Ajustar as configurações após o registro
Depois de concluir o registro no Microsoft Managed Desktop, algumas configurações de gerenciamento podem precisar ser ajustadas. Para verificar e ajustar, se necessário, siga estas etapas:
- Examine as configurações de Microsoft Intune e Microsoft Entra descritas na próxima seção.
- Se algum dos itens se aplicar ao seu ambiente, faça os ajustes conforme descrito.
Observação
À medida que suas operações continuam nos meses seguintes, se você fizer alterações após o registro em políticas em Microsoft Intune, Microsoft Entra ID ou Microsoft 365 que afetam a Área de Trabalho Gerenciada da Microsoft, é possível que a Área de Trabalho Gerenciada da Microsoft possa parar de operar corretamente. Para evitar problemas com o serviço, verifique as configurações específicas descritas em Corrigir problemas encontrados pela ferramenta de avaliação de prontidão antes de alterar as políticas listadas.
Configurações do Microsoft Intune
| Setting | Descrição |
|---|---|
| Perfil de implantação do Autopilot | Se você usar políticas do Autopilot, atualize cada uma delas para excluir o grupo Dispositivos modernos do Local de Trabalho -Todos os Microsoft Entra. Para atualizar as políticas do Autopilot: Em Atribuições, nos grupos Excluídos, selecione o grupo Dispositivos de Trabalho Modernos -Todos os Microsoft Entra que foi criado durante o registro da Área de Trabalho Gerenciada da Microsoft. O Microsoft Managed Desktop também terá criado um perfil do Autopilot, que terá "Modern Workplace" no nome (o Perfil do Autopilot do Modern Workplace). Ao atualizar seus próprios perfis do Autopilot, verifique se você não exclui o grupo Dispositivos modernos do Local de Trabalho -Todos os Microsoft Entra do Perfil moderno do Autopilot do Local de Trabalho criado pela Área de Trabalho Gerenciada da Microsoft. |
| Políticas de Acesso Condicional | Se você criar novas políticas de acesso condicional relacionadas a Microsoft Entra ID, Microsoft Intune ou Microsoft Defender XDR para Ponto de Extremidade após o registro da Área de Trabalho Gerenciada da Microsoft, exclua o grupo Contas de Serviço do Local de Trabalho Moderno Microsoft Entra grupo deles. Para obter mais informações, consulte Acesso Condicional: usuários e grupos. O Microsoft Managed Desktop mantém políticas de acesso condicional separadas para restringir o acesso a essas contas. Para examinar a política de acesso condicional do Microsoft Managed Desktop. (Modern Workplace – Estação de Trabalho Segura): Acesse o centro de administração Microsoft Intune e navegue até Acesso Condicional no Endpoint Security. Não modifique nenhuma Microsoft Entra políticas de Acesso Condicional criadas pela Área de Trabalho Gerenciada da Microsoft que tenham "Local de Trabalho Moderno" no nome. |
| Autenticação multifator | Se você criar quaisquer novos requisitos de autenticação multifator em políticas de acesso condicional relacionadas a Microsoft Entra ID, Intune ou Microsoft Defender XDR para Ponto de Extremidade após o registro da Área de Trabalho Gerenciada da Microsoft, exclua o grupo Contas de Serviço do Local de Trabalho Moderno Microsoft Entra grupo deles. Para obter mais informações, consulte Acesso Condicional: usuários e grupos. O Microsoft Managed Desktop mantém políticas de acesso condicional separadas para restringir o acesso aos membros desse grupo. Para examinar a política de acesso condicional do Microsoft Managed Desktop (Modern Workplace -): Acesse o centro de administração Microsoft Intune e navegue até Acesso Condicional no Endpoint Security. |
| Grupo de atualização do Windows 10 | Para qualquer Windows 10 políticas de anel de atualização que você criou, exclua o grupo Modern Workplace Devices -All Microsoft Entra de cada política. Para obter mais informações, consulte Criar e atribuir grupos de atualização. O Microsoft Managed Desktop também terá criado algumas políticas de grupo de atualização, todas com "Modern Workplace" no nome. Por exemplo:
Ao atualizar suas próprias políticas, verifique se você não exclui o grupo Dispositivos modernos do Local de Trabalho -Todos os Microsoft Entra daqueles que a Área de Trabalho Gerenciada da Microsoft criou. |
Microsoft Entra configurações
Redefinição de senha de autoatendimento: se você usar a redefinição de senha de autoatendimento para todos os usuários, ajuste a atribuição para excluir contas de serviço do Microsoft Managed Desktop.
Para ajustar esta atribuição:
- Criar um grupo dinâmico Microsoft Entra para todos os usuários, exceto contas de serviço da Área de Trabalho Gerenciada da Microsoft
- Use esse grupo para atribuição em vez de "todos os usuários".
Para ajudar você a localizar e excluir as contas de serviço, veja um exemplo de consulta dinâmica que você pode usar:
(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")
Nesta consulta, substitua @TENANT pelo nome de domínio do locatário.