Proteger dados e dispositivos com o Microsoft Intune

  • Artigo

Microsoft Intune pode ajudá-lo a manter os seus dispositivos geridos seguros e atualizados, ajudando-o a proteger os dados da sua organização de dispositivos comprometidos. A proteção de dados inclui o controlo do que os utilizadores fazem com os dados de uma organização em dispositivos geridos e não geridos. A proteção de dados também se estende ao bloqueio do acesso a dados de dispositivos que possam estar comprometidos.

Este artigo destaca muitas das capacidades incorporadas da Intune e tecnologias parceiras que pode integrar com o Intune. À medida que aprende mais sobre eles, pode reunir várias soluções mais abrangentes na sua jornada rumo a um ambiente de confiança zero.

A partir do centro de administração Microsoft Endpoint Manager, o Intune suporta dispositivos geridos que executam Android, iOS/iPad, macOS e Windows 10.

Quando utilizar o Gestor de Configuração para gerir dispositivos no local, pode alargar as políticas do Intune a esses dispositivos configurando o encaixe ou cogestão do inquilino.

A Intune também pode trabalhar com informações de dispositivos que gere com produtos de terceiros que fornecem a conformidade do dispositivo e a proteção de ameaças móveis.

Proteger dispositivos através de políticas

Implemente as políticas de configuração do dispositivo e conformidade do dispositivo da Intune para configurar dispositivos para cumprir os objetivos de segurança das suas organizações. As políticas suportam um ou mais perfis, que são os conjuntos discretos de regras específicas da plataforma que implementa para grupos de dispositivos inscritos.

  • Com as políticas de configuração do dispositivo,gerencie perfis que definam as definições e funcionalidades que os dispositivos utilizam na sua organização. Configurar dispositivos para proteção de pontos finais, certificados de autenticação, definir comportamentos de atualização de software e muito mais.

  • Com as políticas de conformidade do dispositivo,cria-se perfis para diferentes plataformas de dispositivos que estabelecem os requisitos do dispositivo. Os requisitos podem incluir versões do sistema operativo, a utilização de encriptação de discos, ou estar em níveis de ameaça específicos, tal como definidos pelo software de gestão de ameaças.

    A Intune pode salvaguardar dispositivos que não estejam em conformidade com as suas políticas e alertar o utilizador do dispositivo para que estes possam pôr o dispositivo em conformidade.

    Ao adicionar Acesso Condicional à mistura, configurar políticas que permitam apenas dispositivos compatíveis aceder à sua rede e recursos da organização. As restrições de acesso podem incluir ações de ficheiros e e-mail da empresa. As políticas de Acesso Condicional também funcionam com os dados do estado do dispositivo reportados por parceiros de conformidade de dispositivos de terceiros que integra com o Intune.

Seguem-se algumas das definições e tarefas de segurança que pode gerir através da política do dispositivo:

  • Encriptação do dispositivo – Gerencie o BitLocker em dispositivos Windows 10 e o FileVault no macOS.

  • Métodos de autenticação – Configure como os seus dispositivos autenticam os recursos, e-mail e aplicações da sua organização.

    • Utilize certificados para autenticação em aplicações, recursos da sua organização e para a assinatura e encriptação de e-mail usando S/MIME. Também pode configurar credenciais derivadas quando o seu ambiente requer a utilização de smartcards.

    • Configurar configurações que ajudam a limitar o risco, como:

      • Requerem a autenticação multi-factor (MFA) para adicionar uma camada extra de autenticação para os utilizadores.
      • Desaça os requisitos de PIN e password que devem ser cumpridos antes de obter acesso aos recursos.
      • Ativar Windows Hello para dispositivos de Windows 10.

  • Redes privadas virtuais (VPNs) – Com perfis VPN, atribua definições VPN aos dispositivos para que possam conectar-se facilmente à rede da sua organização. A Intune suporta vários tipos e aplicações de conexão VPN, que incluem capacidades incorporadas para algumas plataformas e aplicações VPN de primeira e de terceiros para dispositivos.

  • Atualizações de software – Gerir como e quando os dispositivos obtêm atualizações de software.

    • No caso do iOS, gere as versões do sistema operativo do dispositivo e quando os dispositivos verificarem e instalarem atualizações.
    • Para Windows 10,pode gerir a experiência Windows Update para dispositivos. Pode configurar quando os dispositivos digitalizam ou instalam atualizações, mantenha um conjunto dos seus dispositivos geridos em versões específicas de funcionalidades e muito mais.

  • Linhas de Segurança – Implementar linhas de segurança para estabelecer uma postura de segurança central nos seus dispositivos Windows 10. As linhas de base de segurança são grupos pré-configurados de definições Windows que são recomendadas pelas equipas de produtos relevantes. Pode utilizar as linhas de base como fornecidas ou editar instâncias delas para cumprir os seus objetivos de segurança para grupos de dispositivos direcionados.

Proteger os dados através de políticas

As aplicações geridas pela Intune e as políticas de proteção de aplicações da Intune podem ajudar a parar as fugas de dados e manter os dados da sua organização seguros. Estas proteções podem aplicar-se a dispositivos que estejam matriculados com o Intune e a dispositivos que não estejam.

  • As aplicações geridas por Intune (ou aplicações geridas para abreviar), são aplicações que foram integradas com a Aplicação Intune SDK ou embrulhadas pelo Intune App Wrapping Tool. Estas aplicações podem ser geridas usando políticas de proteção de aplicações Intune. Para ver uma lista de aplicações geridas publicamente disponíveis, consulte as aplicações protegidas intune.

    Os utilizadores podem usar aplicações geridas para trabalhar com os dados da sua organização e os seus próprios dados pessoais. No entanto, quando as políticas de proteção de apps requerem o uso de uma app gerida, a aplicação gerida é a única app que pode ser usada para aceder aos dados da sua organização. As regras de proteção de aplicações não se aplicam aos dados pessoais de um utilizador.

  • As políticas de proteção de aplicações são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. As regras identificam a app gerida que deve ser usada e definem o que pode ser feito com os dados enquanto a app está em uso.

Seguem-se exemplos de proteções e restrições que pode definir com políticas de proteção de aplicações e aplicações geridas:

  • Configure as proteções de camadas de aplicativo, como exigir que um PIN abra uma aplicação em contexto de trabalho.
  • Controle a partilha de dados de uma organização entre aplicações num dispositivo, como bloquear cópias e pastas, ou capturas de ecrã.
  • Evite a poupança dos dados da sua organização para locais de armazenamento pessoal.

Utilize ações do dispositivo para proteger dispositivos e dados

A partir do centro de administração Microsoft Endpoint Manager, pode executar ações do dispositivo que ajudam a manter um dispositivo selecionado protegido. Pode executar um subconjunto destas ações como ações de dispositivos a granel para afetar vários dispositivos ao mesmo tempo. E várias ações remotas do Intune também podem ser usadas com dispositivos cogeridos.

As ações do dispositivo não são políticas e fazem efeito uma única vez quando invocadas. Aplicam-se imediatamente se o dispositivo estiver acessível on-line, ou quando o dispositivo for o próximo a arrancar ou fazer check-in com o Intune. Considerou estas ações como complementares ao uso de políticas que configuram e mantêm configurações de segurança para uma população de dispositivos.

Seguem-se exemplos de ações que pode executar que ajudam a proteger dispositivos e dados:

Dispositivos geridos pela Intune:

  • Rotação da chave BitLocker (apenas Windows)
  • Bloqueio de ativação desativado (apenas iOS)
  • Digitalização completa ou rápida (apenas Windows 10)
  • Bloqueio remoto
  • Retire-se (que remove os dados da sua organização do dispositivo enquanto deixa os dados pessoais intactos)
  • Atualizar a Inteligência de Segurança do Microsoft Defender
  • Limpeza (fábrica reiniciada o dispositivo, removendo todos os dados, apps e configurações)

Dispositivos geridos pelo Gestor de Configuração:

  • Extinguir
  • Eliminação
  • Sincronização (forçar um dispositivo a fazer o check-in imediatamente com o Intune para encontrar novas políticas ou ações pendentes)

Integrar-se com outros produtos

A Intune suporta a integração com aplicações parceiras de fontes de primeira e de terceiros, que se expandem nas suas capacidades incorporadas. Também pode integrar o Intune com várias tecnologias da Microsoft.

Tecnologias de Parceiros

A Intune pode utilizar dados de parceiros integrados de conformidade e parceiros de defesa de ameaças móveis:

  • Parceiros de conformidade – Conheça os parceiros de conformidade do dispositivo com a Intune. Quando gere um dispositivo com um parceiro de gestão de dispositivos móveis que não o Intune, pode integrar esses dados de conformidade com Azure Ative Directory. Quando integrados, os dados do parceiro podem ser utilizados através de políticas de acesso condicional ao lado dos dados de conformidade do Intune.

  • Defesa da Ameaça Móvel – As aplicações de defesa de ameaças móveis podem digitalizar dispositivos para ameaças e ajudá-lo a identificar o risco de permitir que o dispositivo aceda aos recursos e dados da sua organização. Em seguida, pode utilizar esse nível de risco em várias políticas, como políticas de Acesso Condicional, para ajudar a gate access a esses recursos.

Configuration Manager

Pode utilizar muitas políticas intune e ações de dispositivo para proteger os dispositivos que gere com o Gestor de Configuração. Para suportar estes dispositivos, configurar cogestão ou anexação de inquilinos. Também pode usar os dois juntamente com o Intune.

  • A cogestão permite-lhe gerir simultaneamente um dispositivo Windows 10 com o Gestor de Configuração e o Intune. Instala o cliente Gestor de Configuração e inscreve o dispositivo no Intune. O dispositivo comunica com ambos os serviços.

  • O anexo do inquilino configura a sincronização entre o site do Seu Gestor de Configuração e o seu inquilino Intune. Esta sincronização proporciona-lhe uma única visão para todos os dispositivos que gere com Microsoft Endpoint Manager.

Depois de estabelecer uma ligação entre Intune e O Gestor de Configuração, os dispositivos do Gestor de Configuração estão disponíveis no centro de administração Microsoft Endpoint Manager. Em seguida, pode implementar políticas Intune nesses dispositivos ou utilizar ações do dispositivo para os proteger.

Algumas das proteções que pode aplicar incluem:

  • Implemente certificados para dispositivos utilizando perfis de certificados simples intune (SCEP) ou perfis de certificados de chave privada e pública (PKCS).
  • Use a política de conformidade.
  • Utilize políticas de segurança de ponto final, como antivírus, deteção e resposta de pontos finais e regras de Firewall.
  • Aplique linhas de segurança.
  • Gerir Windows Atualizações.

Aplicações de Defesa Contra Ameaças para Dispositivos Móveis

As aplicações mobile Threat Defense (MTD) digitalizam e analisam ativamente os dispositivos para ameaças. Quando integra (ligar) aplicações de Defesa de Ameaças Móveis com o Intune, ganha-se a avaliação de aplicações de um nível de ameaça de dispositivos. A avaliação de um nível de ameaça do dispositivo é uma ferramenta importante para proteger os recursos da sua organização de dispositivos móveis comprometidos.

Utilize dados de nível de ameaça com políticas de conformidade do dispositivo, proteção de aplicações e acesso condicional. Estas políticas utilizam os dados para ajudar a bloquear dispositivos não conformes de aceder aos recursos da sua organização.

Com uma aplicação MTD integrada:

  • Para dispositivos matriculados:

    • Utilize o Intune para implementar e, em seguida, gerir a aplicação MTD em dispositivos.
    • Implemente as políticas de conformidade do dispositivo que utilizam os dispositivos reportados nível de ameaça para avaliar a conformidade.
    • Defina políticas de Acesso Condicional que considerem um nível de ameaça de dispositivos.
    • Defina políticas de proteção de aplicações para determinar quando bloquear ou permitir o acesso aos dados, com base no nível de ameaça do dispositivo.

  • Para dispositivos que não se matriculam com o Intune mas executam uma aplicação MTD integrada com o Intune, use os seus dados de nível de ameaça com as suas políticas de proteção de apps para ajudar a bloquear o acesso aos dados da sua organização.

Intune apoia a integração com:

Microsoft Defender para Ponto Final

Por si só, o Microsoft Defender for Endpoint oferece vários benefícios focados na segurança. O Microsoft Defender for Endpoint também se integra com o Intune e é suportado em várias plataformas de dispositivos. Com a integração, você ganha uma aplicação de defesa de ameaças móveis e adiciona capacidades ao Intune para manter os dados e dispositivos seguros. Estas funcionalidades incluem:

  • Suporte para o Microsoft Tunnel - Em dispositivos Android, o Microsoft Defender for Endpoint é a aplicação do cliente que utiliza com o Microsoft Tunnel, uma solução de gateway VPN para o Intune. Quando usado como aplicação de clientes do Microsoft Tunnel, não precisa de uma subscrição para o Microsoft Defender para Endpoint.

  • Tarefas de segurança – Com tarefas de segurança,os administradores intune podem tirar partido do Microsoft Defender para as capacidades Gestão de Vulnerabilidades e Ameaças do Endpoint. Como funciona:

    • A sua equipa defender para o Endpoint identifica dispositivos de risco e cria as tarefas de segurança para o Intune no Centro de Segurança Defender para Endpoint.
    • Essas tarefas aparecem em Intune com conselhos de mitigação que os administradores da Intune podem usar para mitigar o risco.
    • Quando uma tarefa é resolvida no Intune, esse estatuto passa para o Centro de Segurança Defender para Endpoint, onde os resultados da mitigação podem ser avaliados.

  • Políticas de segurança endpoint – As seguintes políticas de segurança de ponto final intune requerem integração com o Microsoft Defender para o Endpoint. Quando utilizar o encaixe do inquilino,pode implementar estas políticas em dispositivos que gere com o Intune ou o Gestor de Configuração.

    • Política antivírus - Gerir as definições para Antivírus do Microsoft Defender e a experiência Segurança do Windows em dispositivos suportados, como Windows 10 e macOS.

    • Política de deteção e resposta de pontos finais – Utilize esta política para configurar deteção e resposta de pontos finais (DRP), que é uma capacidade do Microsoft Defender para o Endpoint.

Acesso Condicional

O Acesso Condicional é uma capacidade de Azure Ative Directory (Azure AD) que funciona com o Intune para ajudar a proteger os dispositivos. Para dispositivos que se registem com Azure AD, as políticas de Acesso Condicional podem utilizar detalhes do dispositivo e conformidade da Intune para impor decisões de acesso aos utilizadores e dispositivos.

Combine a política de acesso condicional com:

  • As políticas de conformidade do dispositivo podem exigir que um dispositivo seja marcado como conforme antes que esse dispositivo possa ser utilizado para aceder aos recursos da sua organização. As políticas de Acesso Condicional especificam os serviços de aplicações que pretende proteger, condições em que as aplicações ou serviços podem ser acedidos, e os utilizadores a que a política se aplica.

  • As políticas de proteção de aplicações podem adicionar uma camada de segurança que garante que apenas as aplicações do cliente suportem políticas de proteção de aplicações Intune podem aceder aos seus recursos online, como Exchange ou outros serviços de Microsoft 365.

O Acesso Condicional também funciona com o seguinte para ajudá-lo a manter os dispositivos seguros:

  • Microsoft Defender para endpoint e aplicações MTD de terceiros
  • Aplicativos parceiros de conformidade do dispositivo
  • Microsoft Tunnel

Passos seguintes

Planeie utilizar as capacidades da Intune para apoiar a sua viagem para um ambiente de confiança zero, protegendo os seus dados e protegendo dispositivos. Para além das ligações in-line anteriores para saber mais sobre essas capacidades, conheça a segurança dos dados e a partilha no Intune.