Definir a autoridade de gerenciamento de dispositivo móvel

A configuração de autoridade de gerenciamento de dispositivo móvel (MDM) determina como você gerenciar seus dispositivos. Como administrador de TI, você deverá definir uma autoridade MDM antes que os usuários possam registrar dispositivos para gerenciamento.

As configurações possíveis são:

  • Intune Autônomo – gerenciamento apenas na nuvem, que você pode configurar usando o portal do Azure. Inclui o conjunto completo de recursos que o Intune oferece. Definir a autoridade MDM no console do Intune.

  • Cogerenciamento do Intune – integração da solução de nuvem do Intune com o Configuration Manager para dispositivos Windows 10. Você configura o Intune usando o console do Configuration Manager. Configure o registro automático de dispositivos ao Intune.

  • Mobilidade e Segurança Básicas para o Microsoft 365 – se essa configuração estiver ativada, você verá a autoridade de MDM definida como "Office 365". Se quiser começar a usar o Intune, será preciso adquirir licenças do Intune.

  • Mobilidade e Segurança Básicas para o Microsoft 365 coexistência – você poderá adicionar o Intune ao seu locatário se já estiver usando a Mobilidade e Segurança Básicas para o Microsoft 365 e definir a autoridade de gerenciamento como Intune ou Mobilidade e Segurança Básicas para o Microsoft 365 para cada usuário a fim de determinar qual serviço será usado no gerenciamento de dispositivos registrados no MDM. A autoridade de gerenciamento de cada usuário é definida com base na licença atribuída ao usuário: se o usuário tiver apenas uma licença para o Microsoft 365 Básico ou Padrão, seus dispositivos serão gerenciados pela Mobilidade e Segurança Básicas para Microsoft 365. Se o usuário tiver um direito a licença do Intune, seus dispositivos serão gerenciados pelo Intune. Se você adicionar um direito de licença do Intune a um usuário gerenciado anteriormente pela Mobilidade e Segurança Básicas para o Microsoft 365, os dispositivos dele serão alternados para o gerenciamento do Intune. Verifique se as configurações do Intune estão atribuídas aos usuários para substituir a Mobilidade e Segurança Básicas para o Microsoft 365 antes de alternar os usuários para o Intune, caso contrário, os dispositivos deles perderão a configuração de Mobilidade e Segurança Básicas para o Microsoft 365 e não receberão nenhuma substituição do Intune.

Definir a autoridade de MDM para o Intune

Para locatários que usam a versão de serviço 1911 e posterior, a autoridade de MDM é definida automaticamente como o Intune.

Para locatários com versão de serviço anterior à 1911, se você ainda não tiver definido a autoridade de MDM, siga as etapas abaixo.

  1. No Centro de administração do Microsoft Endpoint Manager, selecione a faixa laranja para abrir a configuração Autoridade de Gerenciamento de Dispositivo Móvel. A faixa laranja somente será exibida se você ainda não tiver definido a autoridade de MDM.
  2. Em Autoridade de Gerenciamento de Dispositivo Móvel, escolha sua autoridade MDM entre as seguintes opções:
  • Autoridade MDM do Intune
  • Nenhum

Captura da tela da definição de autoridade de gerenciamento de dispositivo móvel do Intune

Uma mensagem indica que você configurou com êxito o Intune como autoridade MDM.

Fluxo de trabalho da Interface do Usuário da administração do Intune

Quando o gerenciamento de dispositivo Android ou Apple está habilitado, o Intune envia informações do dispositivo e do usuário a serem integradas com esses serviços de terceiros para que eles gerenciem seus respectivos dispositivos.

Os cenários que adicionam um consentimento para compartilhar dados estão inclusos quando:

  • Você habilita perfis de trabalho de propriedade pessoal ou corporativa do Android Enterprise.
  • Você habilita e carrega os certificados por Push de MDM da Apple.
  • Você habilita qualquer um dos serviços da Apple, como o Programa de Registro de Dispositivos, o School Manager ou o Volume Purchase Program.

Em cada caso, o consentimento está estritamente relacionado à execução de um serviço de gerenciamento de dispositivos móveis. Por exemplo, confirmar que um Administrador de TI autorizou os dispositivos do Google ou da Apple a se inscreverem. A documentação que trata das informações que serão compartilhadas quando os novos fluxos de trabalho forem ativados está disponível nos seguintes locais:

Principais Considerações

Depois de alternar para a nova autoridade de MDM, provavelmente haverá tempo de transição (até oito horas) antes de o dispositivo fazer o check-in e sincronizar com o serviço. É necessário definir as configurações na nova autoridade de MDM para garantir que os dispositivos registrados continuem sendo gerenciados e protegidos após a alteração.

  • Os dispositivos devem se conectar ao serviço após a alteração para que as configurações da nova autoridade de MDM (Intune autônomo) substituam as configurações existentes no dispositivo.
  • Depois que você alterar a autoridade de MDM, algumas das configurações básicas (como perfis) da autoridade de MDM anterior permanecerão no dispositivo por até sete dias ou até que o dispositivo se conecte ao serviço pela primeira vez. Recomendamos que você defina aplicativos e configurações (como políticas, perfis e aplicativos) na nova autoridade de MDM assim que possível e implante as configurações nos grupos de usuários que contêm usuários com dispositivos registrados existentes. Assim que um dispositivo se conectar ao serviço após a alteração na autoridade de MDM, ele receberá as novas configurações da nova autoridade de MDM e evitará falhas na proteção e no gerenciamento.
  • Os dispositivos que não têm usuários associados (normalmente quando você tem o Programa de registro de dispositivos iOS/iPadOS ou cenários de registro em massa) não são migrados para a nova autoridade de MDM. Para esses dispositivos, você precisa chamar o suporte para obter assistência para movê-los para a nova autoridade de MDM.

Coexistência

Habilitar a coexistência permite que você use o Intune para um novo conjunto de usuários, enquanto continua a usar a Mobilidade e Segurança Básicas para os usuários existentes. Você controla quais dispositivos são gerenciados pelo Intune por meio do usuário. Se um usuário receber uma licença do Intune ou estiver usando o cogerenciamento do Intune com o Configuration Manager, todos os dispositivos registrados dele serão gerenciados pelo Intune. Caso contrário, o usuário será gerenciado pela Mobilidade e Segurança Básicas.

Há três etapas principais para habilitar a coexistência:

  1. Preparação
  2. Adicionar autoridade de MDM do Intune
  3. Migração de usuário e dispositivo (opcional).

Preparação

Antes de habilitar a coexistência com Mobilidade e Segurança Básicas, considere os seguintes pontos:

  • Verifique se você tem licenças do Intune suficientes para os usuários que pretende gerenciar por meio do Intune.
  • Revise quais usuários receberam licenças do Intune. Depois que você habilitar a coexistência, qualquer usuário que já tenha uma licença do Intune terá seus dispositivos alternados para o Intune. Para evitar alterações inesperadas de dispositivo, recomendamos não atribuir nenhuma licença do Intune até habilitar a coexistência.
  • Crie e implante políticas do Intune para substituir as políticas de segurança de dispositivo que foram implantadas originalmente por meio do portal de Segurança e Conformidade do Office 365. Essa substituição deve ser feita para todos os usuários que você pretende mover da Mobilidade e Segurança Básicas para o Intune. Se não houver nenhuma política do Intune atribuída a esses usuários, habilitar a coexistência poderá fazer com que eles percam as configurações de Mobilidade e Segurança Básicas. Essas configurações serão perdidas sem substituição, como os perfis de email gerenciados. Mesmo ao substituir as políticas de segurança do dispositivo por políticas do Intune, os usuários podem ser solicitados a reautenticar seus perfis de email após o dispositivo ser movido para o gerenciamento do Intune.
  • Não é possível desprovisionar a Mobilidade e a Segurança Básicas após a configuração. No entanto, há etapas que podem ser tomadas para desativar as políticas. Para obter mais informações, consulte Desativar Mobilidade e Segurança Básicas.

Adicionar autoridade de MDM do Intune

Para habilitar a coexistência, você deve adicionar o Intune como a autoridade de MDM do seu ambiente:

  1. Entre no Centro de administração do Microsoft Endpoint Manager com direitos de Administrador global do Azure AD ou Administrador de serviços do Intune.
  2. Navegue até Dispositivos.
  3. É exibida a folha Adicionar Autoridade de MDM.
  4. Para alternar a autoridade de MDM do Office 365 para o Intune e habilitar a coexistência, selecione Autoridade de MDM do Intune > Adicionar. Captura de tela de Adicionar Autoridade de MDM

Migrar usuários e dispositivos (opcional)

Depois que a autoridade de MDM do Intune estiver habilitada, a coexistência será ativada e você poderá começar a gerenciar usuários por meio do Intune. Como opção, se você quiser mover os dispositivos gerenciados anteriormente pela Mobilidade e Segurança Básicas para serem gerenciados pelo Intune, atribua uma licença do Intune a esses usuários. Os dispositivos dos usuários mudarão para o Intune no próximo check-in de MDM. As configurações aplicadas a esses dispositivos por meio da Mobilidade e Segurança Básicas não serão mais aplicadas e serão removidas dos dispositivos.

Limpeza de dispositivo móvel após a expiração do certificado MDM

O certificado MDM é renovado automaticamente quando os dispositivos móveis estão se comunicando com o serviço Intune. Se os dispositivos móveis forem apagados ou se eles não conseguirem se comunicar com o serviço Intune por um certo período, o certificado de MDM não será renovado. O dispositivo é removido do Portal do Azure 180 dias após a expiração do certificado de MDM.

Remover a autoridade de MDM

A autoridade de MDM não pode ser alterada novamente para Desconhecida. A autoridade de MDM é usada pelo serviço a fim de determinar para qual portal os dispositivos registrados devem se reportar (Microsoft Intune ou Mobilidade e Segurança Básicas para o Microsoft 365).

O que esperar após a alteração da autoridade de MDM

  • Quando o serviço Intune detecta que a autoridade de MDM de um locatário foi alterada, ele envia uma mensagem de notificação para todos os dispositivos registrados para fazer check-in e sincronizar com o serviço (essa notificação ocorre fora do check-in agendado regularmente). Portanto, depois que a autoridade de MDM do locatário for alterada do Intune autônomo, todos os dispositivos que estiverem ligados e online se conectarão ao serviço, receberão a nova autoridade de MDM e serão gerenciados por ela. Não há interrupção no gerenciamento e na proteção desses dispositivos.
  • Mesmo para os dispositivos ligados e online durante (ou logo após) a alteração na autoridade de MDM, haverá um atraso de até oito horas (dependendo do horário do próximo check-in regular agendado) antes de os dispositivos serem registrados no serviço sob a nova autoridade de MDM.

Importante

Entre o momento em que você altera a autoridade de MDM e em que o certificado APNs renovado é carregado para a nova autoridade, novos registros de dispositivo e check-in de dispositivo para dispositivos iOS/iPadOS falham. Portanto, é importante que você analise e carregue o certificado de APNs para a nova autoridade assim que possível após a alteração na autoridade de MDM.

  • Os usuários podem alterar rapidamente para a nova autoridade de MDM iniciando manualmente um check-in do dispositivo para o serviço. Os usuários podem fazer essa alteração facilmente usando o aplicativo Portal da Empresa e iniciando uma verificação de conformidade do dispositivo.
  • Para verificar se tudo está funcionando corretamente depois que os dispositivos fizerem check-in e forem sincronizados com o serviço após a alteração da autoridade de MDM, procure os dispositivos na nova autoridade de MDM.
  • Há um período intermediário em que um dispositivo fica offline durante a alteração na autoridade de MDM até ele fazer check-in no serviço. Para ajudar a garantir que o dispositivo permaneça protegido e funcionando durante esse intervalo, os seguintes perfis permanecerão no dispositivo por até sete dias (ou até que o dispositivo se conecte com a nova autoridade de MDM e receba novas configurações que substituirão as existentes):
    • Perfil de email
    • Perfil da VPN
    • Perfil de certificado
    • Perfil de Wi-Fi
    • Perfis de configuração
  • Após você alterar para a nova autoridade de MDM, os dados de conformidade no console de administração do Microsoft Intune poderá levar até uma semana para relatar com precisão. No entanto, os estados de conformidade no Azure Active Directory e no dispositivo serão precisos, então, o dispositivo ainda estará protegido.
  • Verifique se as novas configurações que se destinam a substituir as configurações existentes têm o mesmo nome que as anteriores para garantir que as configurações antigas sejam substituídas. Caso contrário, os dispositivos podem acabar com políticas e perfis redundantes.

Dica

Como prática recomendada, você deve criar todos os parâmetros de gerenciamento e as configurações, além das implantações, logo após a alteração para a autoridade de MDM ser concluída. Isso ajuda a garantir que os dispositivos estejam protegidos e sejam gerenciados ativamente durante o período intermediário.

  • Depois de alterar a autoridade MDM, execute as etapas a seguir para validar que os novos dispositivos sejam registrados com êxito para a nova autoridade:
    • Registrar um novo dispositivo
    • Verifique se o dispositivo recém-registrado é mostrado na nova autoridade de MDM.
    • Execute uma ação, como Bloqueio Remoto, do console de administração para o dispositivo. Se a ação for bem-sucedida, isso significa que o dispositivo está sendo gerenciado pela nova autoridade de MDM.
  • Se você tiver problemas com dispositivos específicos, poderá cancelar o registro deles e registrá-los novamente para que se conectem à nova autoridade e sejam gerenciados o mais rapidamente possível.

Próximas etapas

Com a autoridade de MDM definida, você pode começar o registro de dispositivos.