Introdução ao Microsoft Endpoint Manager

Como parte da sua licença do Microsoft 365, sua empresa provavelmente adotará o Microsoft Endpoint Manager, que reúne o Microsoft Intune, Configuration Manager, Análise de Área de Trabalho, co-gerenciamento e o Windows Autopilot em uma plataforma unificada para ajudar a proteger e gerenciar os dispositivos e aplicativos da sua organização.

Uma arquitetura global de serviço de nuvem

O Microsoft Intune foi arquitetado a partir da nuvem e para a nuvem e está intimamente ligado ao Azure Active Directory (Azure AD). O Intune se integra ao Azure AD e às políticas de Acesso Condicional (CA) para ajudá-lo a gerenciar o acesso aos aplicativos e dispositivos da sua organização e proteger e isolar os dados corporativos. O Intune aprimora o CA com conformidade baseada em dispositivo e também pode receber sinais de risco do Microsoft Defender para Ponto de Extremidade, bem como aplicativos de defesa contra ameaças móveis (MTD). O Intune também se integra a soluções de controle de acesso à rede (NAC) para garantir que apenas dispositivos compatíveis possam se conectar à rede corporativa.

Os armazenamentos de aplicativos são partes essenciais de uma implantação do Intune. Para dispositivos iOS, você pode usar o Apple Volume Purchase Program (VPP), que faz parte do Apple Business Manager, ou a App Store. No caso do Android, você pode usar a loja de aplicativos Google Play para dispositivos administradores de dispositivos ou o Google Play gerenciado para dispositivos Android Enterprise. Para Windows, o Microsoft Store para Empresas fornece uma ótima experiência para implantação de aplicativos.

Sua experiência de gerenciamento administrativo é centralizada no centro de administração do Microsoft Endpoint Manager, que usa chamadas do Microsoft Graph para o serviço do Intune. Cada ação, desde a configuração do aplicativo até as configurações de gerenciamento de dispositivo móvel até a segurança no centro de administração, é uma chamada do Microsoft Graph. Se você não estiver familiarizado com o Graph, reserve um tempo para entendê-lo, especificamente como o Graph se integra ao Microsoft Intune.

Arquitetura de serviço do Intune

Arquitetura de Serviço do Intune

Inicialmente, o Intune começou como uma combinação de um conjunto de serviços em execução em computadores físicos de um datacenter privado e um conjunto de serviços distribuídos em execução no Azure. Em 2018, todos os serviços do Intune foram reprojetados para serem executados no Microsoft Azure. Hoje, os serviços de nuvem do Intune são criados no Azure Service Fabric. Todos os serviços são implantados em um cluster do Service Fabric que consiste em um grupo de nós front-end e intermediário. Nos referimos a esses clusters como uma unidade de escala do Azure ou ASU.

Arquitetura da unidade de escala do Azure: exibição global

Arquitetura da unidade de escala do Azure: exibição global

Detalhes da unidade de escala do Azure:

  • Existem 18 clusters espalhados por três regiões na América do Norte, Europa e Leste da Ásia. Cada cluster tem cerca de 5.000 serviços em execução, todos particionados para escalar horizontalmente.
  • Os clusters são completamente isolados e independentes uns dos outros. Eles são hospedados em assinaturas e datacenters diferentes e não podem ter acesso entre si.
  • Os dados são armazenados em um armazenamento de tabela/blob persistente externo do Azure. Isso permite a recuperação rápida de réplicas em caso de falha catastrófica.

Mudar de computadores físicos em um datacenter privado para uma arquitetura de microsserviço baseada em nuvem permitiu à Microsoft escalar o Intune para bilhões de dispositivos e aplicativos e entregar inovações rapidamente. Os clientes experimentaram maior confiabilidade, estabilidade e desempenho do serviço. Você pode saber mais sobre o desenvolvimento dessa arquitetura na postagem no blog Como criamos (recriamos!) o Intune em um serviço de nuvem líder em escala global.

Anexação na nuvem com o Configuration Manager

O Microsoft Endpoint Configuration Manager, que faz parte do Microsoft Endpoint Manager, ajuda a proteger os dispositivos, aplicativos e dados locais que as pessoas em sua organização usam para serem produtivas. Se você precisar gerenciar apenas pontos de extremidade baseados em nuvem, poderá usar o Microsoft Intune. Se você precisar gerenciar somente os pontos de extremidade no local, como os computadores que sua organização tem anexados à sua rede interna, você pode usar o Microsoft Endpoint Configuration Manager. Entretanto, se você precisar gerenciar uma combinação de ambos pontos de extremidade local e de nuvem, você pode usar anexação de nuvem para alavancar tanto o Intune como o Configuration Manager do Microsoft Endpoint Manager.

Há duas etapas para anexar na nuvem seus dispositivos no local. A primeira etapa do anexo é chamada de anexação de locatário, que registra o locatário do Intune com sua implantação do Configuration Manager. A segunda etapa é chamada cogerenciamento, que gerencia simultaneamente dispositivos Windows 10 com o Configuration Manager e Microsoft Intune. Estas são etapas incrementais na jornada para ter um anexo total da nuvem. Você obtém valor imediato através da anexação do locatário e você obtém valor adicional através da cogerenciamento.

Planejamento e implantação

Uma adoção ou migração bem-sucedida para o Microsoft Intune começa com um plano. Esse plano depende da solução atual de gerenciamento de dispositivo, das metas de negócios e dos requisitos técnicos da sua empresa. Além disso, você deve incluir os principais stakeholders que darão suporte e colaborarão com o plano.

Os seguintes recursos ajudarão a planejar e implantar o Intune:

Registro de dispositivo

Usando o Intune, você pode gerenciar dispositivos e aplicativos e aforma como eles acessam os dados da empresa. Para usar esse gerenciamento de dispositivo móvel (MDM) do Intune, os dispositivos devem primeiro ser registrados no serviço do Intune. Quando um dispositivo é registrado, é emitido um certificado MDM. Esse certificado é usado para se comunicar com o serviço do Intune.

Os dispositivos podem ser registrados nas seguintes plataformas. Para conhecer as versões específicas, confira Sistemas operacionais suportados:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Plataformas diferentes podem ter requisitos adicionais. Por exemplo, dispositivos iOS/iPadOS e macOS exigem um  Certificado push de MDM da Apple.

Os recursos a seguir ajudarão você a saber mais sobre o registro de dispositivos para cada plataforma:

Configuração do dispositivo

O Microsoft Intune inclui configurações e recursos que você pode ativar ou desativar em diferentes dispositivos da sua organização. Essas configurações e recursos são adicionados a perfis de configuração. Você pode criar perfis para dispositivos e plataformas diferentes, incluindo iOS/iPadOS, macOS, administrador de dispositivos Android, Android Enterprise e Windows. Em seguida, use o Intune para aplicar ou "atribuir" o perfil aos dispositivos.

Os recursos a seguir ajudarão você a entender como definir as configurações do dispositivo:

Políticas de conformidade

Soluções de MDM como o Intune podem ajudar a definir requisitos para usuários e dispositivos protegerem dados organizacionais. No Intune, você gerencia esses requisitos com as políticas de conformidade. Existem duas partes nas políticas de conformidade no Intune:

  • Configurações de política de conformidade   – Essas configurações em todo o locatário são como uma política de conformidade interna recebida por todos dispositivos. As configurações de política de conformidade definem uma linha de base para a forma como a política de conformidade funciona em seu ambiente do Intune. Isso inclui se os dispositivos que não receberam nenhuma política de conformidade do dispositivo são compatíveis ou incompatíveis.

  • Política de conformidade do dispositivo – Essas são regras específicas da plataforma que os administradores podem configurar e implantar nos grupos de usuários ou dispositivos. Essas regras definem requisitos para os dispositivos, como sistemas operacionais mínimos ou o uso de criptografia de disco. Os dispositivos devem atender a essas regras para serem considerados em conformidade.

Os artigos a seguir ajudarão você a entender como criar e monitorar políticas de conformidade no Intune, bem como se integrar com soluções MTD e NAC e Acesso Condicional:

Políticas de proteção de aplicativo do Intune

As políticas de proteção de aplicativos do Intune (APP) permitem que você proteja dados organizacionais em um aplicativo. Junto com os recursos de configuração do aplicativo, você pode implementar o gerenciamento de aplicativo móvel (MAM) no Intune para ajudar a proteger os dados confidenciais que são acessados ​​de dispositivos gerenciados e não gerenciados. Com o MAM sem registro (MAM-WE), você pode usar o Intune para gerenciar aplicativos relacionados ao trabalho ou à escola, incluindo aplicativos de produtividade, como os aplicativos do Microsoft Office, em quase qualquer dispositivo, incluindo dispositivos pessoais em cenários BYOD (traga seu próprio dispositivo). Confira a lista oficial de aplicativos protegidos pelo Microsoft Intune disponíveis para uso público.

Para obter uma visão geral das políticas de proteção de aplicativos e como elas funcionam, confira os seguintes artigos:

Entregando aplicativos em dispositivos

O Intune oferece suporte a uma ampla variedade de aplicativos, incluindo aplicativos de loja para iOS, macOS, Android e Windows e aplicativos de linha de negócios (LOB). Você pode gerenciar a implantação de aplicativos do Centro de administração do Microsoft Endpoint Manager. Além disso, você pode usar o Intune para orquestrar a implantação do aplicativo de loja com o Google Play gerenciado, Apple App Store e Microsoft Store.

Confira esses recursos para descobrir como adicionar e gerenciar aplicativos com o Intune:

Privacidade e dados pessoais no Intune

Você deve entender como o Intune coleta, armazena, retém, processa, protege, compartilha, audita e exporta dados pessoais. O Microsoft Intune não usa os dados pessoais coletados como parte da prestação do serviço para fins de criação de perfil, anúncios ou marketing.

Os recursos a seguir ajudarão você a entender a privacidade e os dados pessoais no Intune:

Atualizações de serviço do Intune

Os lançamentos de novos recursos do Intune normalmente têm uma cadência de seis a oito semanas, do planejamento ao lançamento, chamada de sprint. As versões do Intune usam uma convenção de nomenclatura YYMM. Por exemplo, 2107 seria uma versão de julho de 2021.

Como as atualizações são lançadas

Nosso processo de lançamento mensal é uma atualização metódica de muitos ambientes diferentes, primeiro em vários serviços do Azure e, em seguida, no centro de administração que o torna disponível para uso. Um ambiente interno chamado Auto hospedagem é o primeiro ambiente a receber a versão. Isso é usado apenas pelas equipes de engenharia do Intune. Em seguida, implementamos o locatário da Microsoft, que gerencia mais de 650.000 dispositivos. Depois de validarmos que não há problemas importantes com os serviços, começamos uma implantação em fases nos ambientes do cliente. Depois de atualizar com êxito todos os locatários, atualizamos o centro de administração do Microsoft Endpoint Manager. Essa abordagem em fases permite identificar problemas antes que eles impactem o serviço ou nossos clientes.

Atualizar o aplicativo Portal da Empresa é um processo diferente. A Microsoft está sujeita aos requisitos e processos de lançamento da Apple App Store e do Google Play e, às vezes, das operadoras móveis. Nem sempre é possível alinhar as atualizações de versão do Intune com as atualizações do Portal da Empresa. Para obter mais informações, confira Atualizações de IU para aplicativos de usuário final do Intune para obter informações sobre as atualizações do Portal da Empresa.

Como saber se uma atualização de serviço foi concluída para meu locatário?

  1. Entre no centro de administração do Microsoft Endpoint Manager.
  2. Selecione Administração do locatário > Status do locatário para ver o nome e a localização do seu locatário, autoridade MDM, status da conta e número da versão de serviço. No exemplo abaixo, o locatário tem a versão de serviço 2104 (abril de 2021).

Captura de tela de exemplo do Administrador do locatários > folha de status do locatário

Mantendo-se atualizado sobre versões

Manter-se atualizado sobre versões e alterações é uma parte importante da implantação do Intune. O Intune fornece várias maneiras de se manter atualizado sobre as atualizações mais recentes do serviço:

  • Novidades no Intune  – Saiba o que há de novo a cada semana no Microsoft Intune, incluindo uma visão geral da versão atual, avisos, informações sobre versões anteriores e outras informações. O conteúdo é publicado no final do sprint atual, assim que as atualizações da IU começarem a ser implementadas no centro de administração do Microsoft Endpoint Manager.
  • Centro de Mensagens – Quando a atualização do serviço estiver totalmente implementada, você verá uma mensagem postada no Status do locatário - Integridade do serviço e centro de mensagens, ou poderá ver as mesmas mensagens no Centro de Mensagens em portal.office.com. Usamos APIs de serviço para extrair apenas as mensagens do Microsoft Endpoint Manager do Office para a IU do centro de administração do Microsoft Endpoint Manager.
  • Página de status do locatário do Microsoft Intune  - Um hub centralizado onde você pode exibir informações e comunicações atuais sobre o serviço Intune e o status do seu locatário.
    1. Navegue até o centro de administração do Microsoft Endpoint Manager.
    2. Selecione Administração de locatários > Status do locatário > Integridade do Serviço > Centro de mensagens.
    3. Selecione uma mensagem em CENTRO DE MENSAGENS DO INTUNE para lê-la.
  • Para obter os comunicados mais recentes do Twitter, confira @IntuneSuppTeam.

O Intune também compartilha informações sobre atualizações em desenvolvimento, publica incidentes de serviço no centro de administração do Microsoft Endpoint Manager e pode enviar notificações por email. Para saber como manter-se atualizado com essas informações, confira Mantendo-se atualizado sobre os novos recursos, alterações no serviço e integridade do serviço do Intune.

Esperamos que esta visão geral do Intune tenha sido útil para você. Confira Dicas e truques para gerenciar o Intune para continuar aprendendo como obter o melhor da implantação do Intune.

Recursos e comentários 

Para obter informações adicionais sobre o Microsoft Endpoint Manager, confira a seguinte documentação: