis de certificados de par de chaves públicas e privadas (PKCS).
- Usar a política de conformidade.
- Usar políticas de segurança de ponto de extremidade, como Antivírus, Detecção de ponto de extremidade e resposta e regras de Firewall.
- Aplicar linhas de base de segurança.
- Gerenciar as Atualizações do Windows.
Aplicativos de defesa contra ameaças móveis
Os aplicativos MTD (Defesa Contra Ameaças Móveis) examinam e analisam ativamente os dispositivos em busca de ameaças. Ao integrar (conectar) aplicativos de Defesa Contra Ameaças Móveis com o Intune, você obterá a avaliação de aplicativos de um nível de ameaça de dispositivos. A avaliação de uma ameaça ou nível de risco de dispositivo é uma ferramenta importante para proteger os recursos da sua organização contra dispositivos móveis comprometidos. Em seguida, você pode usar esse nível de ameaça em várias políticas, como políticas de acesso condicional, para ajudar a acessar esses recursos.
Use dados em nível de ameaça com políticas de conformidade do dispositivo, proteção de aplicativo e Acesso Condicional. Essas políticas usam os dados para ajudar a impedir que dispositivos não compatíveis acessem os recursos da sua organização.
Com um aplicativo MTD integrado:
Para dispositivos registrados:
- Use o Intune para implantar e gerenciar o aplicativo MTD em dispositivos.
- Implante políticas de conformidade do dispositivo que usam o nível de ameaça relatado pelos dispositivos para avaliar a conformidade.
- Defina políticas de Acesso Condicional que consideram um nível de ameaça de dispositivos.
- Defina as políticas de proteção de aplicativo para determinar quando bloquear ou permitir o acesso a dados, com base no nível de ameaça do dispositivo.
Para dispositivos que não se registram com o Intune , mas executam um aplicativo MTD que se integra ao Intune, use seus dados de nível de ameaça com suas políticas de proteção de aplicativo para ajudar a bloquear o acesso aos dados da sua organização.
O Intune dá suporte à integração com:
- Vários parceiros de MTD de terceiros.
- Microsoft Defender para Ponto de Extremidade, que dá suporte a recursos extras com o Intune.
Microsoft Defender para Ponto de Extremidade
Por si só, o Microsoft Defender para Ponto de Extremidade oferece vários benefícios voltados para a segurança. O Microsoft Defender para Ponto de Extremidade também se integra ao Intune e é compatível com várias plataformas de dispositivo. Com a integração, você ganha um aplicativo de defesa contra ameaças móveis e adiciona recursos ao Intune para manter os dados e os dispositivos seguros. Esses recursos incluem:
Suporte para o Microsoft Tunnel: em dispositivos Android, o Microsoft Defender para Ponto de Extremidade é o aplicativo cliente que você usa com o Microsoft Tunnel, uma solução de gateway de VPN para o Intune. Quando usado como o aplicativo cliente do Microsoft Tunnel, você não precisa de uma assinatura para Microsoft Defender para Ponto de Extremidade.
Tarefas de segurança – com as tarefas de segurança, os administradores do Intune podem aproveitar os recursos de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Como funciona:
- Sua equipe do Defender para Ponto de Extremidade identifica os dispositivos em risco e cria as tarefas de segurança para o Intune na central de segurança do Defender para Ponto de Extremidade.
- Essas tarefas aparecem no Intune com conselhos de mitigação que os administradores do Intune podem usar para mitigar o risco.
- Quando uma tarefa é resolvida no Intune, esse status é repassado para a central de segurança do Defender para Ponto de Extremidade, na qual os resultados da mitigação podem ser avaliados.
Políticas de segurança de Ponto de Extremidade – as políticas de segurança de ponto de extremidade do Intune a seguir exigem integração com o Microsoft Defender para Ponto de Extremidade. Ao usar a anexação de locatário, você pode implantar essas políticas em dispositivos que gerencia com o Intune ou com o Configuration Manager.
Política antivírus – Gerenciar as configurações para Microsoft Defender Antivírus e a experiência Segurança do Windows em dispositivos com suporte, como Windows 10 e macOS.
Política de detecção e resposta de ponto de extremidade – use essa política para configurar a EDR (detecção e resposta de ponto de extremidade), que é um recurso do Microsoft Defender para Ponto de Extremidade.
Acesso Condicional
O Acesso Condicional é um recurso Microsoft Entra que funciona com o Intune para ajudar a proteger dispositivos. Para dispositivos que se registram com Microsoft Entra ID, as políticas de Acesso Condicional podem usar detalhes de conformidade e dispositivo do Intune para impor decisões de acesso para usuários e dispositivos.
Combinar política de Acesso Condicional com:
As políticas de conformidade do dispositivo podem exigir que um dispositivo seja marcado como compatível antes que esse dispositivo possa ser usado para acessar os recursos da sua organização. A política de Acesso Condicional especifica os aplicativos ou serviços que você quer proteger, as condições sob as quais os aplicativos ou serviços podem ser acessados e os usuários aos quais a política se aplica.
Proteção de aplicativos políticas podem adicionar uma camada de segurança que garante que apenas aplicativos cliente que dão suporte a políticas de proteção de aplicativo do Intune possam acessar seus recursos online, como o Exchange ou outros serviços do Microsoft 365.
O Acesso Condicional também funciona com os seguintes para ajudar a manter os dispositivos seguros:
- Microsoft Defender para Ponto de Extremidade e aplicativos MTD de terceiros
- Aplicativos de parceiro de conformidade do dispositivo
- Microsoft Tunnel
Adicionar gerenciamento de privilégios de ponto de extremidade
O EPM (Endpoint Privilege Management) permite que você execute seus usuários do Windows como usuários padrão, elevando privilégios somente quando necessário, conforme projetado por regras organizacionais e parâmetros definidos pela sua organização. Esse design dá suporte à aplicação do acesso de privilégio mínimo, um locatário principal de uma arquitetura de segurança Confiança Zero. O EPM permite que as equipes de TI gerenciem usuários padrão com mais eficiência e limitem sua superfície de ataque permitindo apenas que os funcionários executem como administradores para aplicativos ou tarefas específicas aprovadas.
As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.
Ao implantar regras de elevação do EPM que você define, você pode permitir que apenas os aplicativos de sua confiança sejam executados no contexto elevado. Por exemplo, suas regras podem exigir uma correspondência de hash de arquivo ou a presença de um certificado para validar a integridade dos arquivos antes de serem executadas em um dispositivo.
Dica
O Endpoint Privilege Management está disponível como um complemento do Intune que requer uma licença adicional a ser usada e dá suporte a dispositivos Windows 10 e Windows 11.
Para obter mais informações, confira Gerenciamento de Privilégios do Ponto de Extremidade.
Próximas etapas
Planeje usar os recursos do Intune para dar suporte à sua jornada em direção a um ambiente com confiança zero, protegendo seus dados e dispositivos. Além dos links embutidos anteriores para saber mais sobre esses recursos, confira segurança e compartilhamento de dados no Intune.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de