Saiba mais sobre o gerenciamento de políticas baseadas em grupos

4 minutos

Gerencie atribuições de dispositivos, aplicativos e políticas baseadas em grupos de usuários ou dispositivos.

Você pode adicionar os seguintes tipos de grupos:

Grupos atribuídos: adicione usuários ou dispositivos manualmente a um grupo estático.
Grupos dinâmicos (exigem o Microsoft Entra ID P1 ou P2). Adicione automaticamente usuários ou dispositivos a grupos de usuários ou grupos de dispositivos com base em uma expressão que você cria.

Dispositivos

Para facilitar o gerenciamento de dispositivos, você pode usar as categorias de dispositivo Microsoft Intune para adicionar automaticamente os dispositivos a grupos com base em categorias definidas por você.

Categorias de dispositivo usam o seguinte fluxo de trabalho:

Crie categorias para os usuários escolherem quando registrarem os dispositivos.
Quando os usuários de dispositivos iOS/iPadOS e Android registram um dispositivo, eles precisam escolher uma categoria na lista de categorias configurada por você. Para atribuir uma categoria a um dispositivo Windows, os usuários devem usar o site Portal da Empresa.
Depois, é possível implantar políticas e aplicativos nesses grupos.

Você pode criar quaisquer categorias de dispositivo que desejar. Por exemplo:

Dispositivo de ponto de venda
Dispositivo de demonstração
Sales
Contabilidade
Gerente

Depois que o dispositivo é registrado, ele se torna gerenciado. Sua organização pode atribuir políticas e aplicativos ao dispositivo por meio de um provedor de MDM (gerenciamento de dispositivo móvel), como o Intune.

Aplicativos

Depois de adicionar um aplicativo no Microsoft Intune, é possível atribuí-lo a usuários e dispositivos. É importante observar que você pode atribuir um aplicativo a um dispositivo, independentemente de o dispositivo ser gerenciado pelo Intune ou não.

No Intune, você pode determinar quem tem acesso a um aplicativo atribuindo grupos de usuários para incluir ou excluir. Antes de atribuir grupos ao aplicativo, é necessário definir o tipo de atribuição de um aplicativo. O tipo de atribuição torna o aplicativo disponível, necessário ou desinstala o aplicativo.

Para definir a disponibilidade de um aplicativo, você deverá incluir e excluir atribuições de aplicativo a um grupo de usuários ou dispositivos usando uma combinação de atribuições de grupo de inclusão e exclusão. Essa capacidade é útil quando você disponibiliza o aplicativo por meio da inclusão de um grande grupo e, em seguida, restringe os usuários selecionados por meio da exclusão de um grupo menor. O grupo menor pode ser um grupo de teste ou executivo.

Como melhor prática, crie e atribua aplicativos especificamente para os grupos de usuários e separadamente para os grupos de dispositivos.

Por exemplo, quando você adiciona um usuário com o cargo Gerente, ele é adicionado automaticamente a um grupo de usuários Todos os gerentes. Quando o tipo de sistema operacional do dispositivo é iOS/iPadOS, o dispositivo é adicionado automaticamente a um grupo Todos os dispositivos iOS/iPadOS.

Depois de atribuir um aplicativo a um grupo no Intune, você pode atribuir políticas para o aplicativo a usuários ou dispositivos.

Políticas

Você pode atribuir políticas a grupos por meio do Intune. Ao atribuir políticas, você pode escolher quem será incluído e excluído.

Grupos de usuários X grupos de dispositivos

Muitos usuários perguntam quando devem usar grupos de usuários e quando devem usar grupos de dispositivos. A resposta depende da sua meta. Confira algumas diretrizes para começar:

Grupos de dispositivos

Caso você deseje aplicar as configurações em um dispositivo, independentemente de quem estiver conectado, atribua seus perfis a um grupo de dispositivos. As configurações aplicadas aos grupos de dispositivos sempre acompanham o dispositivo, não o usuário. Os grupos de dispositivos costumam ser usados para os dispositivos compartilhados e especializados.

Por exemplo:

Os grupos de dispositivos são úteis para gerenciar dispositivos sem um usuário dedicado. Por exemplo, você tem dispositivos que imprimem tíquetes, verificam inventários, são compartilhados por operadores de turno, são atribuídos a um depósito específico e assim por diante. Coloque esses dispositivos em um grupo de dispositivos e atribua seus perfis a ele.
Crie um perfil do Intune para a DFCI (Interface de Configuração de Firmware do Dispositivo) que atualiza as configurações no BIOS. Por exemplo, configure esse perfil para desabilitar a câmera do dispositivo ou bloquear as opções de inicialização a fim de impedir que os usuários inicializem outro sistema operacional. Este perfil é um bom cenário para ser atribuído a um grupo de dispositivos.
Em alguns dispositivos Windows específicos, você sempre deseja controlar algumas configurações do Microsoft Edge, independentemente de quem usa o dispositivo. Por exemplo, você deseja bloquear todos os downloads, limitar todos os cookies para a sessão de navegação atual e excluir o histórico de navegação. Para esse cenário, coloque esses dispositivos Windows específicos em um grupo de dispositivos e crie um Modelo Administrativo no Intune, adicione essas configurações de dispositivo e atribua esse perfil ao grupo de dispositivos.

Para resumir, use grupos de dispositivos quando você não se importa com quem está conectado no dispositivo ou se alguém está conectado. Você quer que essas configurações sempre estejam no dispositivo.

Grupos de usuários

As configurações de perfis aplicadas a grupos de usuários sempre acompanham o usuário quando ele entra em seus vários dispositivos. É normal que os usuários tenham muitos dispositivos, como um Surface Pro para trabalhar e um dispositivo iOS/iPadOS pessoal. É normal também que a pessoa acesse o email e outros recursos da organização nesses dispositivos. Normalmente, os grupos de usuários são usados para trabalhadores do conhecimento e da informação.