Gerenciar dispositivos Windows em sua organização – fazendo a transição para o gerenciamento moderno

O uso de dispositivos pessoais para o trabalho e funcionários que trabalham fora do escritório podem estar alterando a forma como sua organização gerencia dispositivos. Determinadas partes da sua organização podem exigir profundo controle granular sobre dispositivos, enquanto outras partes podem procurar um gerenciamento mais leve com base em cenário que capacite a força de trabalho moderna. O Windows oferece a flexibilidade para responder a esses requisitos de alteração e pode ser facilmente implantado em um ambiente misto. Você pode mudar a porcentagem de dispositivos Windows gradualmente, seguindo os agendamentos de atualização normais usados em sua organização.

Sua organização pode dar suporte a vários sistemas operacionais em uma ampla gama de tipos de dispositivo e gerenciá-los por meio de um conjunto comum de ferramentas, como Microsoft Configuration Manager, Microsoft Intune ou outros produtos de terceiros. Essa "diversidade gerenciada" permite que você capacite seus usuários a se beneficiar dos aprimoramentos de produtividade disponíveis em seus novos dispositivos Windows (incluindo suporte a toque e tinta avançados), mantendo seus padrões de segurança e capacidade de gerenciamento. Ele pode ajudar você e sua organização a se beneficiarem mais rapidamente do Windows.

Este artigo oferece diretrizes sobre estratégias para implantar e gerenciar dispositivos Windows, incluindo a implantação do Windows em um ambiente misto. Ele aborda as opções de gerenciamento mais os quatro estágios do ciclo de vida do dispositivo:

Revisando as opções de gerenciamento do Windows

O Windows oferece um intervalo de opções de gerenciamento, conforme mostrado no seguinte diagrama:

Diagrama do caminho para a TI moderna.

Conforme indicado no diagrama, a Microsoft continua fornecendo suporte para gerenciabilidade e segurança profundas por meio de tecnologias como política de grupo, Active Directory e Configuration Manager. Ele também fornece uma abordagem "mobile-first, cloud-first" de gerenciamento moderno simplificado usando soluções de gerenciamento de dispositivos baseadas em nuvem, como o Microsoft Enterprise Mobility + Security (EMS). As futuras inovações do Windows, fornecidas por meio do Windows como serviço, são complementadas por serviços de nuvem como Microsoft Intune, Microsoft Entra ID, Azure Proteção de Informações e Microsoft 365.

Implantação e provisionamento

Com o Windows, você pode continuar a usar a implantação tradicional do sistema operacional, mas também pode "gerenciar fora da caixa". Para transformar novos dispositivos em dispositivos totalmente configurados e totalmente gerenciados, você pode:

  • Evite reimaginar usando o provisionamento dinâmico, habilitado por um serviço de gerenciamento de dispositivo baseado em nuvem, como Windows Autopilot ou Microsoft Intune.

  • Criar pacotes de provisionamento autossuficientes criados com o Designer de Configuração do Windows. Para obter mais informações, consulte Provisionamento de pacotes para Windows.

  • Use técnicas tradicionais de imagem, como implantar imagens personalizadas usando Configuration Manager.

Você tem várias opções para atualizar para Windows 10 e Windows 11. Para dispositivos existentes que executam Windows 10, você pode usar o processo de atualização local robusto para um movimento rápido e confiável para Windows 11 preservando automaticamente todos os aplicativos, dados e configurações existentes. Esse uso do processo pode significar custos de implantação mais baixos e maior produtividade, pois os usuários finais podem ser imediatamente produtivos - tudo é exatamente onde eles deixaram. Você também pode usar uma abordagem tradicional de apagar e carregar, se preferir, usando as mesmas ferramentas que usa hoje.

Identidade e autenticação

Você pode usar o Windows e serviços como Microsoft Entra ID de novas maneiras para identidade, autenticação e gerenciamento baseados em nuvem. Você pode oferecer aos seus usuários a capacidade de "trazer seu próprio dispositivo" (BYOD) ou de "escolher seu próprio dispositivo" (CYOD) em uma seleção que você disponibiliza. Ao mesmo tempo, você pode gerenciar computadores e tablets que devem ingressar no domínio por causa de aplicativos ou recursos específicos que são usados neles.

Você pode imaginar o gerenciamento de usuários e dispositivos como algo que se enquadra nestas duas categorias:

  • Dispositivos corporativos (CYOD) ou pessoais (BYOD) usados pelos usuários móveis para aplicativos SaaS, como o Office 365. Com o Windows, seus funcionários podem auto provisionar seus dispositivos:

    • Para dispositivos corporativos, eles podem configurar o acesso corporativo com Microsoft Entra ingressar. Quando você oferece a eles Microsoft Entra ingressar com o registro automático Intune MDM, eles podem trazer dispositivos para um estado gerenciado por empresas em uma etapa, tudo na nuvem.

      Microsoft Entra ingresso também é uma ótima solução para funcionários temporários, parceiros ou outros funcionários de meio período. Essas contas podem ser mantidas separadas do domínio AD local, mas ainda acessam os recursos corporativos necessários.

    • Da mesma forma, para dispositivos pessoais, os funcionários podem usar uma experiência BYOD nova e simplificada para adicionar sua conta de trabalho ao Windows e, em seguida, acessar os recursos de trabalho no dispositivo.

  • Os computadores e tablets ingressados no domínio são usados para aplicativos tradicionais e acesso a recursos importantes. Esses aplicativos e recursos podem ser tradicionais que exigem autenticação ou acesso a recursos altamente confidenciais ou classificados localmente.

    Com o Windows, se você tiver um domínio do Active Directory local integrado ao Microsoft Entra ID, quando os dispositivos funcionários forem ingressados, eles se registrarão automaticamente com Microsoft Entra ID. Este registro fornece:

    PCs e tablets ingressados no domínio podem continuar a ser gerenciados com Configuration Manager política de cliente ou grupo.

Ao examinar as funções em sua organização, você pode usar a seguinte árvore de decisão generalizada para começar a identificar os usuários ou dispositivos que requerem o ingresso no domínio. Considere alternar os usuários restantes para Microsoft Entra ID.

Diagrama da árvore de decisão para opções de autenticação de dispositivo.

Configurações e configuração

Os requisitos de configuração são definidos por diversos fatores, incluindo o nível de gerenciamento necessário, os dispositivos e dados gerenciados e os requisitos do setor. Enquanto isso, os funcionários estão frequentemente preocupados com políticas de TI rígidas para seus dispositivos pessoais, mas, mesmo assim, desejam acesso a emails e documentos corporativos. Você pode criar um conjunto consistente de configurações entre computadores, tablets e telefones por meio da camada MDM comum.

  • MDM: o MDM permite definir configurações de acordo com suas necessidades administrativas sem expor todas as configurações possíveis. (Em contraste, a política de grupo expõe configurações refinadas que você controla individualmente.) Um benefício do MDM é que ele permite que você aplique configurações mais amplas de privacidade, segurança e gerenciamento de aplicativos por meio de ferramentas mais leves e eficientes. O MDM também permite que você direcione dispositivos conectados à Internet para gerenciar políticas sem usar a política de grupo que exige dispositivos ingressados no domínio local. Essa disposição faz do MDM a melhor opção para dispositivos que estão constantemente em movimento.

  • Política de grupo e Configuration Manager: sua organização ainda pode precisar gerenciar computadores ingressados no domínio em um nível granular usando configurações de política de grupo. Nesse caso, a política de grupo e Configuration Manager continuarão sendo excelentes opções de gerenciamento:

    • A política de grupo é a melhor maneira de configurar granularmente computadores Windows ingressados no domínio e tablets conectados à rede corporativa usando ferramentas baseadas no Windows. A Microsoft continua a adicionar configurações de política de grupo a cada nova versão do Windows.

    • Configuration Manager continua sendo a solução recomendada para configuração granular com implantação de software robusta, atualizações do Windows e implantação do sistema operacional.

Atualização e manutenção

Com o Windows como serviço, seu departamento de TI não precisa mais executar processos complexos de geração de imagens (limpar e carregar) com cada nova versão do Windows. Seja no Canal de Disponibilidade Geral ou Long-Term Canal de Manutenção, os dispositivos recebem o recurso mais recente e as atualizações de qualidade por meio de processos simples - muitas vezes automáticos - de patch. Para obter mais informações, confira Cenários de implantação do Windows.

O MDM com Intune fornecem ferramentas para aplicar as atualizações do Windows em computadores cliente em sua organização. O Configuration Manager oferece recursos avançados de gerenciamento e rastreamento dessas atualizações, incluindo janelas de manutenção e regras de implantação automática.

Próximas etapas

Há várias etapas que você pode tomar para iniciar o processo de modernização do gerenciamento de dispositivos em sua organização:

Avalie as práticas de gerenciamento atuais e pense nos investimentos que você pode fazer hoje. Quais práticas atuais precisam permanecer iguais, e quais podem ser mudadas? Especificamente, quais elementos de gerenciamento tradicional você precisar manter e onde é possível modernizar? Se você tomar medidas para minimizar imagens personalizadas, reavaliar o gerenciamento de configurações ou reavaliar a autenticação e a conformidade, os benefícios podem ser imediatos. Você pode usar a análise de política de grupo em Microsoft Intune para ajudar a determinar quais políticas de grupo têm suporte por provedores de MDM baseados em nuvem, incluindo Microsoft Intune.

Avalie as diferentes necessidades de gerenciamento e casos de uso em seu ambiente. Há grupos de dispositivos que podem se beneficiar com o gerenciamento mais leve e simplificado? Os dispositivos BYOD, por exemplo, são candidatos naturais ao gerenciamento baseado em nuvem. Os usuários ou dispositivos que manipulam dados mais altamente regulamentados podem exigir um domínio do Active Directory no local para autenticação. Configuration Manager e EMS fornecem a flexibilidade para realizar a implementação de cenários de gerenciamento modernos, ao mesmo tempo em que visam diferentes dispositivos da maneira que melhor atenda às suas necessidades de negócios.

Examine as árvores de decisão neste artigo. Com as diferentes opções no Windows, além de Configuration Manager e Enterprise Mobility + Security, você tem a flexibilidade de lidar com imagens, autenticação, configurações e ferramentas de gerenciamento para qualquer cenário.

Execute etapas incrementais. Avançar para o gerenciamento moderno de dispositivos não precisa ser uma transformação da noite para o dia. Os novos sistemas operacionais e dispositivos podem ser ativados sem a desativação dos mais antigos. Com essa "diversidade gerenciada", os usuários podem se beneficiar de melhorias de produtividade em dispositivos Windows modernos, enquanto você continua a manter dispositivos mais antigos de acordo com seus padrões de segurança e gerenciabilidade. A política CSP MDMWinsOverGP permite que as políticas de MDM têm precedência sobre a política de grupo quando a política de grupo e suas políticas de MDM equivalentes são definidas no dispositivo. Você pode começar a implementar políticas de MDM mantendo seu ambiente de política de grupo. Para obter mais informações, incluindo a lista de políticas de MDM com políticas de grupo equivalentes, consulte Políticas com suporte por política de grupo.

Otimize os investimentos existentes. Na jornada de migração do tradicional gerenciamento local para o moderno gerenciamento baseado em nuvem, tire proveito da arquitetura híbrida e flexível do Configuration Manager e do Intune. O cogerenciamento permite gerenciar simultaneamente dispositivos Windows usando Configuration Manager e Intune. Para obter mais informações, consulte os seguintes artigos: