Configurações de dispositivo Windows 10 (e mais recente) para permitir ou restringir recursos usando o Intune

Observação

O Intune pode dar suporte a mais configurações que as listadas neste artigo. Nem todas as configurações estão ou serão documentadas. Para ver as configurações que você pode definir, crie um perfil de configuração de dispositivo e selecione Catálogo de Configurações. Para saber mais, confira Catálogo de configurações.

Este artigo descreve algumas das configurações que você pode controlar em dispositivos Windows 10 e mais recentes. Como parte de sua solução de MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, definir regras de senha, personalizar a tela de bloqueio, usar o Microsoft Defender e muito mais.

Essas configurações são adicionadas a um perfil de configuração do dispositivo no Intune e, em seguida, atribuídas ou implantadas em dispositivos Windows 10.

Observação

Algumas configurações estão disponíveis apenas em edições específicas do Windows, como Enterprise. Para ver as edições com suporte, veja CSPs de política (abre outro site da Microsoft).

Em um perfil de restrições de dispositivo do Windows 10, a maioria das configurações definíveis é implantada no nível do dispositivo usando grupos de dispositivos. As políticas implantadas em grupos de usuários se aplicam aos usuários de destino. As políticas também se aplicam a usuários que têm uma licença do Intune e aos usuários que entram nesse dispositivo.

Antes de começar

Crie um perfil de restrições de dispositivo do Windows 10.

Loja de aplicativos

Essas configurações usam o CSP da política ApplicationManagement, que também lista as edições compatíveis do Windows.

  • App Store (somente dispositivo móvel) : Bloquear impede que os usuários acessem a loja de aplicativos em dispositivos móveis. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários acessem a Loja de aplicativos.

  • Atualização automática de aplicativos da store: Bloquear impede que atualizações sejam instaladas automaticamente da Microsoft Store. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional permite que os aplicativos instalados da Microsoft Store sejam atualizados automaticamente.

    ApplicationManagement/AllowAppStoreAutoUpdate CSP

  • Instalação de aplicativo confiável: escolha se os aplicativos que não fazem parte da Microsoft Store podem ser instalados, processo também conhecido como sideload. O sideload está instalando e, em seguida, executando ou testando um aplicativo que não é certificado pela Microsoft Store. Por exemplo, um aplicativo que é interno apenas à sua empresa. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Bloquear: impede o sideload. Aplicativos não pertencentes à Microsoft Store não podem ser instalados.
    • Permitir: permite o sideload. Aplicativos não pertencentes à Microsoft Store podem ser instalados.
  • Desbloqueio do desenvolvedor: permite que configurações de desenvolvedor do Windows, como a permissão de sideload de aplicativos, sejam modificadas pelos usuários. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Bloquear: bloqueia o modo do desenvolvedor e o sideload de aplicativos.
    • Permitir: permite o modo do desenvolvedor e o sideload de aplicativos.

    Habilitar seu dispositivo para desenvolvimento tem mais informações sobre esse recurso.

    ApplicationManagement/AllowAllTrustedApps CSP

  • Dados de aplicativo do usuário compartilhados: escolha a opção Permitir para compartilhar dados de aplicativo entre usuários diferentes no mesmo dispositivo e com outras instâncias desse aplicativo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode impedir o compartilhamento de dados com outros usuários e outras instâncias do mesmo aplicativo.

    ApplicationManagement/AllowSharedUserAppData CSP

  • Usar somente repositório particular: a opção Permitir só permite que os aplicativos sejam baixados de um repositório particular, mas não baixados do repositório público, incluindo de um catálogo de varejo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO permite que aplicativos sejam baixados somente de uma loja privada e de uma loja pública.

    ApplicationManagement/RequirePrivateStoreOnly CSP

  • Inicialização de aplicativo proveniente do repositório: a opção Bloquear desabilita todos os aplicativos que foram pré-instalados no dispositivo ou baixados na Microsoft Store. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que esses aplicativos sejam abertos.

    ApplicationManagement/DisableStoreOriginatedApps CSP

  • Instalar dados de aplicativo no volume do sistema: a opção Bloquear impede que os aplicativos armazenem dados no volume do sistema do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os aplicativos armazenem dados no volume de disco do sistema.

    ApplicationManagement/RestrictAppDataToSystemVolume CSP

  • Instalar aplicativos na unidade do sistema: a opção Bloquear impede que os aplicativos sejam instalados na unidade do sistema do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os aplicativos sejam instalados na unidade do sistema.

    ApplicationManagement/RestrictAppToSystemVolume CSP

  • DVR de Jogos (somente área de trabalho) : a opção Bloquear desabilita a gravação e a difusão de Jogos do Windows. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir a gravação e a difusão de jogos.

    ApplicationManagement/AllowGameDVR CSP

  • Apenas aplicativos da loja: essa configuração determina a experiência do usuário quando os usuários instalam aplicativos de locais que não sejam a Microsoft Store. Ela não impede a instalação de conteúdo de dispositivos USB, compartilhamentos de rede ou outras fontes que não são da Internet. Use um navegador confiável para ajudar a verificar se essas proteções funcionam como o esperado.

    Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários instalem aplicativos de locais que não sejam a Microsoft Store, incluindo aplicativos definidos em outras configurações de política.
    • Qualquer lugar: desativa as recomendações do aplicativo e permite que os usuários instalem aplicativos de qualquer local.
    • Somente da loja: a intenção é impedir que um conteúdo mal-intencionado afete os dispositivos do usuário ao baixar conteúdo executável da Internet. Quando os usuários tentam instalar aplicativos da Internet, a instalação é bloqueada. Os usuários veem uma mensagem recomendando que eles baixem aplicativos da Microsoft Store.
    • Recomendações: ao instalar um aplicativo da Web que esteja disponível na Microsoft Store, os usuários veem uma mensagem recomendando que eles o baixem na loja.
    • Preferir a loja: avisa os usuários quando eles instalam aplicativos de locais que não sejam a Microsoft Store.

    CSP de SmartScreen/EnableAppInstallControl

  • Controle de usuário sobre instalações: Bloquear impede que usuários alterem as opções de instalação normalmente reservadas para os administradores do sistema, como inserir o diretório para instalar os arquivos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o Windows Installer pode impedir que os usuários alterem essas opções de instalação e que alguns dos recursos de segurança do Windows Installer sejam ignorados.

    ApplicationManagement/MSIAllowUserControlOverInstall CSP

  • Instalar aplicativos com privilégios elevados: Bloquear direciona o Windows Installer para usar permissões elevadas ao instalar algum programa em um sistema. Esses privilégios são estendidos para todos os programas. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema pode aplicar as permissões do usuário atual ao instalar programas que um administrador do sistema não implanta ou oferece.

    ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP

  • Aplicativos de inicialização: insira uma lista de aplicativos a abrir depois que um usuário fizer logon no dispositivo. Certifique-se de usar uma lista delimitada por ponto-e-vírgula dos PFN (Nomes da família de pacotes) de aplicativos do Windows. Para esta política funcionar, o manifesto nos aplicativos do Windows deve usar uma tarefa de inicialização.

    ApplicationManagement/LaunchAppAfterLogOn CSP

Rede Celular e Conectividade

Essas configurações usam CSPs da política de conectividade e da política de Wi-Fi, que também listam as edições compatíveis do Windows.

  • Canal de dados da rede celular: escolha se os usuários poderão usar dados, assim como ao navegar na Web, quando estiverem conectados a uma rede celular. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Os usuários podem desativá-lo.
    • Bloquear: não permite o canal de dados de celular. Os usuários não podem ativá-lo.
    • Permitir (não editável) : permite o canal de dados de celular. Os usuários finais não podem desativá-lo.
  • Roaming de dados: a opção Bloquear impede roaming de dados de celular no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, ao acessar dados, o roaming entre redes pode ser permitido.

  • VPN pela rede celular: a opção Bloquear impede que o dispositivo acesse conexões VPN quando estiver conectado a uma rede celular. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que a VPN use qualquer conexão, incluindo a rede celular.

  • Roaming de VPN na rede celular: a opção Bloquear impede que o dispositivo acesse conexões VPN ao usar roaming em uma rede celular. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir conexões VPN durante o roaming.

  • Serviço de dispositivos conectados: a opção Bloquear desabilita o componente CDP (Plataforma de Dispositivos Conectados). O CDP permite a descoberta e conexão a outros dispositivos (por meio de Bluetooth/LAN ou na nuvem) para dar suporte à inicialização de aplicativos remotos, envio remoto de mensagens, sessões de aplicativo remoto e outras experiências entre dispositivos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir o serviço de dispositivos conectados, o que habilita a descoberta e a conexão com outros dispositivos Bluetooth.

  • NFC: a opção Bloquear impede o uso de funcionalidades NFC (comunicações a curta distância). Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários habilitem e configurem recursos de NFC no dispositivo.

  • Wi-Fi: a opção Bloquear impede que os usuários habilitem, configurem e usem conexões Wi-Fi no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir conexões Wi-Fi.

  • Conectar-se automaticamente a hotspots Wi-Fi: a opção Bloquear impede que dispositivos se conectem automaticamente a hotspots Wi-Fi. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO permite que dispositivos se conectem automaticamente a hotspots Wi-Fi gratuitos e aceite os possíveis termos e condições da conexão automaticamente.

  • Configuração manual de Wi-Fi: a opção Bloquear impede que dispositivos se conectem ao Wi-Fi fora de redes instaladas fora do servidor MDM. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários adicionem e configurem os próprios SSIDs de rede de conexões Wi-Fi.

  • Intervalo de verificação de Wi-Fi: insira com que frequência os dispositivos devem procurar redes Wi-Fi. Insira um valor de 1 (mais frequente) a 500 (menos frequente). O padrão é 0 (zero).

Bluetooth

Essas configurações usam o CSP da política de Bluetooth, que também lista as edições compatíveis do Windows.

  • Bluetooth: a opção Bloquear impede que os usuários habilitem o Bluetooth. Não configurado (padrão) permite Bluetooth no dispositivo.

  • Detectabilidade de Bluetooth: a opção Bloquear impede que o dispositivo seja descoberto por outros dispositivos habilitados para Bluetooth. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que outros dispositivos habilitados para Bluetooth, como um fone de ouvido, descubram o dispositivo.

    Bluetooth/AllowDiscoverableMode CSP

  • Pré-emparelhamento Bluetooth: a opção Bloquear impede que dispositivos Bluetooth específicos emparelhem automaticamente com um dispositivo host. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir emparelhamento automático com o dispositivo de host.

    Bluetooth/AllowPrepairing CSP

  • Anúncios do Bluetooth: a opção Bloquear impede que o dispositivo envie anúncios via Bluetooth. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o dispositivo envie anúncios por Bluetooth.

    Bluetooth/AllowAdvertising CSP

  • Conexões Bluetooth proximais: a opção Bloquear impede que um usuário do dispositivo use um Emparelhamento Rápido e outros cenários baseados em proximidade. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o dispositivo envie anúncios por Bluetooth.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Serviços Bluetooth permitidos: a opção adicione uma lista de serviços e perfis Bluetooth permitidos como cadeias de caracteres hexadecimais, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.

    O guia de uso de ServicesAllowedList tem mais informações sobre a lista de serviços.

    Bluetooth/ServicesAllowedList CSP

Nuvem e Armazenamento

Essas configurações usam o CSP da política de contas, que também lista as edições compatíveis do Windows.

Importante

O bloqueio ou o desbloqueio dessas configurações da conta Microsoft pode afetar cenários que exigem que os usuários entrem no Azure AD. Por exemplo, você está usando o AutoPilot pré-provisionado (anteriormente chamado de AutoPilot com assistência individual). Normalmente, os usuários veem uma janela de conexão do Azure AD. Quando as configurações forem definidas como Bloquear ou Desabilitar, talvez a opção de conexão do Azure AD não seja exibida. Em vez disso, os usuários devem aceitar o EULA e criar uma conta local, que pode não ser o que você deseja.

  • Conta Microsoft: a opção Bloquear impede que os usuários associem uma conta Microsoft ao dispositivo. Bloquear também pode afetar alguns cenários de registro que dependem dos usuários para concluir o processo de registro. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a adição e o uso de uma conta Microsoft.
  • Conta não Microsoft: Bloquear impede que os usuários adicionem uma conta não Microsoft usando a interface do usuário. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários adicionem contas de email que não estejam associadas a uma conta Microsoft.
  • Sincronização de configurações de conta Microsoft: Bloquear impede a sincronização entre dispositivos das configurações de dispositivo e aplicativo associadas a uma conta Microsoft. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir essa sincronização.
  • Assistente de conexão de conta da Microsoft: Esse serviço de sistema operacional permite que os usuários entrem na respectiva conta Microsoft. Por padrão, o sistema operacional pode permitir que os usuários iniciem e parem o serviço do Assistente de Conexão de Conta Microsoft (wlidsvc).
    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários iniciem e parem o serviço do Assistente de Conexão de Conta Microsoft (wlidsvc).

    • Desabilitado: Define o serviço do Assistente de Conexão da Microsoft (wlidsvc) como Desabilitado e impede que usuários o iniciem manualmente.

      Desabilitar também pode afetar alguns cenários de registro que dependem dos usuários para concluir o registro. Por exemplo, você está usando o AutoPilot pré-provisionado. Normalmente, os usuários veem uma janela de conexão do Azure AD. Quando definido como Desabilitar, a opção de entrada do Azure AD pode não ser mostrada. Em vez disso, os usuários devem aceitar o EULA e criar uma conta local, que pode não ser o que você deseja.

Impressora de Nuvem

Essas configurações usam o CSP da política EnterpriseCloudPrint, que também lista as edições compatíveis do Windows.

  • URL de descoberta de impressora: Insira a URL para localizar impressoras em nuvem. Por exemplo, insira https://cloudprinterdiscovery.contoso.com.
  • URL de autoridade de acesso à impressora: insira a URL de ponto de extremidade da Autenticação para obter tokens OAuth. Por exemplo, insira https://azuretenant.contoso.com/adfs.
  • GUID do aplicativo cliente nativo do Azure: Insira o GUID de um aplicativo cliente com permissão para obter tokens OAuth da OAuthAuthority. Por exemplo, insira E1CF1107-FF90-4228-93BF-26052DD2C714.
  • URI de recurso do serviço de impressão: Insira o URI de recurso OAuth do serviço de impressão configurado no portal do Azure. Por exemplo, insira http://MicrosoftEnterpriseCloudPrint/CloudPrint.
  • Número máximo de impressoras a serem consultadas: Insira o número máximo de impressoras a serem consultadas. O valor padrão é 20.
  • URI de recurso do serviço de descoberta de impressora: Insira o URI de recurso OAuth do serviço de descoberta de impressora configurado no portal do Azure. Por exemplo, insira http://MopriaDiscoveryService/CloudPrint.

Dica

Depois de instalar uma Impressão de Nuvem Híbrida do Windows Server, você poderá definir essas configurações e, em seguida, implantar em dispositivos do Windows.

Painel de controle e configurações

  • Aplicativo de configurações: Bloquear impede que os usuários acessem o aplicativo de configurações do Windows. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários abram o aplicativo Configurações no dispositivo.
    • Sistema: a opção Bloquear impede o acesso à área de sistema do aplicativo de configurações. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      • Modificação das configurações de energia e suspensão (somente área de trabalho): Bloquear impede que os usuários alterem as configurações de energia e suspensão no dispositivo. Não configurado (padrão) permite que os usuários alterem as configurações de energia e suspensão.
    • Dispositivos: a opção Bloquear impede o acesso à área de dispositivos do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Rede e Internet: a opção Bloquear impede o acesso à área de Internet e rede do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Personalização: a opção Bloquear impede o acesso à área de Personalização do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Aplicativos: a opção Bloquear impede o acesso à área de aplicativos do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Contas: a opção Bloquear impede o acesso à área de contas do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Hora e Idioma: a opção Bloquear impede o acesso à área de fuso horário e idioma do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      • Modificação do horário do sistema: Bloquear impede que os usuários alterem as configurações de data e hora no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

      • Modificação das configurações de região (somente área de trabalho): Bloquear impede que os usuários alterem as configurações de região no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

      • Modificação das configurações de idioma (somente área de trabalho) : Bloquear impede que os usuários alterem as configurações de idioma no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Os usuários podem alterar essas configurações.

        CSP de política de configurações

    • Jogos: a opção Bloquear impede o acesso à área de jogos do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      CSP Settings/PageVisibilityList

    • Facilidade de Acesso: a opção Bloquear impede o acesso à área de facilidade de acesso do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Privacidade: a opção Bloquear impede o acesso à área de privacidade do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    • Atualização e Segurança: a opção Bloquear impede o acesso à área de atualização e segurança do aplicativo de configurações no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

Monitor

Essas configurações usam o CSP da política de exibição, que também lista as edições compatíveis do Windows.

O ajuste de DPI GDI permite que aplicativos sem reconhecimento de DPI tenham reconhecimento de DPI por monitor.

  • Ligar o ajuste de GDI para aplicativos: adicione os aplicativos herdados nos quais você deseja que o ajuste de DPI GDI fique ativado. Por exemplo, insira filename.exe ou %ProgramFiles%\Path\Filename.exe.

    O ajuste de DPI de GDI está ativado para todos os aplicativos herdados em sua lista.

  • Desabilitar o ajuste de GDI para aplicativos: adicione os aplicativos herdados nos quais você deseja que o ajuste de DPI GDI fique desativado. Por exemplo, insira filename.exe ou %ProgramFiles%\Path\Filename.exe.

    O ajuste de DPI de GDI está desativado para todos os aplicativos herdados em sua lista.

Você também pode importar um arquivo .csv com a lista de aplicativos.

Geral

Essas configurações usam o CSP da política de experiência, que também lista as edições compatíveis do Windows.

  • Captura de tela (somente dispositivo móvel): Bloquear impede que os usuários obtenham capturas de tela no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Copiar e colar (somente dispositivo móvel) : Bloquear impede que os usuários usem o recurso de copiar e colar entre aplicativos no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Cancelamento de registro manual: Bloquear impede que os usuários excluam a conta da empresa usando o painel de controle do local de trabalho no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Essa configuração de política não será aplicada se o computador estiver ingressado no Microsoft Azure AD e o registro automático estiver habilitado.

  • Instalação manual de certificado raiz (somente dispositivo móvel): Bloquear impede que os usuários instalem certificados raiz e certificados CAP intermediários manualmente. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Câmera: Bloquear impede que os usuários usem a câmera no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso à câmera do dispositivo.

    O Intune gerencia apenas o acesso à câmera do dispositivo. Ele não tem acesso a imagens ou vídeos.

    CSP de Câmera

  • Sincronização de arquivos do OneDrive: Bloquear impede que usuários sincronizem arquivos do dispositivo com o OneDrive. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    System/DisableOneDriveFileSync CSP

  • Armazenamento removível: Bloquear impede que os usuários usem dispositivos de armazenamento externo, como unidades USB ou cartões SD, com o dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    CSP do Sistema/AllowStorageCard

  • Localização geográfica: Bloquear impede que os usuários ativem serviços de localização no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    System/AllowLocation CSP

  • Compartilhamento da Internet: a opção Bloquear impede o compartilhamento da conexão com a Internet no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Redefinição do telefone: Bloquear impede que os usuários apaguem a memória do dispositivo ou realizem nele uma redefinição de fábrica. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Conexão USB: Bloquear impede o acesso à sincronização de arquivos por meio de uma conexão USB ou usando ferramentas para desenvolvedores em um dispositivo HoloLens. Alterar esta política não afeta o carregamento via USB. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. O carregamento via USB não é afetado por essa configuração.

    Connectivity/AllowUSBConnection CSP

  • Modo AntiTheft (somente dispositivo móvel): Bloquear impede que os usuários selecionem a preferência do modo AntiTheft no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Cortana: a opção Bloquear desabilita a assistente de voz Cortana no dispositivo. Quando a Cortana estiver desativada, os usuários ainda poderão pesquisar para localizar itens no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso da Cortana.

    Experience/AllowCortana CSP

  • Gravação de voz (somente dispositivo móvel): Bloquear impede que os usuários usem o gravador de voz do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a gravação de voz para aplicativos.

  • Modificação do nome do dispositivo (apenas dispositivo móvel): Bloquear impede que os usuários alterem o nome do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Adicionar pacotes de provisionamento: a opção Bloquear impede que o agente de configuração de tempo de execução instale os pacotes de provisionamento no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Remover pacotes de provisionamento: a opção Bloquear impede que o agente de configuração de tempo de execução remova os pacotes de provisionamento do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Descoberta de dispositivo: a opção Bloquear impede a descoberta de um dispositivo por outros dispositivos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Experience/AllowDeviceDiscovery

  • Alternador de Tarefas (somente dispositivo móvel): a opção Bloquear impede a alternância de tarefas no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Caixa de diálogo de erro do cartão SIM (somente dispositivo móvel): a opção Bloquear impedirá a exibição de mensagens de erro no dispositivo se nenhum cartão SIM for detectado. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar as mensagens de erro.

  • Workspace do Ink: escolha se e como o usuário acessa o Espaço de Trabalho do Ink. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar o workspace de tinta e os usuários têm permissão para usá-lo acima da tela de bloqueio.
    • Desabilitado na tela de bloqueio: o Espaço de Trabalho do Ink é habilitado e o recurso é ativado. Porém, os usuários não podem acessá-lo na tela de bloqueio.
    • Desabilitado: o acesso ao Espaço de Trabalho do Ink é desabilitado. O recurso está desativado.

    CSP da política WindowsInkWorkspace

  • Redefinição do Autopilot: escolha Permitir para que usuários com direitos administrativos possam excluir todos os dados e configurações de usuário usando Ctrl + Win + R na tela de bloqueio do dispositivo. O dispositivo é reconfigurado automaticamente e registrado novamente no gerenciamento. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir esse recurso.

  • Requer que os usuários se conectem à rede durante a instalação do dispositivo: escolha Exigir para que o dispositivo se conecte a uma rede antes de continuar, após a página Rede, durante a instalação do Windows. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários passem pela página de rede, mesmo se eles não estão conectados a uma rede.

    A configuração entra em vigor na próxima vez que o dispositivo é apagado ou redefinido. Como qualquer outra configuração do Intune, o dispositivo deve ser registrado e gerenciado pelo Intune para receber as definições de configuração. Porém, depois de estar registrado e recebendo políticas, a redefinição do dispositivo impõe a configuração durante a próxima Instalação do Windows.

    CSP de TenantLockdown

  • Acesso Direto à Memória: Bloquear impede o DMA (acesso direto à memória) para todas as portas downstream PCI com hot-plug até um usuário entre no Windows. Habilitado (padrão) permite o acesso a DMA, mesmo quando um usuário não esteja conectado.

    DataProtection/AllowDirectMemoryAccess CSP

  • Encerrar processos do Gerenciador de Tarefas: Essa configuração determina se não administradores podem usar o Gerenciador de Tarefas para encerrar tarefas. Bloquear impede que os usuários padrão (não administradores) usem o Gerenciador de Tarefas para encerrar um processo ou uma tarefa no dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que usuários padrão encerrem um processo ou uma tarefa usando o Gerenciador de Tarefas.

    TaskManager/AllowEndTask CSP

Experiência na tela bloqueada

  • Notificações da central de ações (somente dispositivo móvel) : a opção Bloquear permite que notificações da Central de Ações apareçam na tela de bloqueio do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários escolham quais aplicativos mostram notificações na tela de bloqueio.

    CSP de AboveLock/AllowActionCenterNotifications

  • URL da imagem de tela bloqueada (somente área de trabalho) : insira a URL para uma imagem no formato JPG, JPEG ou PNG que será usada como o papel de parede da tela de bloqueio do Windows. Por exemplo, insira https://contoso.com/image.png. Essa configuração bloqueia a imagem e não pode ser alterada posteriormente.

    CSP de Personalization/LockScreenImageUrl

  • Tempo limite de tela configurável do usuário (somente dispositivos móveis) : a opção Permitir possibilita que os usuários configurem o tempo limite da tela. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não fornecer aos usuários essa opção.

    CSP de DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

  • Cortana na tela bloqueada (somente área de trabalho): Bloquear impede que usuários interajam com a Cortana quando o dispositivo está na tela de bloqueio. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir a interação com a Cortana.

    CSP de AboveLock/AllowCortanaAboveLock

  • Notificações do sistema na tela bloqueada: a opção Bloquear permite que notificações do sistema apareçam na tela de bloqueio do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir essas notificações.

    CSP de AboveLock/AllowToasts

  • Tempo limite de tela (somente dispositivos móveis) : defina a duração (em segundos) da tela de bloqueio até a tela ser desligada. Os valores compatíveis estão ente 11 e 1800. Por exemplo, digite 300 para definir esse tempo limite como 5 minutos.

    CSP de DeviceLock/ScreenTimeoutWhileLocked

Mensagens

Essas configurações usam o CSP da política de mensagens, que também lista as edições compatíveis do Windows.

  • Sincronização de mensagem (somente dispositivos móveis) : a opção Bloquear desabilita o backup e restauração de mensagens de texto e a sincronização de mensagens entre os dispositivos do Windows. Desabilitar os ajuda a evitar que as informações sejam armazenadas em servidores fora do controle da organização. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários alterem essas configurações e sincronizem suas mensagens.
  • MMS (somente dispositivos móveis) : a opção Bloquear desabilita o recurso de envio/recebimento de MMS no dispositivo. Para empresas, use essa política para desabilitar o MMS em dispositivos como parte do requisito de auditoria ou de gerenciamento. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir envio e recebimento de MMS.
  • RCS (somente dispositivos móveis) : a opção Bloquear desabilita a funcionalidade de envio/recebimento dos RCS (Serviços de Comunicação Avançados) no dispositivo. Para empresas, use essa política para desabilitar o RCS em dispositivos como parte do requisito de auditoria ou de gerenciamento. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir envio e recebimento de RCS.

Versão Prévia do Microsoft Edge (versão 45 e anterior)

Essas configurações usam o CSP da política de navegador, que também lista as edições compatíveis do Windows.

Observação

O uso do CSP da política do navegador aplica-se ao Microsoft Edge versão 45 e anterior. Para o Microsoft Edge versão 77 e posterior, confira Definir configurações de política do Microsoft Edge no Microsoft Intune.

Usar o modo de quiosque do Microsoft Edge

As configurações disponíveis mudam dependendo do que você escolhe. Suas opções:

  • Não (padrão): o Microsoft Edge não está em execução no modo de quiosque. Todas as configurações do Microsoft Edge estão disponíveis para você alterar e configurar.
  • Sinalização digital/interativa (quiosque de aplicativo único) : filtra configurações do Microsoft Edge aplicáveis ao modo de Quiosque do Microsoft Edge de sinalização Digital/Interativa para uso apenas em quiosques de aplicativo único do Windows 10. Escolha esta configuração para abrir uma tela inteira da URL e mostrar apenas o conteúdo no site. Configurar sinais digitais fornece mais informações sobre esse recurso.
  • Navegação InPrivate Pública (quiosque de aplicativo único) : filtra configurações do Microsoft Edge aplicáveis ao modo de Quiosque do Microsoft Edge de Navegação Pública InPrivate para uso apenas em quiosques de aplicativo único do Windows 10. Executa uma versão com várias guia do Microsoft Edge.
  • Modo normal (quiosque de vários aplicativos) : filtra configurações do Microsoft Edge aplicáveis ao modo de Quiosque do Microsoft Edge Normal. Executa uma versão completa do Microsoft Edge com todos os recursos de navegação.
  • Navegação pública (quiosque de vários aplicativos) : filtra configurações do Microsoft Edge aplicáveis a navegação Pública em um quiosque de vários aplicativos do Windows 10. Executa uma versão com várias guia do Microsoft Edge InPrivate.

Dica

Para obter mais informações sobre o que essas opções fazem, veja Tipos de configuração de modo de quiosque do Microsoft Edge.

Este perfil de restrições de dispositivo está diretamente relacionado ao perfil do quiosque você cria usando as configurações de quiosque do Windows. Para resumir:

  1. Crie o perfil Configurações de quiosque do Windows para executar o dispositivo no modo de quiosque. Selecione o Microsoft Edge como o aplicativo e defina o Modo de Quiosque do Microsoft Edge no perfil Quiosque.

  2. Crie o perfil de restrições de dispositivo descrito neste artigo e configure recursos e configurações específicos permitidos no Microsoft Edge. Escolha o mesmo tipo de modo de quiosque do Microsoft Edge que o selecionado no seu perfil de quiosque (configurações de quiosque do Windows).

    Configurações do modo de quiosque compatíveis é um excelente recurso.

Importante

Atribua esse perfil do Microsoft Edge aos mesmos dispositivos que seu perfil de quiosque (configurações de quiosque do Windows).

ConfigureKioskMode CSP

Experiência de inicialização

  • Iniciar o Microsoft Edge com: Escolha quais páginas são abertas quando o Microsoft Edge é iniciado. Suas opções:

    • Páginas Iniciais personalizadas: insira as páginas iniciais, por exemplo, http://www.contoso.com. O Microsoft Edge carrega as páginas iniciais que você insere.
    • Página Nova Guia: o Microsoft Edge carrega o que está inserido na configuração URL da Nova Guia.
    • Página da última sessão: o Microsoft Edge carrega a página da última sessão.
    • Páginas iniciais nas configurações de aplicativo local: o Microsoft Edge é iniciado com a página inicial padrão definida pelo sistema operacional.
  • Permitir que o usuário altere as páginas iniciais: Sim (padrão) permite que os usuários alterem as páginas iniciais. Os administradores podem usar EdgeHomepageUrls para inserir páginas iniciais que os usuários veem por padrão ao abrir o Microsoft Edge. Não impede que os usuários alterem as páginas iniciais.

  • Permitir o conteúdo da Web na página da nova guia: quando definido como Sim (padrão), o Microsoft Edge abre a URL inserida na configuração URL da Nova Guia. Se configuração URL da Nova Guia estiver em branco, o Microsoft Edge abrirá a página da nova guia listada nas configurações do Microsoft Edge. Os usuários podem alterá-la. Quando definido como Não, o Microsoft Edge abre uma nova guia com uma página em branco. Os usuários não podem alterá-la.

  • URL da Nova Guia: Insira a URL a ser aberta na página Nova Guia. Por exemplo, insira https://www.bing.com ou https://www.contoso.com.

  • Botão Página Inicial: escolha o que acontece quando o botão Página Inicial é selecionado. Suas opções:

    • Páginas iniciais: abre a opção que você escolheu para a configuração Abrir o Microsoft Edge com
    • Página Nova Guia: abre a URL que você inseriu na configuração URL da Nova Guia.
    • URL do botão Página Inicial: insira a URL a abrir. Por exemplo, insira https://www.bing.com ou https://www.contoso.com.
    • Ocultar o botão Página Inicial: Oculta o botão Página Inicial
  • Permitir que os usuários alterem o botão Página Inicial: Sim permite que os usuários alterem o botão Página Inicial. As alterações do usuário substituem as configurações do administrador para o botão Página Inicial. Não (padrão) impede que os usuários alterem o modo como o administrador configurou o botão página inicial.

  • Mostrar a página Tela de Apresentação (Somente para dispositivos móveis) : Sim (padrão) mostra a página de introdução ao primeiro uso no Microsoft Edge. Não impede a exibição da página de introdução na primeira vez que o Microsoft Edge é executado. Esse recurso permite que empresas, tais como as registradas em cenários de emissões zero, bloqueiem esta página.

  • Local da lista de URLs da Tela de Apresentação (somente Windows 10 Mobile): insira a URL que aponta para o arquivo XML que contém as URLs da primeira página de execução. Por exemplo, insira https://www.contoso.com/sites.xml.

  • Atualizar o navegador após tempo ocioso: insira o número de minutos ociosos até que o navegador seja atualizado, de 0 a 1.440 minutos. O padrão é de 5 minutos. Quando definido como 0 (zero), o navegador não é atualizado depois de ficar ocioso.

    Essa configuração só está disponível durante a execução em Navegação Pública InPrivate (quiosque de aplicativo único).

  • Permitir pop-ups (somente desktop): Sim (padrão) permite pop-ups no navegador da Web. Não impede que janelas pop-up sejam exibidas no navegador.

  • Enviar tráfego da intranet para o Internet Explorer (somente em desktop): Sim permite que os usuários abram sites da intranet no Internet Explorer, em vez do Microsoft Edge. Essa configuração é compatibilidade com versões anteriores. Não (padrão) permite que os usuários usem o Microsoft Edge.

  • Local da lista de sites do modo empresarial (somente em desktop): insira a URL que aponta para o arquivo XML que contém uma lista de sites que são abertos no modo Empresarial. Os usuários não podem alterar essa lista. Por exemplo, insira https://www.contoso.com/sites.xml.

  • Mensagem ao abrir sites no Internet Explorer: Use essa configuração para definir o Microsoft Edge para mostrar uma notificação antes de abrir um site no Internet Explorer 11. Suas opções:

    • Não mostrar a mensagem: Usa o comportamento padrão do sistema operacional, que pode não mostrar uma mensagem.
    • Mostrar mensagem que o site está aberto no Internet Explorer 11: Mostra a mensagem ao abrir sites no IE. Os sites abrem no Internet Explorer.
    • Mostrar mensagem com a opção de abrir sites no Microsoft Edge: mostrar a mensagem ao abrir sites no Microsoft Edge. A mensagem contém um link para Continuar no Microsoft Edge de forma que os usuários podem escolher o Microsoft Edge ao invés do IE.

    Importante

    Essa configuração exige que você use a configuração Localização da lista de sites do modo Empresarial, a configuração Enviar o tráfego de intranet para o Internet Explorer ou ambas.

  • Permitir a lista de compatibilidade da Microsoft: Sim (padrão) permite o uso de uma lista de compatibilidade da Microsoft. Não impede o uso da lista de compatibilidade da Microsoft no Microsoft Edge. Essa lista da Microsoft ajuda o Microsoft Edge a exibir corretamente sites com problemas de compatibilidade conhecidos.

  • Pré-carregar as páginas iniciais e a página Nova Guia: Sim (padrão) usa o comportamento padrão do sistema operacional, que pode ser pré-carregar essas páginas. O pré-carregamento reduz o tempo para iniciar o Microsoft Edge e carregar novas guias. Não impede o Microsoft Edge de pré-carregar as páginas iniciais e a página Nova Guia.

  • Pré-iniciar as páginas iniciais e a página Nova Guia: Sim (padrão) usa o comportamento padrão do sistema operacional, que pode ser pré-iniciar essas páginas. A pré-inicialização ajuda o desempenho do Microsoft Edge e reduz o tempo necessário para iniciar o Microsoft Edge. Não impede que o Microsoft Edge pré-inicie as páginas iniciais e a página Nova Guia.

  • Mostrar a barra de Favoritos: Escolha o que acontece com a barra de favoritos em qualquer página do Microsoft Edge. Suas opções:

    • Nas páginas inicial e nova guia: mostra a barra de favoritos quando o Microsoft Edge é iniciado e em todas as páginas de guia. Os usuários podem alterar essa configuração.
    • Em todas as páginas: Mostra a barra de favoritos em todas as páginas. Os usuários não podem alterar essa configuração.
    • Oculto: Oculta a barra de favoritos em todas as páginas. Os usuários não podem alterar essa configuração.
  • Permitir alterações nos favoritos: Sim (padrão) usa o padrão do sistema operacional, que permite aos usuários alterar a lista. Não impede que os usuários adicionem, importem, classifiquem ou editem a lista de Favoritos.

    • Lista de Favoritos: Adiciona uma lista de URLs ao arquivo de favoritos. Por exemplo, adicione http://contoso.com/favorites.html.
  • Sincronizar favoritos entre navegadores da Microsoft (somente em desktop): Sim força o Windows a sincronizar favoritos entre o Internet Explorer e o Microsoft Edge. Adições, exclusões, modificações e alterações da ordem dos favoritos são compartilhadas entre navegadores. Não (padrão) usa o padrão do sistema operacional, o que pode dar aos usuários a opção de sincronizar favoritos entre navegadores.

  • Mecanismo de pesquisa padrão: Escolha o mecanismo de pesquisa padrão no dispositivo. Os usuários podem alterar esse valor a qualquer momento. Suas opções:

    • Mecanismo de pesquisa nas configurações do cliente do Microsoft Edge
    • Bing
    • Google
    • Yahoo
    • Valor personalizado: em URL de XML OpenSearch, insira uma URL HTTPS com o arquivo XML que inclui o nome curto e a URL para o mecanismo de pesquisa, no mínimo. Por exemplo, insira https://www.contoso.com/opensearch.xml.
  • Mostrar sugestões de pesquisa: Sim (padrão) permite que o mecanismo de pesquisa sugira sites à medida que você digita frases de pesquisa na barra de endereços. Não impede o uso desse recurso.

  • Permitir alterações no mecanismo de pesquisa: Sim (padrão) permite aos usuários adicionar novos mecanismos de pesquisa ou alterar o mecanismo de pesquisa padrão no Microsoft Edge. Escolha Não para impedir que os usuários personalizem o mecanismo de pesquisa.

    Essa configuração só está disponível durante a execução no modo Normal (quiosque de vários aplicativos).

Privacidade e segurança

  • Permitir navegação InPrivate: Sim (padrão) permite a navegação InPrivate no Microsoft Edge. Depois de fechar todas as guias InPrivate, o Microsoft Edge exclui os dados de navegação do dispositivo. Não impede que os usuários abram sessões de navegação InPrivate.
  • Salvar o histórico de navegação: Sim (padrão) permite salvar o histórico de navegação no Microsoft Edge. Não impede que o salvamento do histórico de navegação.
  • Limpar dados de navegação ao sair (somente em desktop) : Sim limpa o histórico e procura dados quando os usuários saem do Microsoft Edge. Não (padrão) usa o padrão do sistema operacional, que pode armazenar em cache os dados de navegação.
  • Sincronizar as configurações do navegador entre os dispositivos do usuário: Escolha como deseja sincronizar as configurações do navegador entre dispositivos. Suas opções:
    • Permitir: permite a sincronização de configurações do navegador Microsoft Edge entre os dispositivos do usuário
    • Bloquear e habilitar a substituição do usuário: bloqueia a sincronização de configurações do navegador Microsoft Edge entre os dispositivos do usuário. Os usuários podem substituir essa configuração.
    • Bloquear: bloqueia a sincronização de configurações do navegador Microsoft Edge entre os dispositivos do usuário. Os usuários não podem substituir essa configuração.

Quando a opção "bloquear e habilitar a substituição pelo usuário" é selecionada, o usuário pode substituir a designação de administrador.

  • Permitir gerenciador de senhas: Sim (padrão) permite que o Microsoft Edge use automaticamente o Gerenciador de Senhas, que por sua vez permite aos usuários salvar e gerenciar senhas no dispositivo. Não impede que o Microsoft Edge use o Gerenciador de Senhas.
  • Cookies: Escolha como lidar com os cookies no navegador da Web. Suas opções:
    • Permitir: Os cookies são armazenados no dispositivo.
    • Bloquear todos os cookies: Os cookies não são armazenados no dispositivo.
    • Bloquear somente cookies de terceiros: Cookies de terceiros ou de parceiros não são armazenados no dispositivo.
  • Permitir Preenchimento Automático em formulários: Sim (padrão) permite aos usuários alterar as configurações de preenchimento automático no navegador e preencher os campos de formulário automaticamente. Não desabilita o recurso de Preenchimento Automático no Microsoft Edge.
  • Enviar cabeçalhos Do Not Track: Sim envia cabeçalhos Do Not Track a sites que solicitam informações de acompanhamento (recomendado). Nenhum (padrão) não envia cabeçalhos que permitem que sites acompanhem o usuário. Os usuários podem definir essa configuração.
  • Mostrar o endereço IP do localhost WebRTC: Sim (padrão) permite que os endereços IP de localhost dos usuários sejam mostrados ao fazer chamadas telefônicas usando esse protocolo. Não impede que o endereço IP do localhost dos usuários seja mostrado.
  • Permitir a coleta de dados de bloco dinâmico: Sim (padrão) permite que o Microsoft Edge colete informações de blocos dinâmicos fixados no menu Iniciar. Não impede a coleta dessas informações, o que pode fornecer aos usuários uma experiência limitada.
  • O usuário pode substituir os erros de certificado: Sim (padrão) permite que os usuários acessem sites que têm erros de protocolo SSL/TLS. Não (recomendado para aumentar a segurança) impede que os usuários acessem sites com erros de protocolo SSL ou TLS.

Adicional

  • Permitir o navegador Microsoft Edge (somente em dispositivos móveis): Sim (padrão) permite o uso do navegador da Web Microsoft Edge no dispositivo móvel. Não impede o uso do Microsoft Edge nos dispositivos. Se você escolher Não, as outras configurações individuais serão aplicadas apenas ao desktop.

  • Permitir a lista suspensa da barra de endereços: Sim (padrão) permite que o Microsoft Edge mostre a lista suspensa de barra de endereços com uma lista de sugestões. Não impede que o Microsoft Edge exiba uma lista de sugestões em uma lista suspensa quando você digita. Quando definido como Não, você:

    • Ajuda a minimizar o uso de largura de banda da rede entre o Microsoft Edge e os serviços da Microsoft.
    • Desabilite a opção Mostrar sugestões de pesquisa e de site conforme eu digitar em Microsoft Edge > Configurações.
  • Permitir o modo de tela inteira: Sim (padrão) permite que o Microsoft Edge use o modo de tela inteira, que mostra apenas o conteúdo da Web e oculta a interface do usuário do Microsoft Edge. Não impede o uso do modo de tela inteira no Microsoft Edge.

  • Permitir a página sobre sinalizadores: Sim (padrão) usa o padrão do sistema operacional, que pode permitir o acesso à página about:flags. A página about:flags permite que os usuários alterem as configurações do desenvolvedor e habilitem recursos experimentais. Não impede que os usuários acessem a página about:flags no Microsoft Edge.

  • Permitir Ferramentas de Desenvolvedor: Sim (padrão) permite que os usuários usem as Ferramentas de Desenvolvedor F12 para criar e depurar páginas da Web por padrão. Não impede que os usuários usem as Ferramentas para Desenvolvedores F12.

  • Permitir JavaScript: Sim (padrão) permite que scripts, como JavaScript, sejam executados no navegador Microsoft Edge. Não impede a execução de scripts Java no navegador.

  • O usuário pode instalar extensões: Sim (padrão) permite que os usuários instalem extensões do Microsoft Edge nos dispositivos. Não impede a instalação.

  • Permitir sideload das extensões do desenvolvedor: a opção Sim (padrão) usa o padrão do sistema operacional, que pode permitir o sideload. O sideload instala e executa extensões não verificadas. Não impede que o Microsoft Edge faça sideload usando o recurso Carregar extensões. Ele não impede o sideload de extensões por outros meios, tais como o PowerShell.

  • Extensões obrigatórias: Escolha quais extensões não podem ser desligadas pelos usuários no Microsoft Edge. Insira os nomes das famílias de pacotes e selecione Adicionar. O artigo Encontrar um PFN (Nome da Família de Pacotes) para a VPN por aplicativo fornece algumas diretrizes.

    Você também pode Importar um arquivo CSV que inclui os nomes das famílias de pacotes. Ou então, exporte os nomes de família de pacotes que você inserir.

Proxy de rede

Essas configurações usam o CSP da política de NetworkProxy, que também lista as edições compatíveis do Windows.

  • Detectar automaticamente as configurações de proxy: Bloquear desabilita a detecção automática de um script PAC (configuração automática de proxy) pelos dispositivos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode habilitar esse recurso e os dispositivos tentam localizar o caminho para um script de PAC.
  • Usar script de proxy: escolha a opção Permitir para inserir um caminho para o script PAC a fim de configurar o servidor proxy. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não permitir que você insira a URL para um script de PAC.
    • Configurar URL do endereço de script: Insira a URL de um script PAC que deseja usar para configurar o servidor proxy.
  • Usar um servidor proxy manual: escolha a opção Permitir para inserir manualmente o nome ou endereço IP e número da porta TCP de um servidor proxy. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não permitir que você insira manualmente os detalhes de um servidor proxy.
    • Endereço: Insira o nome ou o endereço IP do servidor proxy.
    • Número da porta: Insira o número da porta do servidor proxy.
    • Exceções de proxy: Insira as URLs que não devem usar o servidor proxy. Use um ponto e vírgula (;) para separar cada item.
    • Ignorar servidor proxy para endereço local: Permitir não usa o servidor proxy para endereços de intranet local. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode usar um servidor proxy para endereços locais na sua intranet.

Senha

Essas configurações usam o CSP da política de DeviceLock, que também lista as edições compatíveis do Windows.

  • Senha: Exigir torna necessário que os usuários insiram uma senha para acessar o dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso a dispositivos sem uma senha. Aplica-se somente a contas locais. As senhas de conta de domínio permanecem configuradas pelo AD (Active Directory) e pelo Azure AD.

    DeviceLock/DevicePasswordEnabled CSP

    • Tipo de senha necessária: escolha o tipo de senha. Suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que a senha inclua números e letras.
      • Alfanumérica: a senha precisa ser uma mistura de letras e números.
      • Numérica: a senha só pode conter números.

      CSP DeviceLock/AlphanumericDevicePasswordRequired

    • Comprimento mínimo da senha: insira o número mínimo de caracteres necessários, de 4 a 16. Por exemplo, digite 6 exigir um comprimento de senha de pelo menos seis caracteres. Por padrão, o SO pode defini-lo como 4.

      DeviceLock/MinDevicePasswordLength CSP

      Importante

      Quando o requisito de senha é alterado em uma área de trabalho do Windows, os usuários são afetados na próxima vez em que entrarem, como quando os dispositivos passam de ociosos para ativos. Os usuários com senhas que atendam ao requisito ainda serão solicitados a alterar suas senhas.

    • Número de falhas de início de sessão antes de limpar o dispositivo: Insira o número de senhas erradas permitidas antes que o dispositivo seja apagado, até 11. O número válido inserido dependerá da edição. O CSP de DeviceLock/MaxDevicePasswordFailedAttempts lista os valores compatíveis. 0 (zero) pode desabilitar a funcionalidade de apagamento do dispositivo.

      Essa configuração também tem um impacto diferente, dependendo da edição. Para obter detalhes específicos dessa configuração, confira o CSP de DeviceLock/MaxDevicePasswordFailedAttempts.

    • Máximo de minutos de inatividade até a tela ser bloqueada: insira o período que um dispositivo deve permanecer ocioso antes da tela ser bloqueada. Por exemplo, digite 5 para bloquear dispositivos após eles estarem ociosos por 5 minutos. Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode defini-lo como 0 (zero), o que não tem tempo limite.

      DeviceLock/MaxInactivityTimeDeviceLock CSP

    • Expiração da senha (dias) : insira o período de tempo em dias após o qual a senha do dispositivo deve ser alterada, de 1 a 365. Por exemplo, para alterar a senha após 90 dias, insira 90. Quando o valor estiver em branco, o Intune não vai alterar nem atualizar essa configuração. Por padrão, o SO pode defini-lo como 0 (zero), o que não tem término.

      DeviceLock/DevicePasswordExpiration CSP

    • Evitar a reutilização de senhas anteriores: insira o número de senhas usadas anteriormente e que não podem ser usadas, de 1 a 24. Por exemplo, insira 5 para que os usuários não possam definir uma nova senha como a senha atual nem como nenhuma das quatro senhas anteriores. Quando o valor estiver em branco, o Intune não vai alterar nem atualizar essa configuração.

      DeviceLock/DevicePasswordHistory CSP

    • Exigir senha quando o dispositivo retorna do estado ocioso (Mobile e Holographic): Exigir força os usuários a digitar uma senha para desbloquear o dispositivo depois de um tempo de ociosidade. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir PIN ou senha depois de ficar ocioso.

      DeviceLock/AllowIdleReturnWithoutPassword CSP

    • Senhas simples: a opção Bloquear impede que os usuários criem senhas simples, como 1234 ou 1111. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários criem senhas simples. Essa configuração também bloqueia o uso de senhas de imagem.

      DeviceLock/AllowSimpleDevicePassword CSP

  • Criptografia automática durante AADJ: Bloquear impede a criptografia de dispositivo BitLocker automática quando os dispositivos são preparados para o primeiro uso e quando os dispositivos são ingressados no Azure AD. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode habilitar a criptografia.

    Mais sobre Criptografia do dispositivo BitLocker.

    Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP

  • Política do padrão FIPS: a opção Permitir usa a política FIPS (Padrão Federal de Processamento de Informações), que é um padrão do governo dos EUA para criptografia, hash e assinatura. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não permitir o FIPS.

    Cryptography/AllowFipsAlgorithmPolicy CSP

  • Autenticação de dispositivo do Windows Hello: a opção Permitir possibilita aos usuários usar um dispositivo complementar Windows Hello, como um telefone, pulseira fitness ou dispositivo de IoT para entrar em um computador com Windows 10. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode impedir a autenticação de dispositivos do Windows Hello Companion.

    Authentication/AllowSecondaryAuthenticationDevice CSP

  • Domínio de locatário do Azure AD preferido: insira um nome de domínio existente na sua organização do Azure AD. Quando os usuários nesse domínio entram, eles não precisam digitar o nome de domínio. Por exemplo, insira contoso.com. Usuários no domínio contoso.com podem entrar usando seu nome de usuário, como abby em vez de abby@contoso.com.

    Authentication/PreferredAadTenantDomainName CSP

Exceções de privacidade por aplicativo

Adicione aplicativos que devem ter um comportamento de privacidade diferente do definido em "Privacidade padrão".

  • Nome do Pacote: Nome da família do pacote do aplicativo.
  • Nome do Aplicativo: O nome do aplicativo.

Exceções

  • Informações da conta: Defina se esse aplicativo pode acessar o nome de usuário, a imagem e outras informações de contato.
  • Aplicativos em segundo plano: Defina se esse aplicativo pode ser executado em segundo plano.
  • Calendário: Defina se esse aplicativo pode acessar o calendário.
  • Histórico de chamadas: Defina se esse aplicativo pode acessar o histórico de chamadas.
  • Câmera: Defina se esse aplicativo pode acessar a câmera.
  • Contatos: Defina se esse aplicativo pode acessar os contatos.
  • Email: Defina se esse aplicativo pode acessar e enviar emails.
  • Localização: Defina se esse aplicativo pode acessar informações de localização.
  • Mensagens: Defina se esse aplicativo pode ler ou enviar mensagens de texto ou MMS.
  • Microfone: Defina se esse aplicativo pode usar o microfone.
  • Movimento: Defina se esse aplicativo pode acessar informações de movimento do dispositivo.
  • Notificações: Defina se esse aplicativo pode acessar as notificações.
  • Telefone: Defina se esse aplicativo pode acessar o telefone.
  • Rádios: Alguns aplicativos usam rádios (por exemplo, Bluetooth) no dispositivo para enviar e receber dados e precisam ativar ou desligar essas rádios. Defina se este aplicativo pode controlar essas rádios.
  • Tarefas: Defina se esse aplicativo pode acessar suas tarefas.
  • Dispositivos confiáveis: Escolha se esse aplicativo pode usar dispositivos confiáveis. Os dispositivos confiáveis são o hardware que você já conectou ou o que acompanha o dispositivo. Por exemplo, usar TVs, projetores e assim por diante como dispositivos confiáveis.
  • Comentários e diagnóstico: Defina se esse aplicativo pode acessar informações de diagnóstico.
  • Sincronização com dispositivos: Escolha se esse aplicativo pode compartilhar e sincronizar automaticamente informações com dispositivos sem fio que não são emparelhados explicitamente com o dispositivo.

Personalização

Essas configurações usam o CSP da política de personalização, que também lista as edições compatíveis do Windows.

  • URL da imagem de tela de fundo da área de trabalho (somente Desktop) : insira a URL para uma imagem no formato JPG, JPEG ou PNG que você deseja usar como o papel de parede da área de trabalho do Windows. Os usuários não podem alterar a foto. Por exemplo, insira https://contoso.com/logo.png.

    Quando o valor for deixado em branco, o Intune não vai alterar nem atualizar essa configuração.

Impressora

  • Impressoras: Adicione impressoras usando nomes de host de rede (nome DNS). O sistema operacional pesquisa e instala drivers de impressora correspondentes para cada impressora no dispositivo. Se você não inserir um valor, o Intune não vai alterar nem atualizar essa configuração.

    Education/PrinterNames CSP

  • Impressora padrão: Insira o nome do host de rede (nome DNS) de uma impressora instalada para usar como a impressora padrão. Se você não inserir um valor, o Intune não vai alterar nem atualizar essa configuração.

    Education/DefaultPrinterName CSP

  • Adicionar novas impressoras: Bloquear impede os usuários de adicionar novas impressoras. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir a adição de novas impressoras.

    Education/PreventAddingNewPrinters CSP

Privacidade

Essas configurações usam o CSP da política de privacidade, que também lista as edições compatíveis do Windows.

  • Experiência de privacidade: Bloquear impede que a experiência de privacidade seja aberta quando os usuários entram e que seja aberta para usuários novos e atualizados. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Privacy/DisablePrivacyExperience

  • Personalização de entrada: a opção Bloquear impede o uso de voz para ditado e para comunicação com a Cortana e outros aplicativos que usam o reconhecimento de fala baseado em nuvem da Microsoft. Ele é desabilitado e os usuários não podem habilitar as configurações de uso de reconhecimento de fala online. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários escolham. Se você permitir esses serviços, a Microsoft poderá coletar dados de voz para melhorar o serviço.

    Privacy/AllowInputPersonalization CSP

  • Aceitação automática das solicitações de consentimento do usuário de privacidade e emparelhamento: escolha a opção Permitir para que o Windows aceite automaticamente mensagens de consentimento de privacidade e emparelhamento ao executar aplicativos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode impedir a aceitação automática.

    Privacy/AllowAutoAcceptPairingAndPrivacyConsentPrompts CSP

  • Publicar atividades do usuário: Bloquear impede que os aplicativos e o sistema operacional publiquem atividades do usuário. Também impede o compartilhamento de experiências e a descoberta de recursos usados recentemente no feed de atividades. As atividades do usuário acompanham o estado das tarefas de um usuário em um aplicativo ou no SO. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode habilitar esse recurso para que os aplicativos possam publicar atividades do usuário.

    Privacy/PublishUserActivities CSP

  • Apenas atividades locais: A opção Bloquear impede o compartilhamento de experiências e a descoberta de recursos usados recentemente no alternador de tarefas, com base somente em atividades locais. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

Você pode configurar as informações que todos os aplicativos no dispositivo podem acessar. Defina também as exceções de acordo com o aplicativo que usa Exceções de privacidade por aplicativo.

Exceções

  • Informações da conta: Defina se esse aplicativo pode acessar o nome de usuário, a imagem e outras informações de contato.
  • Aplicativos em segundo plano: Defina se esse aplicativo pode ser executado em segundo plano.
  • Calendário: Defina se esse aplicativo pode acessar o calendário.
  • Histórico de chamadas: Defina se esse aplicativo pode acessar o histórico de chamadas.
  • Câmera: Defina se esse aplicativo pode acessar a câmera.
  • Contatos: Defina se esse aplicativo pode acessar os contatos.
  • Email: Defina se esse aplicativo pode acessar e enviar emails.
  • Localização: Defina se esse aplicativo pode acessar informações de localização.
  • Mensagens: Defina se esse aplicativo pode ler ou enviar mensagens de texto ou MMS.
  • Microfone: Defina se esse aplicativo pode usar o microfone.
  • Movimento: Defina se esse aplicativo pode acessar informações de movimento do dispositivo.
  • Notificações: Defina se esse aplicativo pode acessar as notificações.
  • Telefone: Defina se esse aplicativo pode acessar o telefone.
  • Rádios: Alguns aplicativos usam rádios (por exemplo, Bluetooth) no dispositivo para enviar e receber dados e precisam ativar ou desligar essas rádios. Defina se este aplicativo pode controlar essas rádios.
  • Tarefas: Defina se esse aplicativo pode acessar suas tarefas.
  • Dispositivos confiáveis: Escolha se esse aplicativo pode usar dispositivos confiáveis. Os dispositivos confiáveis são o hardware que você já conectou ou o que acompanha o dispositivo. Por exemplo, usar TVs, projetores e assim por diante como dispositivos confiáveis.
  • Comentários e diagnóstico: Escolha se esse aplicativo pode acessar informações de diagnóstico.
  • Sincronização com dispositivos – defina se este aplicativo pode compartilhar e sincronizar automaticamente informações com dispositivos sem fio que não emparelham explicitamente com este computador, tablet ou telefone.

Projeção

Essas configurações usam o CSP da política WirelessDisplay, que também lista as edições compatíveis do Windows.

  • Entrada do usuário de receptores de vídeo sem fio: a opção Bloquear impede a entrada do usuário de receptores de vídeo sem fio. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que um vídeo sem fio envie entrada de teclado, de mouse, à caneta e por toque de volta para o dispositivo de origem.

    WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP

  • Projeção neste computador: Bloquear impede que outros dispositivos localizem o dispositivo para projeção e impede a projeção de outros dispositivos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os dispositivos sejam detectáveis e pode projetar no dispositivo acima da tela de bloqueio.

    WirelessDisplay/AllowProjectionFromPC CSP

  • Exigir um PIN para emparelhamento: Exigir sempre solicita um PIN ao se conectar a um dispositivo de projeção. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não exigir um PIN para emparelhar o dispositivo.

    WirelessDisplay/RequirePinForPairing CSP

Relatório e telemetria

Para obter informações sobre as alterações recentes na Telemetria do Windows, confira Alterações na coleta de dados de diagnóstico do Windows.

  • Compartilhar dados de uso: Escolha o nível de dados de diagnóstico que são enviados. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários escolhem o nível que é enviado. Por padrão, o sistema operacional pode não compartilhar nenhum dado.
    • Dados de diagnóstico desativados: (não recomendado). Examine o Sistema CSP/AllowTelemetry para obter detalhes sobre essa configuração.
    • Obrigatório: envia informações básicas do dispositivo, incluindo dados relacionados à qualidade, compatibilidade de aplicativos e outros dados semelhantes para manter o dispositivo seguro e atualizado.
    • Avançado (1903 e mais recente) : insights adicionais, incluindo como o Windows, o Windows Server, o System Center e os aplicativos são usados, como eles se comportam, dados de confiabilidade avançados e dados do nível Obrigatório. Quando essa opção é implantada em um dispositivo que executa o Windows 1909 e posterior, o dispositivo é definido como Obrigatório.
    • Opcional: todos os dados necessários para identificar e ajudar a corrigir problemas, além de dados dos níveis Obrigatório e Avançado.

    CSP System/AllowTelemetry

  • Enviar dados de navegação do Microsoft Edge para a Análise do Microsoft 365: Para usar esse recurso, defina as configurações Compartilhar dados de uso como Avançado ou Completo. Esse recurso controla quais dados de dispositivos corporativos com uma ID comercial configurada o Microsoft Edge envia para a Análise do Microsoft 365. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode não coletar nem enviar dados de histórico de navegação.
    • Enviar somente dados da intranet: Permite que o administrador envie o histórico de dados da intranet.
    • Enviar somente dados da Internet: Permite que o administrador envie o histórico de dados da Internet.
    • Enviar dados da intranet e da Internet: Permite que o administrador envie o histórico de dados da intranet e da Internet.

    CSP Browser/ConfigureTelemetryForMicrosoft365Analytics CSP

  • Servidor proxy de telemetria: Insira o FQDN (nome de domínio totalmente qualificado) ou o endereço IP de um servidor proxy para encaminhar solicitações de Experiência do Usuário Conectado e Telemetria usando uma conexão do protocolo SSL. O formato para essa configuração é servidor:porta. Se o proxy nomeado falhar ou se um proxy não for inserido, os dados de experiência do usuário conectados e telemetria não serão enviados. Permanece no dispositivo local.

    Se você não inserir um valor, o Intune não vai alterar nem atualizar essa configuração. Por padrão, o SO pode enviar as Experiências de Usuário Conectado e os dados de Telemetria para a Microsoft usando a configuração de proxy padrão.

    Formatos de exemplo:

    IPv4: 192.246.246.106:100
    IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100
    FQDN: www.contoso.com:345
    

    CSP System/TelemetryProxy

Essas configurações usam o CSP da política de pesquisa, que também lista as edições compatíveis do Windows.

  • Pesquisa Segura (somente dispositivos móveis) : Controla como a Cortana filtra o conteúdo para adulto nos resultados da pesquisa. Suas opções:

    • Definido pelo usuário: o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários escolhem as próprias configurações.
    • Estrito: filtragem mais elevada contra conteúdo para adulto
    • Moderado: filtragem moderada contra conteúdo para adulto. Os resultados da pesquisa válidos não são filtrados.
  • Exibir resultados da Web na pesquisa: Bloquear impede que os usuários usem o Windows Search para pesquisar na Internet e os resultados da Web não são mostrados no Search. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários pesquisem na Web e os resultados sejam mostrados no dispositivo.

  • Diacríticos: Bloquear impede que os diacríticos sejam mostrados no Windows Search. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar diacríticos.

    Search/AllowUsingDiacritics CSP

  • Detecção automática de idioma: Bloquear impede que o Windows Search detecte automaticamente o idioma ao indexar o conteúdo ou as propriedades. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Search/AlwaysUseAutoLangDetection CSP

  • Local de pesquisa: Bloquear impede que o Windows Search use a localização. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Search/AllowSearchToUseLocation CSP

  • Retirada do indexador: Bloquear desabilita o recurso de retirada do indexador de pesquisa. A indexação continua em plena velocidade, mesmo com uma intensa atividade do sistema. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode usar a lógica de retirada para restringir a atividade de indexação quando a atividade do sistema estiver alta.

    Search/DisableBackoff CSP

  • Indexação de unidade removível: Bloquear impede que os locais em unidades removíveis sejam adicionados às bibliotecas e sejam indexados. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esse recurso.

    Search/DisableRemovableDriveIndexing CSP

  • Indexação de espaço em disco baixa: Habilitar permite a indexação automática, mesmo quando há pouco espaço em disco. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode desativar a indexação automática quando o espaço em disco rígido for de 600 MB ou menos. Se os dispositivos em sua organização tiverem espaço em disco rígido limitado, defina essa opção como Não configurado.

    Search/PreventIndexingLowDiskSpaceMB CSP

  • Consultas remotas: Habilitar permite consultas remotas do índice do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode impedir que os usuários consultem o índice do dispositivo remotamente.

    Search/PreventRemoteQueries CSP

Inicie o

Essas configurações usam o CSP da política de início, que também lista as edições compatíveis do Windows.

  • Layout do menu Iniciar: Carregue um arquivo XML que inclua suas personalizações, incluindo a ordem em que os aplicativos são listados, entre outros. O arquivo XML substitui o layout de início padrão. Os usuários não podem alterar o layout do menu Iniciar que você inserir.

    Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/StartLayout CSP

  • Fixar sites como blocos no menu Iniciar: Importar imagens do Microsoft Edge. Essas imagens são mostradas como links no menu Iniciar do Windows para dispositivos de desktop. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/ImportEdgeAssets CSP

  • Desafixar aplicativos da barra de tarefas: a opção Bloquear impede que usuários desafixem aplicativos da barra de tarefas. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários desafixem aplicativos da barra de tarefas.

    Start/NoPinningToTaskbar CSP

  • Troca Rápida de Usuário: a opção Bloquear impede a alternância entre usuários que estão conectados simultaneamente sem fazer logoff. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar o Usuário do comutador no bloco do usuário.

    Start/HideSwitchAccount CSP

  • Aplicativos mais usados: a opção Bloquear oculta os aplicativos mais usados no menu Iniciar. Isso também desabilita a alternância correspondente no aplicativo Configurações. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar os aplicativos mais usados.

    Start/HideFrequentlyUsedApps CSP

  • Aplicativos adicionados recentemente: Bloquear oculta os aplicativos adicionados recentemente no menu Iniciar. Isso também desabilita a alternância correspondente no aplicativo Configurações. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar os aplicativos adicionados recentemente no menu Iniciar.

    Start/HideRecentlyAddedApps CSP

  • Modo de tela inicial: Escolha o tamanho da tela inicial. Suas opções:

    • Definido pelo usuário: o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários podem definir o tamanho.
    • Tela inteira: força um tamanho de tela inteira do menu Iniciar.
    • Não utilização de tela inteira: Força um tamanho sem uso de tela inteira do menu Iniciar.

    Start/ForceStartSize CSP

  • Itens abertos recentemente nas Listas de Atalhos: a opção Bloquear oculta a exibição das listas de atalhos recentes no menu Iniciar e na barra de tarefas. Isso também desabilita a alternância correspondente no aplicativo Configurações. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar itens abertos recentemente no atalhos.

    Start/HideRecentJumplists CSP

  • Lista de aplicativos: escolha como todas as listas de aplicativos são mostradas. Suas opções:

    • Definido pelo usuário: o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários escolhem como a lista de aplicativos é mostrada.
    • Recolher: Oculta a lista todos os aplicativos.
    • Recolher e desabilitar o aplicativo Configurações: Oculta a lista de todos os aplicativos e desabilita a opção Mostrar lista de aplicativos no menu Iniciar no aplicativo Configurações.
    • Remove e desabilita o aplicativo Configurações: Oculta a lista de todos os aplicativos, remove o botão para mostrar todos os aplicativos e desabilita a opção Mostrar lista de aplicativos no menu Iniciar no aplicativo Configurações.

    Start/HideAppList CSP

  • Botão de energia: Bloquear oculta o botão de energia no menu iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar o botão de energia.

    Start/HidePowerButton CSP

  • Bloco do Usuário: Bloquear oculta o bloco do usuário no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar o bloco do usuário. Defina as seguintes configurações:

    • Bloqueio: Bloquear oculta a exibição da opção Bloquear no bloco do usuário no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar a opção Bloquear.
    • Sair: Bloquear oculta a exibição da opção Sair no bloco do usuário no menu Iniciar. Não configurado (padrão) mostra a opção Sair.

    Start/HideUserTile CSP

  • Desligar: Bloquear oculta as opções Atualizar e desligar e Desligar no botão de energia no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideShutDown CSP

  • Suspender: Bloquear oculta a opção Suspender no botão de energia no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideSleep CSP

  • Hibernar: Bloquear oculta a opção Hibernar no botão de energia no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideHibernate CSP

  • Trocar Conta: Bloquear oculta a opção Alternar conta no bloco do usuário no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideSwitchAccount CSP

  • Opções de Reinicialização: Bloquear oculta as opções Atualizar e desligar e Reiniciar do botão de energia no menu Iniciar. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Start/HideRestart CSP

  • Documentos em Iniciar: Oculte ou mostre a pasta Documentos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderDocuments CSP

  • Downloads em Iniciar: Oculte ou mostre a pasta Downloads no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderDownloads CSP

  • Explorador de Arquivos em Iniciar: oculte ou mostre o aplicativo Explorador de Arquivos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderFileExplorer CSP

  • HomeGroup em Iniciar: oculte ou mostre o atalho HomeGroup no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderHomeGroup CSP

  • Música em Iniciar: Oculte ou mostre a pasta Música no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderMusic CSP

  • Rede em Iniciar: ocultar ou mostrar Rede no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderNetwork CSP

  • Pasta Pessoal em Iniciar: ocultar ou mostrar a pasta Pessoal no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderPersonalFolder CSP

  • Imagens em Iniciar: Oculte ou mostre a pasta de imagens no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderPictures CSP

  • Configurações em Iniciar: ocultar ou mostrar o atalho Configurações no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderSettings CSP

  • Vídeos em Iniciar: Oculte ou mostre a pasta de vídeos no menu Iniciar do Windows. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários optam por mostrar ou ocultar o atalho.
    • Ocultar: O atalho está oculto e a configuração está desabilitada no aplicativo Configurações.
    • Mostrar: O atalho é mostrado e a configuração está desabilitada no aplicativo Configurações.

    Start/AllowPinnedFolderVideos CSP

Microsoft Defender SmartScreen

  • SmartScreen para Microsoft Edge: a opção Exigir ativa o Microsoft Defender SmartScreen e impede os usuários de desativá-lo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode ativar o SmartScreen e permitir que os usuários o ativem e desativem.

    O Microsoft Edge usa o Microsoft Defender SmartScreen (ativado) para proteger os usuários contra possíveis golpes de phishing e software mal-intencionado.

    CSP Browser/AllowSmartScreen

  • Acesso a sites mal-intencionados: a opção Bloquear impede que os usuários ignorem os avisos de Filtro do Microsoft Defender SmartScreen e os impede de visitar o site. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários ignorem os avisos e continuem no site.

    CSP Browser/PreventSmartScreenPromptOverride

  • Download de arquivo não verificado: Bloquear impede que os usuários ignorem os avisos do Filtro do Microsoft Defender SmartScreen e que baixem arquivos não verificados. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários ignorem os avisos e continuem a baixar arquivos não verificados.

    CSP Browser/PreventSmartScreenPromptOverrideForFiles

Destaque do Windows

Essas configurações usam o CSP da política de experiência, que também lista as edições compatíveis do Windows.

  • Destaque do Windows: a opção Bloquear desativa o Destaque do Windows na tela de bloqueio, Dicas do Windows, recursos do consumidor da Microsoft e outros recursos relacionados. Se sua meta for minimizar o tráfego de rede de dispositivos, então selecione Sim. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir recursos de destaque do Windows e pode ser controlado por usuários.

    Experience/AllowWindowsSpotlight CSP

    Quando definido como Não configurado, você também pode permitir ou bloquear as seguintes configurações:

    • Destaque do Windows na tela de bloqueio: a opção Bloquear impede a exibição de informações do Destaque do Windows na tela de bloqueio do dispositivo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar informações de destaque do Windows na tela de bloqueio.

      Experience/ConfigureWindowsSpotlightOnLockScreen CSP

    • Sugestões de terceiros no Destaque do Windows: a opção Bloquear impede a sugestão do Destaque do Windows de conteúdo não publicado pela Microsoft. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir sugestões de aplicativos e conteúdo de parceiros e mostrar aplicativos sugeridos no menu iniciar e dicas do Windows.

      Experience/AllowThirdPartySuggestionsInWindowsSpotlight CSP

    • Recursos de Consumidor: Bloquear desativa experiências que normalmente são para consumidores, como Sugestões de início, Notificações de associação, instalação de aplicativos após a configuração inicial pelo usuário e redirecionamento de blocos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

      Experience/AllowWindowsConsumerFeatures CSP

    • Dicas do Windows: a opção Bloquear desabilita pop-ups de Dicas do Windows. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que as dicas do Windows sejam exibidas.

      Experience/AllowWindowsTips CSP

    • Destaque do Windows na central de ações: a opção Bloquear impede que as notificações do Destaque do Windows Apareçam na Central de Ações. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode mostrar notificações na Central de Ações que sugiram aplicativos ou recursos para ajudar os usuários a serem mais produtivos no Windows.

      Experience/AllowWindowsSpotlightOnActionCenter CSP

    • Personalização do Destaque do Windows: Bloquear impede que o Windows use dados de diagnóstico para fornecer experiências personalizadas para usuários. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que a Microsoft use dados de diagnóstico para fornecer recomendações personalizadas, dicas e ofertas para adaptar o Windows às necessidades do usuário.

      Experience/AllowTailoredExperiencesWithDiagnosticData CSP

    • Experiência de Boas-vindas do Windows: a opção Bloquear desativa o recurso de experiência de boas-vindas do Windows do Destaque do Windows. A experiência de boas-vindas do Windows não será exibida quando houver atualizações e alterações para o Windows e seus aplicativos. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a experiência de boas-vindas do Windows que mostra aos usuários informações sobre recursos novos ou atualizados.

      Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP

Microsoft Defender Antivírus

Essas configurações usam o CSP da política do Defender, que também lista as edições compatíveis do Windows.

  • Monitoramento em tempo real: a opção Habilitar ativa a verificação em tempo real de malware, spyware e outros softwares indesejados. Os usuários finais não podem desativá-lo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa esse recurso e permite que os usuários o alterem.

    Se você habilitar essa configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowRealtimeMonitoring

  • Monitoramento de comportamento: a opção Habilitar ativa o monitoramento de comportamento e a verificação de certos padrões de atividade suspeita nos dispositivos. Os usuários não podem desativar o monitoramento de comportamento. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode ativar o Monitoramento de Comportamento e permitir que os usuários o alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowBehaviorMonitoring

  • NIS (Sistema de Inspeção de Rede) : O NIS ajuda a proteger dispositivos contra explorações baseadas em rede. Ele utiliza assinaturas de vulnerabilidades conhecidas do Microsoft Endpoint Protection Center para ajudar a detectar e bloquear o tráfego mal-intencionado.

    • Habilitar: Ativa a proteção de rede e o bloqueio de rede. Os usuários finais não podem desativá-lo. Quando essa opção é habilitada, os usuários são impedidos de se conectar a vulnerabilidades conhecidas.

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa o NIS e permite que os usuários o alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/EnableNetworkProtection

  • Examinar todos os downloads: a opção Habilitar ativa essa configuração e o Defender examina todos os arquivos baixados da Internet. Os usuários não podem desativar essa configuração. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode ativar essa configuração e permitir que os usuários a alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowIOAVProtection

  • Examinar scripts carregados em navegadores da Web da Microsoft: a opção Habilitar permite que o Defender verifique os scripts que são usados no Internet Explorer. Os usuários não podem desativar essa configuração. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode ativar essa configuração e permitir que os usuários a alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowScriptScanning

  • Acesso do usuário final ao Defender: Bloquear oculta a interface do usuário do Microsoft Defender dos usuários. Todas as notificações do Microsoft Defender também são suprimidas. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o usuário acesse a interface do usuário do Microsoft Defender e permite que os usuários a alterem.

    Se você bloquear a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    Quando essa configuração for alterada, entrará em vigor na próxima vez em que o dispositivo for reiniciado.

    CSP de Defender/AllowUserUIAccess

  • Intervalo de atualização de inteligência de segurança (em horas) : insira o intervalo que o Defender verificará em busca de uma nova inteligência de segurança, de 0 a 24. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. O padrão do sistema operacional pode verificar se há atualizações a cada 8 horas.
    • Não verificar: o Defender não verifica se há novas atualizações de inteligência de segurança.
    • 1 a 24: 1 verifica a cada hora, 2 verifica a cada duas horas, 24 verifica a cada dia e assim por diante.

    CSP de Defender/SignatureUpdateInterval

  • Monitorar a atividade de arquivos e de programas: Permite que o Defender monitore a atividade de arquivos e programas nos dispositivos. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. O padrão do sistema operacional poderá monitorar todos os arquivos.
    • Monitoramento desabilitado
    • Monitorar todos os arquivos
    • Monitorar somente os arquivos recebidos
    • Monitorar somente os arquivos enviados

    CSP de Defender/RealTimeScanDirection

  • Dias antes da exclusão de malware em quarentena: continue acompanhando o malware resolvido pelo número de dias inserido para que você possa examinar manualmente os dispositivos afetados anteriormente.

    Se você não definir essa configuração ou defini-la como 0 dias, o malware permanecerá na pasta Quarentena e não será removido automaticamente. Quando definido como 90, itens em quarentena são armazenados por 90 dias no sistema e, em seguida, removidos.

    CSP de Defender/DaysToRetainCleanedMalware

  • Limite de uso da CPU durante um exame: limitação da quantidade de CPU que as verificações têm permissão para usar, de 0 a 100%. Por padrão, o sistema operacional pode defini-lo como 50%.

  • Examinar arquivos mortos: a opção Habilitar ativa o Defender, de modo que ele examine arquivos mortos, como arquivos zip ou cab. Os usuários não podem desativar essa configuração. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode ativar esse exame e permitir que os usuários a alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowArchiveScanning

  • Examinar mensagens de email recebidas: Habilitar permite que o Defender verifique mensagens de email assim que elas chegam nos dispositivos. Quando essa opção é habilitada, o mecanismo analisa os arquivos de caixa de correio e de email para analisar o corpo e os anexos dos emails. É possível verificar os formatos .pst (Outlook), .dbx, .mbx, MIME (Outlook Express) e BinHex (Mac).

    Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional desativa essa verificação e permite que os usuários a alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowEmailScanning

  • Examinar unidades removíveis durante um exame completo: a opção Habilitar ativa as verificações da unidade removível do Defender durante uma verificação completa. Os usuários não podem desativar essa configuração. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO permite que o Defender verifique unidades removíveis, como pen drives, e permite que os usuários alterem essa configuração.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    Durante uma verificação rápida, as unidades removíveis ainda podem ser verificadas.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowFullScanRemovableDriveScanning

  • Examinar unidades de rede mapeadas durante um exame completo: a opção Habilitar faz com que o Defender verifique os arquivos existentes em unidades de rede mapeadas. Se os arquivos na unidade forem somente leitura, o Defender não consegue remover nenhum malware encontrado ali. Os usuários não podem desativar essa configuração.

    Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional ativa esse recurso e permite que os usuários o alterem.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    Durante uma verificação rápida, as unidades de rede mapeadas ainda podem ser verificadas.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowFullScanOnMappedNetworkDrives

  • Examinar arquivos abertos em pastas de rede: a opção Habilitar faz com que o Defender examine os arquivos abertos das pastas de rede ou das unidades de rede compartilhadas, como arquivos acessados em um caminho UNC. Os usuários não podem desativar essa configuração. Se os arquivos na unidade forem somente leitura, o Defender não consegue remover nenhum malware encontrado ali.

    Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional verifica os arquivos abertos das pastas de rede e permite que os usuários alterem essa configuração.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowScanningNetworkFiles

  • Proteção de nuvem: a opção Habilitar ativa o Microsoft Active Protection Service para receber informações sobre a atividade de malware de dispositivos gerenciados. Os usuários não podem alterar essa configuração.

    Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional permite que o Microsoft Active Protection Service receba informações e permite que os usuários alterem essa configuração.

    Se você habilitar a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente.

    O Intune não desativa esse recurso. Para desabilitá-lo, use um URI personalizado.

    CSP de Defender/AllowCloudProtection

  • Perguntar aos usuários antes do envio de amostras: Controla se arquivos potencialmente mal-intencionados que possam exigir análise adicional são enviados automaticamente para a Microsoft. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. O padrão do sistema operacional poderá enviar amostras seguras automaticamente.
    • Sempre solicitar
    • Avisar antes de enviar dados pessoais
    • Nunca enviar dados
    • Enviar todos os dados sem solicitar: os dados são enviados automaticamente.

    CSP de Defender/SubmitSamplesConsent

  • Hora para realizar um exame rápido diário: escolha da hora para executar uma verificação rápida diária. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode executar essa verificação às 2h.

    Se você quiser mais personalização, defina a configuração Tipo de verificação do sistema a executar.

    Defender/ScheduleQuickScanTime CSP

  • Tipo de exame do sistema a ser realizado: agenda uma verificação do sistema, incluindo o nível de verificação e o dia e a hora para executar o exame. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. nenhuma configuração é forçada. Os usuários podem executar manualmente verificações conforme necessário ou desejado em seus dispositivos.
    • Desabilitar: desabilita todos os tipos de verificação do sistema nos dispositivos. Escolha esta opção se você estiver usando uma solução de antivírus de parceiro que verifique os dispositivos.
    • Exame rápido: examina os locais comuns em que pode haver malware registrado, como chaves do Registro e pastas de inicialização conhecidas do Windows.
      • Dia do agendamento: escolha do dia no qual executar a verificação.
      • Hora do agendamento: escolha o horário no qual executar a verificação.
    • Verificação completa: examina os locais comuns nos quais pode haver malware registrado e também examina cada arquivo e pasta no dispositivo.
      • Dia do agendamento: escolha do dia no qual executar a verificação.
      • Hora do agendamento: escolha o horário no qual executar a verificação.

    Dica

    Essa configuração pode entrar em conflito com a configuração de Hora para executar uma verificação rápida diária. Algumas recomendações:

    • Caso deseje agendar uma verificação rápida diária e uma verificação completa semanal:

      1. Defina a configuração Hora para executar uma verificação rápida diária.
      2. Configure o Tipo de verificação do sistema a ser executado para fazer uma verificação completa.
    • Se você quiser apenas uma verificação rápida diária (sem a verificação completa), use uma das configurações: Hora para executar uma verificação rápida diária ou Tipo de verificação do sistema a executar. Por exemplo, para executar uma verificação rápida nas terças-feiras às 6h, defina a configuração Tipo de verificação do sistema a executar.

    • Não defina a configuração Hora para executar uma verificação rápida diária definindo simultaneamente o Tipo de verificação do sistema a realizar como Verificação rápida. Essas configurações podem entrar em conflito e uma verificação poderá não ser executada.

    Defender/ScanParameter CSP
    Defender/ScheduleScanDay CSP
    Defender/ScheduleScanTime CSP

  • Detectar aplicativos potencialmente indesejados: Esse recurso identifica e impede PUAs (aplicativos potencialmente indesejados) de serem baixados e instalados em sua rede. Esses aplicativos não são considerados vírus, malware nem outros tipos de ameaças. No entanto, eles podem executar ações em pontos de extremidade que podem afetar o desempenho ou o uso. Escolha o nível de proteção quando o Windows detectar PUAs. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o Microsoft Defender pode desabilitar esse recurso.
    • Desativado ou Desabilitado: proteção do PUA desativada.
    • Habilitar: O Microsoft Defender detecta o PUAs e os itens detectados são bloqueados. Esses itens são mostrados no histórico, juntamente com outras ameaças.
    • Auditoria: O Microsoft Defender detecta o PUAs, mas não realiza nenhuma ação. Você pode examinar informações sobre os aplicativos com relação aos quais o Microsoft Defender realizaria alguma ação. Por exemplo, procure eventos criados pelo Microsoft Defender no Visualizador de Eventos.

    No Endpoint Security > Antivírus > Microsoft Defender Antivírus > Correção, essa configuração é chamada de Ação para assumir aplicativos potencialmente indesejados.

    Para obter mais informações sobre aplicativos potencialmente indesejados, consulte Detectar e bloquear aplicativos potencialmente indesejados.

    CSP de Defender/PUAProtection

  • Enviar amostras de consentimento: atualmente, essa configuração não tem nenhum impacto. Não use essa configuração. Ela poderá ser removida em uma versão futura.

  • Proteção em Tempo Real: Bloquear impede a verificação de arquivos que foram acessados ou baixados. Os usuários não podem ativá-lo. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode habilitar esse recurso e permitir que os usuários o alterem.

    Se você bloquear a configuração e, em seguida, alterá-la novamente para Não configurado, o Intune manterá a configuração no estado configurado anteriormente do SO.

    O Intune não ativa esse recurso. Para habilitá-lo, use um URI personalizado.

    CSP do Defender/AllowOnAccessProtection

  • Ações contra ameaças de malware detectadas: Selecione Habilitar para escolher as ações que o Defender executará para cada nível de ameaça detectado: baixo, moderado, alto e grave. Quando essa opção é definida como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que o Microsoft defender escolha a melhor opção.

    Quando definido como Habilitar, selecione a ação:

    • Apagar
    • Quarentena
    • Removerr
    • Permitir
    • Definido pelo usuário
    • Bloquear

    Se a ação não for possível, o Microsoft Defender escolherá a melhor opção para garantir que a ameaça seja corrigida.

    CSP de Defender/ThreatSeverityDefaultAction

Exclusões do Microsoft Defender Antivírus

Você pode excluir determinados arquivos das verificações do Microsoft Defender Antivírus modificando as listas de exclusão. Em geral, você não deve precisar aplicar exclusões. O Microsoft Defender Antivírus inclui inúmeras exclusões automáticas com base e comportamentos conhecidos do sistema operacional e arquivos de gerenciamento comuns, como aqueles usados no gerenciamento empresarial, no gerenciamento de banco de dados e outros cenários e situações empresariais.

Aviso

A definição de exclusões reduz a proteção oferecida pelo Microsoft Defender Antivírus. Sempre avalie os riscos associados à implementação de exclusões. Somente exclua os arquivos que você sabe que não são mal-intencionados.

  • Arquivos e pastas a serem excluídos de exames e da proteção em tempo real: Adiciona um ou mais arquivos e pastas como C:\Path ou ProgramFiles%\Path\filename.exe à lista de exclusões. Esses arquivos e pastas não serão incluídos em verificações em tempo real ou programadas.
  • Extensões de arquivo a serem excluídas de exames e da proteção em tempo real: Adicionar uma ou mais extensões de arquivo como jpg ou txt à lista de exclusões. Qualquer arquivo com essas extensões serão excluídos de verificações em tempo real ou programadas.
  • Processos a serem excluídos de exames e da proteção em tempo real: Adicionar um ou mais processos do tipo .exe, .com, ou . scr à lista de exclusões. Esses processos serão excluídos em verificações em tempo real ou programadas.

Configurações da energia

Essas configurações usam o CSP da política de energia, que também lista as edições compatíveis do Windows.

Bateria

  • Nível da bateria para ativar a Economia de Energia: quando o dispositivo estiver usando a energia da bateria, insira o nível de carga da bateria para ativar a Economia de Energia de 0 a 100. Insira um valor percentual que indique o nível de carga da bateria. Por exemplo, quando esse valor é definido como 80, a Economia de Energia é ativada quando a bateria tem 80% de carga ou menos disponível.

    Se você não inserir um valor, o Intune não vai alterar nem atualizar essa configuração. Por padrão, o sistema operacional pode defini-lo como 70%.

    CSP de Power/EnergySaverBatteryThresholdOnBattery

  • Fechamento da tampa (somente dispositivos móveis) : quando o dispositivo está usando a energia da bateria, escolha o que acontece quando a tampa é fechada. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua usando a energia da bateria.
    • Suspender: o dispositivo entra no modo de suspensão e usa uma pequena quantidade de carga da bateria. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.
    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.
    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

    CSP de Power/SelectLidCloseActionOnBattery

  • Botão de energia: quando o dispositivo está usando a energia da bateria, escolha o que acontece quando o botão de energia é selecionado. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua usando a energia da bateria.
    • Suspender: o dispositivo entra no modo de suspensão e usa uma pequena quantidade de carga da bateria. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.
    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.
    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

    CSP de Power/SelectPowerButtonActionOnBattery

  • Botão Suspensão: quando o dispositivo está usando a energia da bateria, escolha o que acontece quando o botão Suspender é selecionado. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários controlem essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado e continua usando a energia da bateria.
    • Suspender: o dispositivo entra no modo de suspensão e usa uma pequena quantidade de carga da bateria. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.
    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.
    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

    CSP de Power/SelectSleepButtonActionOnBattery

  • Suspensão híbrida: Quando o dispositivo estiver usando energia da bateria, escolha permitir ou desabilitar o modo de suspensão híbrida.

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários controlem essa configuração.
    • Habilitar: Os dispositivos podem entrar no modo de suspensão híbrida. Os aplicativos e os arquivos abertos são armazenados na memória RAM e no disco rígido. Ele usa uma pequena quantidade de carga da bateria.
    • Desabilitar: Impede que os dispositivos entrem no modo de suspensão híbrida.

    CSP de Power/TurnOffHybridSleepOnBattery

PluggedIn

  • Nível da bateria para ativar a Economia de Energia: quando o dispositivo estiver conectado, insira o nível de carga da bateria para ativar a Economia de Energia de 0 a 100. Insira um valor percentual que indique o nível de carga da bateria. Por exemplo, quando esse valor é definido como 80, a Economia de Energia é ativada quando a bateria tem 80% de carga ou menos disponível.

    Se você não inserir um valor, o Intune não vai alterar nem atualizar essa configuração. Por padrão, o sistema operacional pode defini-lo como 70%.

    CSP de Power/EnergySaverBatteryThresholdPluggedIn

  • Fechamento da tampa (somente dispositivos móveis) : quando o dispositivo está conectado, escolha o que acontece quando a tampa é fechada. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.

    • Nenhuma ação: o dispositivo permanece ligado.

    • Suspender: o dispositivo entra no modo de suspensão. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.

    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.

    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

      CSP de Power/SelectLidCloseActionPluggedIn

  • Botão de energia: quando o dispositivo está conectado, escolha o que acontece quando o botão de energia é selecionado. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado.
    • Suspender: o dispositivo entra no modo de suspensão. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.
    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.
    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

    CSP de Power/SelectPowerButtonActionPluggedIn

  • Botão Suspensão: quando o dispositivo está conectado, escolha o que acontece quando o botão Suspender é selecionado. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Nenhuma ação: o dispositivo permanece ligado.
    • Suspender: o dispositivo entra no modo de suspensão. O computador ainda está ativado e os aplicativos e os arquivos abertos são armazenados na memória RAM.
    • Hibernar: o dispositivo entra no modo de hibernação. Os aplicativos e os arquivos abertos são armazenados no disco rígido e o dispositivo é desligado.
    • Desligar: o dispositivo é desligado. Os aplicativos e os arquivos abertos são fechados sem salvá-los.

    CSP de Power/SelectSleepButtonActionPluggedIn

  • Suspensão híbrida: Quando o dispositivo estiver conectado, escolha permitir ou desabilitar o modo de suspensão híbrida.

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração. Por padrão, o SO pode permitir que os usuários controlem essa configuração.
    • Habilitar: Os dispositivos podem entrar no modo de suspensão híbrida. Os aplicativos e os arquivos abertos são armazenados na memória RAM e no disco rígido.
    • Desabilitar: Impede que os dispositivos entrem no modo de suspensão híbrida.

    CSP de Power/TurnOffHybridSleepPluggedIn

Próximas etapas

Confira os detalhes técnicos adicionais sobre cada configuração e quais edições do Windows são compatíveis em Referência do CSP de Política do Windows 10

Atribuir o perfil e monitorar o status dele.