Níveis de proteção e configuração em Microsoft Intune

  • Artigo

Microsoft Intune fornece aos administradores a capacidade de criar políticas aplicadas a usuários, dispositivos e aplicativos. Essas políticas podem variar de um conjunto mínimo a políticas mais seguras ou controladas. Essas políticas dependem das necessidades da organização, dos dispositivos usados e do que os dispositivos farão.

Quando estiver pronto para criar políticas, você pode usar os diferentes níveis de proteção e configuração:

Suas necessidades de ambiente e de negócios podem ter níveis diferentes definidos. Você pode usar esses níveis como ponto de partida e personalizá-los para atender às suas necessidades. Por exemplo, você pode usar as políticas de configuração do dispositivo no nível 1 e as políticas de aplicativo no nível 3.

Escolha os níveis corretos para sua organização. Não há uma escolha errada.

Nível 1 – Proteção e configuração mínimas

Esse nível inclui políticas que todas as organizações devem ter, no mínimo. As políticas nesse nível criam uma linha de base mínima de recursos de segurança e dão aos usuários acesso aos recursos necessários para fazer seus trabalhos.

Aplicativos (nível 1)

Esse nível impõe uma quantidade razoável de requisitos de proteção de dados e acesso, minimizando o impacto para os usuários. Esse nível garante que os aplicativos sejam protegidos com um PIN e criptografados e executa operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Esse nível é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante em Exchange Online políticas de caixa de correio. Ele também apresenta TI e a população de usuários às políticas de proteção de aplicativos.

Nesse nível, a Microsoft recomenda que você configure a seguinte proteção e acesso para aplicativos:

  • Habilitar requisitos básicos de proteção de dados:

    • Permitir a transferência de dados básica do aplicativo
    • Impor criptografia de aplicativo básica
    • Permitir a funcionalidade de acesso básico

  • Habilitar requisitos básicos de acesso:

    • Exigir PIN, ID facial e acesso biométrico
    • Impor configurações de acesso básicas de suporte

  • Habilitar o lançamento de aplicativo condicional básico:

    • Configurar tentativas de acesso básico do aplicativo
    • Bloquear o acesso ao aplicativo com base em dispositivos jailbroken/root
    • Restringir o acesso ao aplicativo com base na integridade básica dos dispositivos

Para obter mais informações, consulte Proteção de aplicativo básica de nível 1.

Conformidade (nível 1)

Nesse nível, a conformidade do dispositivo inclui configurar as configurações em todo o locatário que se aplicam a todos os dispositivos e implantar políticas de conformidade mínimas em todos os dispositivos para impor um conjunto principal de requisitos de conformidade. A Microsoft recomenda que essas configurações estejam em vigor antes de permitir que os dispositivos acessem os recursos da sua organização. A conformidade do dispositivo de nível 1 inclui:

As configurações de política de conformidade são algumas configurações em todo o locatário que afetam como o serviço de conformidade do Intune funciona com seus dispositivos.

As políticas de conformidade específicas da plataforma incluem configurações para temas comuns entre plataformas. O nome e a implementação de configuração reais podem ser diferentes entre diferentes plataformas:

  • Exigir antivírus, antispyware e antimalware (somente Windows)
  • Versão do sistema operacional:
    • Sistema operacional máximo
    • Sistema operacional mínimo
    • Versões de build menores e principais
    • Níveis de patch do sistema operacional
  • Configurações de senha
    • Impor tela de bloqueio após período de inatividade, exigindo uma senha ou fixar para desbloquear
    • Exigir senhas complexas com combinações de letras, números e símbolos
    • Exigir uma senha ou PIN para desbloquear dispositivos
    • Exigir o tamanho mínimo da senha

As ações de não conformidade são incluídas automaticamente em cada política específica da plataforma. Essas ações são uma ou mais ações ordenadas por tempo que você configura que se aplicam a dispositivos que não atendem aos requisitos de conformidade da política. Por padrão, marcar um dispositivo como não compatível é uma ação imediata incluída em cada política.

Para obter mais informações, consulte Nível 1 – Conformidade mínima do dispositivo.

Configuração do dispositivo (nível 1)

Nesse nível, os perfis incluem configurações que se concentram na segurança e no acesso a recursos. Especificamente, neste nível, a Microsoft recomenda que você configure os seguintes recursos:

  • Habilite a segurança básica, incluindo:

    • Antivírus e verificação
    • Detecção e resposta de ameaças
    • Firewall
    • Atualizações de software
    • Política forte de PIN e senha

  • Dê aos usuários acesso à rede:

    • Email
    • VPN para acesso remoto
    • Wi-Fi para acesso local

Para obter mais informações sobre essas políticas nesse nível, acesse Etapa 4 – Criar perfis de configuração de dispositivo para proteger dispositivos e criar conexões com recursos da organização.

Nível 2 – Proteção e configuração aprimoradas

Esse nível se expande no conjunto mínimo de políticas para incluir mais segurança e expandir o gerenciamento de dispositivos móveis. As políticas nesse nível protegem mais recursos, fornecem proteção de identidade e gerenciam mais configurações de dispositivo.

Use as configurações nesse nível para adicionar o que você fez no Nível 1.

Aplicativos (nível 2)

Esse nível recomenda um nível padrão de proteção de aplicativo para dispositivos em que os usuários acessam informações mais confidenciais. Esse nível apresenta mecanismos de prevenção de vazamento de dados de política de proteção de aplicativo e requisitos mínimos de sistema operacional. Esse nível é a configuração aplicável à maioria dos usuários móveis que acessam dados de trabalho ou escola.

Além das configurações de nível 1, a Microsoft recomenda que você configure a seguinte proteção e acesso para aplicativos:

  • Habilitar requisitos avançados de proteção de dados:

    • Transferir dados relacionados à organização
    • Isentar os requisitos de transferência de dados de aplicativos selecionados (iOS/iPadOS)
    • Transferir dados de telecomunicações
    • Restringir corte, cópia e colar entre aplicativos
    • Captura de tela de bloco (Android)

  • Habilitar o lançamento de aplicativo condicional aprimorado:

    • Bloquear a desabilitação de contas de aplicativo
    • Impor requisitos mínimos do sistema operacional do dispositivo
    • Exigir a versão mínima do patch (Android)
    • Exigir tipo de avaliação de veredicto de integridade do Play (Android)
    • Exigir bloqueio de dispositivo (Android)
    • Permitir acesso ao aplicativo com base no aumento da integridade do dispositivo

Para obter mais informações, consulte Proteção de aplicativo aprimorada no nível 2.

Conformidade (nível 2)

Nesse nível, a Microsoft recomenda adicionar opções mais complexas às suas políticas de conformidade. Muitas das configurações nesse nível têm nomes específicos da plataforma que todos fornecem resultados semelhantes. A seguir estão as categorias ou tipos de configurações que a Microsoft recomenda que você use quando estiverem disponíveis:

  • Aplicativos:

    • Gerenciar onde os dispositivos obtêm aplicativos, como o Google Play para Android
    • Permitir aplicativos de locais específicos
    • Bloquear aplicativos de fontes desconhecidas

  • Configurações de firewall

    • Configurações de firewall (macOS, Windows)

  • Criptografia:

    • Exigir criptografia do armazenamento de dados
    • BitLocker (Windows)
    • FileVault (macOS)

  • Senhas

    • Expiração e reutilização de senha

  • Proteção de inicialização e arquivo de nível do sistema:

    • Bloquear a depuração USB (Android)
    • Bloquear dispositivos com raízes ou jailbroken (Android, iOS)
    • Exigir proteção de integridade do sistema (macOS)
    • Exigir integridade de código (Windows)
    • Exigir inicialização segura para ser habilitada (Windows)
    • Módulo de Plataforma Confiável (Windows)

Para obter mais informações, consulte Nível 2 – Configurações avançadas de conformidade do dispositivo.

Configuração do dispositivo (nível 2)

Nesse nível, você está expandindo as configurações e os recursos configurados no nível 1. A Microsoft recomenda que você crie políticas que:

  • Adicione outra camada de segurança habilitando criptografia de disco, inicialização segura e TPM em seus dispositivos.
  • Configure seus PINs & senhas para expirar e gerenciar senhas se/quando as senhas puderem ser reutilizados.
  • Configure mais recursos, configurações e comportamentos de dispositivo granulares.
  • Se você tiver GPOs locais, poderá determinar se esses GPOs estão disponíveis no Intune.

Para obter informações mais específicas sobre políticas de configuração de dispositivo nesse nível, acesse Nível 2 – Proteção e configuração aprimoradas.

Nível 3 – Alta proteção e configuração

Esse nível inclui políticas de nível empresarial e pode envolver administradores diferentes em sua organização. Essas políticas continuam se movendo para autenticação sem senha, têm mais segurança e configuram dispositivos especializados.

Use as configurações nesse nível para adicionar o que você fez nos níveis 1 e 2.

Aplicativos (nível 3)

Esse nível recomenda um nível padrão de proteção de aplicativo para dispositivos em que os usuários acessam informações mais confidenciais. Esse nível apresenta mecanismos avançados de proteção de dados, configuração de PIN aprimorada e política de proteção de aplicativo Defesa móvel contra ameaças. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Além das configurações de nível 1 e 2, a Microsoft recomenda que você configure a seguinte proteção e acesso para aplicativos:

  • Habilitar requisitos de alta proteção de dados:

    • Alta proteção ao transferir dados de telecomunicações
    • Receber dados somente de aplicativos gerenciados por políticas
    • Bloquear a abertura de dados em documentos da organização
    • Permitir que os usuários abram dados dos serviços selecionados
    • Bloquear teclados de terceiros
    • Exigir/selecionar teclados aprovados (Android)
    • Bloquear dados da organização de impressão

  • Habilitar requisitos de alto acesso:

    • Bloquear PIN simples e exigir o comprimento mínimo de PIN específico
    • Exigir redefinição de PIN após o número de dias
    • Exigir biometria classe 3 (Android 9.0+)
    • Exigir substituição da Biometria com PIN após atualizações biométricas (Android)

  • Habilitar o lançamento de aplicativo condicional alto:

    • Exigir bloqueio de dispositivo (Android)
    • Exigir o nível máximo de ameaça permitido
    • Exigir versão do sistema operacional máximo

Para obter mais informações, confira Proteção de aplicativo de nível 3.

Conformidade (nível 3)

Nesse nível, você pode expandir os recursos de conformidade internos do Intune por meio dos seguintes recursos:

  • Integrar dados do parceiro MTD (Defesa contra Ameaças Móveis)

    • Com um parceiro MTD, suas políticas de conformidade podem exigir que os dispositivos estejam em ou em um nível de ameaça de dispositivo ou pontuação de risco do computador, conforme determinado por esse parceiro

  • Usar um parceiro de conformidade de terceiros com o Intune

  • Use scripts para adicionar configurações de conformidade personalizadas às suas políticas para configurações que não estão disponíveis na interface do usuário do Intune. (Windows, Linux)

  • Usar dados de política de conformidade com políticas de Acesso Condicional para acessar os recursos da sua organização

Para obter mais informações, consulte Nível 3 – Configurações avançadas de conformidade do dispositivo.

Configuração do dispositivo (nível 3)

Esse nível se concentra em serviços e recursos de nível empresarial e pode exigir um investimento em infraestrutura. Nesse nível, você pode criar políticas que:

  • Expanda a autenticação sem senha para outros serviços em sua organização, incluindo autenticação baseada em certificado, logon único para aplicativos, MFA (autenticação multifator) e o gateway de VPN do Microsoft Tunnel.

  • Expanda o Microsoft Tunnel implantando o Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), que estende o suporte ao Tunnel para dispositivos iOS e Android que não estão registrados no Intune. O túnel para MAM está disponível como um complemento do Intune.

    Para obter mais informações, confira Usar recursos de complemento do Intune Suite.

  • Configurar recursos de dispositivo que se aplicam à camada de firmware do Windows. Use o modo de critérios comuns do Android.

  • Use a política do Intune para LAPS (Solução de Senha do Administrador Local do Windows) para ajudar a proteger a conta de administrador local interna em seus dispositivos Windows gerenciados.

    Para obter mais informações, confira Suporte do Intune para Windows LAPS.

  • Proteja dispositivos Windows por meio do uso do Endpoint Privilege Management (EPM), que ajuda você a executar os usuários da sua organização como usuários padrão (sem direitos de administrador) ao mesmo tempo em que permite que esses mesmos usuários concluam tarefas que exigem privilégios elevados.

    O EPM está disponível como um complemento do Intune. Para obter mais informações, confira Usar recursos de complemento do Intune Suite.

  • Configure dispositivos especializados, como quiosques e dispositivos compartilhados.

  • Implantar scripts, se necessário.

Para obter informações mais específicas sobre políticas de configuração de dispositivo nesse nível, acesse Nível 3 – Alta proteção e configuração.

Próximas etapas

Para obter uma lista completa de todos os perfis de configuração do dispositivo que você pode criar, acesse Aplicar recursos e configurações em seus dispositivos usando perfis de dispositivo em Microsoft Intune.