Proteger dados e dispositivos com o Microsoft Intune

O Microsoft Intune pode ajudar a manter seus dispositivos gerenciados protegidos e atualizados enquanto protege os dados da sua organização de dispositivos comprometidos. A proteção de dados inclui controlar o que os usuários fazem com os dados de uma organização em dispositivos gerenciados e não gerenciados. A proteção de dados também se estende ao bloqueio de acesso a dados de dispositivos que podem estar comprometidos.

Este artigo destaca muitos dos recursos internos do Intune e das tecnologias de parceiros que você pode integrar com o Intune. Ao saber mais sobre eles, você poderá reunir vários para obter soluções mais abrangentes em sua jornada em direção a um ambiente de confiança zero.

No centro de administração do Microsoft Endpoint Manager, o Intune dá suporte a dispositivos gerenciados que executam Android, iOS/iPad, macOS e Windows 10.

Ao usar o Configuration Manager para gerenciar dispositivos locais, você pode estender as políticas do Intune para esses dispositivos configurando a anexação de locatário ou o cogerenciamento.

O Intune também pode trabalhar com informações de dispositivos que você gerencia com produtos de terceiros que fornecem a conformidade do dispositivo e a proteção contra ameaças móveis.

Proteger dispositivos por meio de políticas

Implante as políticas de configuração de dispositivo e conformidade do dispositivo do Intune para configurar dispositivos para atender às metas de segurança de suas organizações. As políticas dão suporte a um ou mais perfis, que são os conjuntos discretos de regras específicas da plataforma que você implanta em grupos de dispositivos registrados.

  • Com as políticas de configuração de dispositivo, gerencie perfis que definem as configurações e os recursos que os dispositivos usam em sua organização. Configurar dispositivos para proteção de ponto de extremidade, provisionar certificados para autenticação, definir comportamentos de atualização de software e muito mais.

  • Com as políticas de conformidade do dispositivo, você cria perfis para diferentes plataformas de dispositivo que estabelecem requisitos de dispositivo. Os requisitos podem incluir versões de sistema operacional, o uso de criptografia de disco ou estar em níveis de ameaça específicos, conforme definido pelo software de gerenciamento de ameaças.

    O Intune pode proteger dispositivos que não estão em conformidade com suas políticas e alertar o usuário do dispositivo para que ele possa colocar o dispositivo em conformidade.

    Ao adicionar o Acesso Condicional à combinação, configure políticas que permitem que apenas dispositivos em conformidade acessem os recursos da rede e da organização. As restrições de acesso podem incluir compartilhamentos de arquivos e o email da empresa. As políticas de Acesso Condicional também funcionam com os dados de estado do dispositivo relatados por parceiros de conformidade do dispositivo de terceiros que você integra ao Intune.

Veja as seguintes configurações de segurança e tarefas que você pode gerenciar por meio da política de dispositivo:

  • Criptografia de dispositivo – gerencie o BitLocker em dispositivos Windows 10 e o FileVault em dispositivos macOS.

  • Métodos de autenticação – configure como seus dispositivos se autenticam nos recursos, nos aplicativos e no email da sua organização.

    • Use certificados para autenticação em aplicativos, recursos da sua organização e para assinatura e criptografia de email usando S/MIME. Você também pode configurar credenciais derivadas quando seu ambiente exigir o uso de cartões inteligentes.

    • Defina configurações que ajudem a limitar o risco, como:

      • Exigir MFA (autenticação multifator) para adicionar uma camada extra de autenticação para os usuários.
      • Definir requisitos de PIN e senha que devem ser atendidos antes de obter acesso aos recursos.
      • Habilitar o Windows Hello para Empresas para dispositivos Windows 10.
  • VPNs (redes virtuais privadas) – com perfis VPN, atribua configurações de VPN a dispositivos para que eles possam se conectar facilmente à rede da sua organização. O Intune dá suporte a vários tipos de conexão VPN e aplicativos, que incluem recursos integrados para algumas plataformas e aplicativos VPN internos e de terceiros para dispositivos.

  • Atualizações de software – gerencie como e quando os dispositivos devem receber atualizações de software.

    • Para iOS, gerencie versões do sistema operacional do dispositivo e quando os dispositivos devem verificar e instalar atualizações.
    • Para o Windows 10, você pode gerenciar a experiência do Windows Update para dispositivos. Você pode configurar quando os dispositivos examinam ou instalam atualizações, manter um conjunto de dispositivos gerenciados em versões de recursos específicas e muito mais.
  • Linhas de base de segurança – implante linhas de base de segurança para estabelecer uma postura de segurança básica em seus dispositivos Windows 10. Linhas de base de segurança são grupos pré-configurados de configurações do Windows recomendados pelas equipes de produto relevantes. Você pode usar as linhas de base como foram fornecidas ou editar instâncias delas para atender às metas de segurança para grupos de dispositivos de destino.

Proteger dados por meio de políticas

Os aplicativos gerenciados pelo Intune e as políticas de proteção de aplicativo do Intune podem ajudar a interromper vazamentos de dados e manter os dados da sua organização seguros. Essas proteções podem se aplicar a dispositivos registrados com o Intune e a dispositivos não registrados.

  • Aplicativos gerenciados pelo Intune (ou aplicativos gerenciados, para abreviar), são aplicativos que foram integrados com o Intune App SDK ou encapsulados pelo App Wrapping Tool do Intune. Estes aplicativos podem ser gerenciados por meio das políticas de proteção de aplicativo do Intune. Para exibir uma lista de aplicativos gerenciados publicamente disponíveis, confira aplicativos protegidos do Intune.

    Os usuários podem usar os aplicativos gerenciados para trabalhar com os dados de sua organização e com seus próprios dados pessoais. No entanto, quando as políticas de proteção de aplicativo exigem o uso de um aplicativo gerenciado, o aplicativo gerenciado é o único que pode ser usado para acessar os dados da sua organização. As regras de proteção de aplicativo não se aplicam aos dados pessoais de um usuário.

  • Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. As regras identificam o aplicativo gerenciado que deve ser usado e definem o que pode ser feito com os dados enquanto o aplicativo está em uso.

Veja os seguintes exemplos de proteções e restrições que podem ser definidas com as políticas de proteção de aplicativo e os aplicativos gerenciados:

  • Configure proteções de camada de aplicativo, como exigir um PIN para abrir um aplicativo em um contexto de trabalho.
  • Controle o compartilhamento de dados de uma organização entre aplicativos em um dispositivo, como bloquear o copiar e colar ou capturas de tela.
  • Impedir o salvamento de dados da sua organização em locais de armazenamento pessoal.

Usar ações de dispositivo para proteger dispositivos e dados

No centro de administração do Microsoft Endpoint Manager, você pode executar ações de dispositivo que ajudam a manter um dispositivo selecionado protegido. Você pode executar um subconjunto dessas ações como ações de dispositivo em massa para afetar vários dispositivos ao mesmo tempo. E várias ações remotas do Intune também podem ser usadas com dispositivos co-gerenciados.

As ações de dispositivo não são políticas e entrarão em vigor uma única vez quando invocadas. Elas serão aplicadas imediatamente se o dispositivo estiver acessível online ou da próxima vez que o dispositivo for inicializado ou fizer check-in no Intune. Essas ações são consideradas complementares ao uso de políticas que configuram e mantêm configurações de segurança para uma população de dispositivos.

Veja os seguintes exemplos de ações que você pode executar para ajudar a proteger dispositivos e dados:

Dispositivos gerenciados pelo Intune:

  • Rotação da chave do BitLocker (somente Windows)
  • Desabilitar o bloqueio de ativação (somente iOS)
  • Verificação Completa ou Rápida (somente Windows 10)
  • Bloqueio remoto
  • Desativar (remover do dispositivo os dados da sua organização, deixando os dados pessoais intactos)
  • Atualizar a Inteligência de Segurança do Microsoft Defender
  • Apagar (redefinir o dispositivo para as configurações de fábrica, removendo todos os dados, aplicativos e configurações)

Dispositivos gerenciados pelo Configuration Manager:

  • Desativar
  • Revelar
  • Sincronizar (forçar um dispositivo a fazer check-in imediatamente com o Intune para encontrar novas políticas ou ações pendentes)

Integrar com outros produtos

O Intune dá suporte à integração com aplicativos de parceiros de fontes internas e de terceiros, que se expandem em seus recursos integrados. Você também pode integrar o Intune a várias tecnologias da Microsoft.

Tecnologias de parceiros

O Intune pode usar dados de parceiros de conformidade integrados e parceiros de defesa contra ameaças móveis:

  • Parceiros de conformidade – saiba mais sobre parceiros de conformidade do dispositivo com o Intune. Ao gerenciar um dispositivo com um parceiro de gerenciamento de dispositivo móvel diferente do Intune, você pode integrar esses dados de conformidade com o Azure Active Directory. Quando integrados, os dados do parceiro podem ser usados por políticas de Acesso Condicional junto com os dados de conformidade do Intune.

  • Defesa contra Ameaças Móveis – os aplicativos de defesa contra ameaças móveis podem verificar os dispositivos quanto a ameaças e ajudar a identificar o risco de permitir que o dispositivo acesse os recursos e os dados da sua organização. Em seguida, você pode usar esse nível de risco em várias políticas, como políticas de Acesso Condicional, para ajudar a bloquear o acesso a esses recursos.

Gerenciador de Configurações

Você pode usar muitas políticas e ações de dispositivo do Intune para proteger os dispositivos que gerencia com o Configuration Manager. Para dar suporte a esses dispositivos, configure o cogerenciamento ou a anexação de locatário. Você também pode usar ambos junto com o Intune.

  • O cogerenciamento permite gerenciar dispositivos Windows 10 simultaneamente com o Configuration Manager e o Intune. Você instala o cliente do Configuration Manager e registra o dispositivo no Intune. O dispositivo se comunica com ambos os serviços.

  • O anexo de locatário configura a sincronização entre o site do Configuration Manager site e o locatário do Intune. Essa sincronização fornece uma visão única sobre todos os dispositivos que você gerencia com o Microsoft Endpoint Manager.

Depois de estabelecer uma conexão entre o Intune e o Configuration Manager, os dispositivos do Configuration Manager estarão disponíveis no centro de administração do Microsoft Endpoint Manager. Em seguida, você pode implantar políticas do Intune nesses dispositivos ou usar ações de dispositivo para protegê-los.

Algumas das proteções que você pode aplicar incluem:

  • Implantar certificados em dispositivos usando o Protocolo SCEP do Intune ou os perfis de certificados de par de chaves públicas e privadas (PKCS).
  • Usar a política de conformidade.
  • Usar políticas de segurança de ponto de extremidade, como Antivírus, Detecção de ponto de extremidade e resposta e regras de Firewall.
  • Aplicar linhas de base de segurança.
  • Gerenciar as Atualizações do Windows.

Aplicativos de Defesa contra Ameaças Móveis

Os aplicativos MTD (Defesa Contra Ameaças Móveis) examinam e analisam ativamente os dispositivos em busca de ameaças. Ao integrar (conectar) aplicativos de Defesa Contra Ameaças Móveis com o Intune, você obterá a avaliação de aplicativos de um nível de ameaça de dispositivos. A avaliação de um nível de ameaça do dispositivo é uma ferramenta importante para proteger os recursos da sua organização contra dispositivos móveis comprometidos.

Use dados em nível de ameaça com políticas de conformidade do dispositivo, proteção de aplicativo e Acesso Condicional. Essas políticas usam os dados para ajudar a impedir que dispositivos não compatíveis acessem os recursos da sua organização.

Com um aplicativo MTD integrado:

  • Para dispositivos registrados:

    • Use o Intune para implantar e gerenciar o aplicativo MTD em dispositivos.
    • Implante políticas de conformidade do dispositivo que usam o nível de ameaça relatado pelos dispositivos para avaliar a conformidade.
    • Defina políticas de Acesso Condicional que consideram um nível de ameaça de dispositivos.
    • Defina as políticas de proteção de aplicativo para determinar quando bloquear ou permitir o acesso a dados, com base no nível de ameaça do dispositivo.
  • Para dispositivos que não se registram no Intune, mas executam um aplicativo MTD integrado ao Intune, use seus dados de nível de ameaça com suas políticas de proteção de aplicativo para ajudar a bloquear o acesso aos dados da sua organização.

O Intune dá suporte à integração com:

Microsoft Defender para Ponto de Extremidade

Por si só, o Microsoft Defender para Ponto de Extremidade oferece vários benefícios voltados para a segurança. O Microsoft Defender para Ponto de Extremidade também se integra ao Intune e é compatível com várias plataformas de dispositivo. Com a integração, você ganha um aplicativo de defesa contra ameaças móveis e adiciona recursos ao Intune para manter os dados e os dispositivos seguros. Esses recursos incluem:

  • Suporte para o Microsoft Tunnel: em dispositivos Android, o Microsoft Defender para Ponto de Extremidade é o aplicativo cliente que você usa com o Microsoft Tunnel, uma solução de gateway de VPN para o Intune. Quando usado como o aplicativo cliente do Microsoft Tunnel, você não precisa de uma assinatura do Microsoft Defender para Ponto de Extremidade.

  • Tarefas de segurança – com as tarefas de segurança, os administradores do Intune podem aproveitar os recursos de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Como funciona:

    • Sua equipe do Defender para Ponto de Extremidade identifica os dispositivos em risco e cria as tarefas de segurança para o Intune na central de segurança do Defender para Ponto de Extremidade.
    • Essas tarefas aparecem no Intune com conselhos de mitigação que os administradores do Intune podem usar para mitigar o risco.
    • Quando uma tarefa é resolvida no Intune, esse status é repassado para a central de segurança do Defender para Ponto de Extremidade, na qual os resultados da mitigação podem ser avaliados.
  • Políticas de segurança de Ponto de Extremidade – as políticas de segurança de ponto de extremidade do Intune a seguir exigem integração com o Microsoft Defender para Ponto de Extremidade. Ao usar a anexação de locatário, você pode implantar essas políticas em dispositivos que gerencia com o Intune ou com o Configuration Manager.

    • Política de antivírus – Gerencie as configurações para o Microsoft Defender Antivírus e a Experiência de Segurança do Windows em dispositivos compatíveis, como Windows 10 e macOS.

    • Política de detecção e resposta de ponto de extremidade – use essa política para configurar a EDR (detecção e resposta de ponto de extremidade), que é um recurso do Microsoft Defender para Ponto de Extremidade.

Acesso Condicional

O Acesso Condicional é um recurso do Azure AD (Azure Active Directory) que funciona com o Intune para ajudar a proteger os dispositivos. Para dispositivos que se registram com o Azure AD, as políticas de acesso condicional podem usar os detalhes de dispositivo e de conformidade do Intune para impor decisões de acesso para usuários e dispositivos.

Combinar política de Acesso Condicional com:

  • As políticas de conformidade do dispositivo podem exigir que um dispositivo seja marcado como em conformidade antes que esse dispositivo possa ser usado para acessar os recursos da sua organização. A política de Acesso Condicional especifica os aplicativos ou serviços que você quer proteger, as condições sob as quais os aplicativos ou serviços podem ser acessados e os usuários aos quais a política se aplica.

  • As Políticas de proteção de aplicativo podem adicionar uma camada de segurança que garante que somente aplicativos cliente que são compatíveis com as políticas de proteção de aplicativo do Intune possam acessar seus recursos online, como o Exchange ou outros serviços do Microsoft 365.

O Acesso Condicional também funciona com os seguintes para ajudar a manter os dispositivos seguros:

  • Microsoft Defender para Ponto de Extremidade e aplicativos MTD de terceiros
  • Aplicativos de parceiro de conformidade do dispositivo
  • Microsoft Tunnel

Próximas etapas

Planeje usar os recursos do Intune para dar suporte à sua jornada em direção a um ambiente com confiança zero, protegendo seus dados e dispositivos. Além dos links embutidos anteriores para saber mais sobre esses recursos, confira segurança e compartilhamento de dados no Intune.