Segurança e privacidade para clientes do Gestor de ConfiguraçãoSecurity and privacy for Configuration Manager clients

Aplica-se a: Gestor de Configuração (ramo atual)Applies to: Configuration Manager (current branch)

Este artigo descreve informações de segurança e privacidade para clientes do Gestor de Configuração.This article describes security and privacy information for Configuration Manager clients. Também inclui informações para dispositivos móveis que são geridos pelo conector Exchange Server.It also includes information for mobile devices that are managed by the Exchange Server connector.

Boas práticas de segurança para clientesSecurity best practices for clients

O site Do Gestor de Configuração aceita dados de dispositivos que executam o cliente do Gestor de Configuração.The Configuration Manager site accepts data from devices that run the Configuration Manager client. Este comportamento introduz o risco de os clientes poderem atacar o site.This behavior introduces the risk that the clients could attack the site. Por exemplo, poderiam enviar inventários incorretos ou tentar sobrecarregar os sistemas do site.For example, they could send malformed inventory, or attempt to overload the site systems. Implemente o cliente do Gestor de Configuração apenas para dispositivos em que confie.Deploy the Configuration Manager client only to devices that you trust. Além disso, utilize os seguintes procedimentos recomendados para ajudar a proteger o site contra dispositivos não autorizados ou comprometidos:In addition, use the following security best practices to help protect the site from rogue or compromised devices:

Utilize certificados de infraestrutura de chaves públicas (PKI) para comunicações de clientes com sistemas de site que executam o IISUse public key infrastructure (PKI) certificates for client communications with site systems that run IIS

  • Como uma propriedade do site, configure Definições do sistema de sites para Apenas HTTPS.As a site property, configure Site system settings for HTTPS only.

  • Instale clientes UsePKICert com a propriedade CCMSetup.Install clients with the UsePKICert CCMSetup property.

  • Utilize uma lista de revogação de certificados (CRL) e certifique-se de que os clientes e servidores em comunicação podem aceder-lhe sempre.Use a certificate revocation list (CRL) and make sure that clients and communicating servers can always access it.

Os clientes de dispositivos móveis e alguns clientes baseados na Internet requerem estes certificados.Mobile device clients and some internet-based clients require these certificates. A Microsoft recomenda estes certificados para todas as ligações do cliente na intranet.Microsoft recommends these certificates for all client connections on the intranet.

Para obter mais informações sobre os requisitos do certificado PKI e como são usados para ajudar a proteger o Gestor de Configuração, consulte os requisitos do certificado PKI.For more information about the PKI certificate requirements and how they're used to help protect Configuration Manager, see PKI certificate requirements.

Aprovar automaticamente computadores cliente de domínios fidedignos, e verificar e aprovar manualmente outros computadoresAutomatically approve client computers from trusted domains and manually check and approve other computers

Quando não pode utilizar a autenticação PKI, a aprovação identifica um computador em que confia para ser gerido pelo Gestor de Configuração.When you can't use PKI authentication, approval identifies a computer that you trust to be managed by Configuration Manager. A hierarquia tem as seguintes opções para configurar a aprovação do cliente:The hierarchy has the following options to configure client approval:

  • ManualManual
  • Automático para computadores em domínios fidedignosAutomatic for computers in trusted domains
  • Automático para todos os computadoresAutomatic for all computers

O método de aprovação mais seguro é aprovar automaticamente clientes que sejam membros de domínios fidedignos.The most secure approval method is to automatically approve clients that are members of trusted domains. Em seguida, verifique manualmente e aprove todos os outros computadores.Then manually check and approve all other computers. A aprovação automática de todos os clientes não é recomendada, a menos que tenha outros controlos de acesso para evitar que computadores não confiáveis acedam à sua rede.Automatically approving all clients isn't recommended, unless you have other access controls to prevent untrustworthy computers from accessing your network.

Para obter mais informações sobre como aprovar manualmente computadores, consulte Gerir os clientes a partir do nó dos dispositivos.For more information about how to manually approve computers, see Manage clients from the devices node.

Não confie em bloquear para impedir que os clientes acedam à hierarquia do Gestor de ConfiguraçãoDon't rely on blocking to prevent clients from accessing the Configuration Manager hierarchy

Os clientes bloqueados são rejeitados pela infraestrutura do Gestor de Configuração.Blocked clients are rejected by the Configuration Manager infrastructure. Se os clientes estiverem bloqueados, não podem comunicar com os sistemas do site para descarregar a política, carregar dados de inventário ou enviar mensagens de estado ou estado.If clients are blocked, they can't communicate with site systems to download policy, upload inventory data, or send state or status messages.

O bloqueio foi concebido para os seguintes cenários:Blocking is designed for the following scenarios:

  • Bloquear meios de arranque perdidos ou comprometidos quando implementa um Sistema operativo para clientesTo block lost or compromised boot media when you deploy an OS to clients
  • Quando todos os sistemas de site aceitam ligações ao cliente HTTPSWhen all site systems accept HTTPS client connections

Quando os sistemas do site aceitam ligações ao cliente HTTP, não confie em bloquear para proteger a hierarquia do Gestor de Configuração de computadores não confiáveis.When site systems accept HTTP client connections, don't rely on blocking to protect the Configuration Manager hierarchy from untrusted computers. Neste cenário, um cliente bloqueado poderia voltar a integrar o site com um novo certificado auto-assinado e identificação de hardware.In this scenario, a blocked client could rejoin the site with a new self-signed certificate and hardware ID.

A revogação do certificado é a principal linha de defesa contra certificados potencialmente comprometidos.Certificate revocation is the primary line of defense against potentially compromised certificates. Uma lista de revogação de certificados (CRL) só está disponível a partir de uma infraestrutura de chave pública apoiada (PKI).A certificate revocation list (CRL) is only available from a supported public key infrastructure (PKI). Bloquear clientes no Gestor de Configuração oferece uma segunda linha de defesa para proteger a sua hierarquia.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

Para mais informações, consulte Determinar se bloqueia clientes.For more information, see Determine whether to block clients.

Utilize os métodos de instalação mais seguros do cliente que são práticos para o seu ambienteUse the most secure client installation methods that are practical for your environment

  • Para computadores de domínio, os métodos de instalação de cliente de Política de Grupo e de instalação de cliente baseada em atualização de software são mais seguros do que a instalação push de cliente.For domain computers, Group Policy client installation and software update-based client installation methods are more secure than client push installation.

  • Se aplicar controlos de acesso e alterar controlos, utilize métodos de imagem e instalação manual.If you apply access controls and change controls, use imaging and manual installation methods.

  • Na versão 1806 ou posterior, utilize a autenticação mútua Kerberos com a instalação de push do cliente.In version 1806 or later, use Kerberos mutual authentication with client push installation.

De todos os métodos de instalação do cliente, a instalação push do cliente é a menos segura devido às muitas dependências que tem.Of all the client installation methods, client push installation is the least secure because of the many dependencies it has. Estas dependências incluem permissões administrativas locais, a parte do Administrador e exceções à firewall.These dependencies include local administrative permissions, the Admin$ share, and firewall exceptions. O número e o tipo destas dependências aumentam a sua superfície de ataque.The number and type of these dependencies increase your attack surface.

A partir da versão 1806, ao utilizar o impulso do cliente, o site pode exigir a autenticação mútua kerberos, não permitindo o recuo à NTLM antes de estabelecer a ligação.Starting in version 1806, when using client push, the site can require Kerberos mutual authentication by not allowing fallback to NTLM before establishing the connection. Esta melhoria ajuda a garantir a comunicação entre o servidor e o cliente.This enhancement helps to secure the communication between the server and the client. Para mais informações, consulte Como instalar clientes com pressãodo cliente .For more information, see How to install clients with client push.

Para obter mais informações sobre os diferentes métodos de instalação do cliente, consulte os métodos de instalação do Cliente.For more information about the different client installation methods, see Client installation methods.

Sempre que possível, selecione um método de instalação do cliente que exija menos permissões de segurança no Gestor de Configuração.Wherever possible, select a client installation method that requires the least security permissions in Configuration Manager. Restringir os utilizadores administrativos a que sejam atribuídas funções de segurança com permissões que podem ser usadas para outros fins que não a implementação do cliente.Restrict the administrative users that are assigned security roles with permissions that can be used for purposes other than client deployment. Por exemplo, configurar a atualização automática do cliente requer a função de segurança do Administrador Completo, que concede a um utilizador administrativo todas as permissões de segurança.For example, configuring automatic client upgrade requires the Full Administrator security role, which grants an administrative user all security permissions.

Para obter mais informações sobre as dependências e permissões de segurança necessárias para cada método de instalação do cliente, consulte "Dependências do método de instalação" em pré-requisitos para clientes informáticos.For more information about the dependencies and security permissions required for each client installation method, see "Installation method dependencies" in Prerequisites for computer clients.

Se tiver de utilizar a instalação push de cliente, tome medidas adicionais para proteger a Conta de Instalação Push do ClienteIf you must use client push installation, take additional steps to secure the Client Push Installation Account

Esta conta deve ser um membro do grupo de Administradores locais em cada computador que instala o cliente do Gestor de Configuração.This account must be a member of the local Administrators group on each computer that installs the Configuration Manager client. Nunca adicione a Conta de Instalação push do cliente ao grupo Dedomínio Admins.Never add the Client Push Installation Account to the Domain Admins group. Em vez disso, crie um grupo global e, em seguida, adicione esse grupo global ao grupo de Administradores locais nos seus clientes.Instead, create a global group, and then add that global group to the local Administrators group on your clients. Crie um objeto de política de grupo para adicionar uma definição de Grupo Restrito para adicionar a Conta de Instalação push do cliente ao grupo de Administradores locais.Create a group policy object to add a Restricted Group setting to add the Client Push Installation Account to the local Administrators group.

Para obter segurança adicional, crie várias Contas de Instalação de Push do Cliente, cada uma com acesso administrativo a um número limitado de computadores.For additional security, create multiple Client Push Installation Accounts, each with administrative access to a limited number of computers. Se uma conta estiver comprometida, apenas os computadores clientes a que essa conta tem acesso estão comprometidos.If one account is compromised, only the client computers to which that account has access are compromised.

Remover certificados antes de imagiologia dos clientesRemove certificates before imaging clients

Quando implementar clientes utilizando imagens de SO, remova sempre os certificados antes de capturar a imagem.When you deploy clients by using OS images, always remove certificates before capturing the image. Estes certificados incluem certificados PKI para autenticação de clientes e certificados auto-assinados.These certificates include PKI certificates for client authentication, and self-signed certificates. Se não remover estes certificados, os clientes podem fazer-se passar por si.If you don't remove these certificates, clients might impersonate each other. Não pode verificar os dados de cada cliente.You can't verify the data for each client.

Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um sistema operativo.For more information, see Create a task sequence to capture an operating system.

Certifique-se de que os clientes do computador Do Gestor de Configuração obtêm uma cópia autorizada destes certificadosEnsure that the Configuration Manager computer clients get an authorized copy of these certificates

O certificado de chave de raiz fidedigna do Gestor de ConfiguraçãoThe Configuration Manager trusted root key certificate

Quando ambas as seguintes declarações são verdadeiras, os clientes confiam na chave raiz fidedigna do Gestor de Configuração para autenticar pontos de gestão válidos:When both of the following statements are true, clients rely on the Configuration Manager trusted root key to authenticate valid management points:

  • Você não estendeu o esquema de Diretório Ativo para Gerente de ConfiguraçãoYou haven't extended the Active Directory schema for Configuration Manager
  • Os clientes não usam certificados PKI quando comunicam com pontos de gestãoClients don't use PKI certificates when they communicate with management points

Neste cenário, os clientes não têm forma de verificar se o ponto de gestão é confiável para a hierarquia, a menos que utilizem a chave raiz de confiança.In this scenario, clients have no way to verify that the management point is trusted for the hierarchy unless they use the trusted root key. Sem a chave de raiz fidedigna, um intruso qualificado pode direcionar clientes para um ponto de gestão não autorizado.Without the trusted root key, a skilled attacker could direct clients to a rogue management point.

Quando os clientes não podem descarregar a chave raiz fidedigna do Gestor de Configuração do Catálogo Global ou utilizando certificados PKI, pré-fornecer os clientes com a chave raiz de confiança.When clients can't download the Configuration Manager trusted root key from the Global Catalog or by using PKI certificates, pre-provision the clients with the trusted root key. Esta ação garante que não podem ser direcionadas para um ponto de gestão desonesto.This action makes sure that they can't be directed to a rogue management point. Para mais informações, consulte O Planeamento para a chave raiz de confiança.For more information, see Planning for the trusted root key.

O certificado de assinatura do servidor do siteThe site server signing certificate

Os clientes usam este certificado para verificar se o servidor do site assinou a apólice descarregada a partir de um ponto de gestão.Clients use this certificate to verify that the site server signed the policy downloaded from a management point. Este certificado é autoassinado pelo servidor do site e publicado nos Serviços de Domínio do Active Directory.This certificate is self-signed by the site server and published to Active Directory Domain Services.

Quando os clientes não podem descarregar o certificado de assinatura do servidor do site a partir do Catálogo Global, por padrão, eles descarregam-no a partir do ponto de gestão.When clients can't download the site server signing certificate from the Global Catalog, by default they download it from the management point. Se o ponto de gestão for exposto a uma rede não confiável como a internet, instale manualmente o certificado de assinatura do servidor do site nos clientes.If the management point is exposed to an untrusted network like the internet, manually install the site server signing certificate on clients. Esta ação garante que não podem descarregar as políticas adulteradas dos clientes de um ponto de gestão comprometido.This action makes sure that they can't download tampered client policies from a compromised management point.

Para instalar manualmente o certificado de assinatura do servidor do site, utilize a propriedade CCMSetup client.msi SMSSIGNCERT.To manually install the site server signing certificate, use the CCMSetup client.msi property SMSSIGNCERT. Para mais informações, consulte sobre as propriedades de instalação do cliente.For more information, see About client installation properties.

Não utilize a atribuição automática do site se o cliente descarregar a chave raiz fidedigna a partir do primeiro ponto de gestão que contactaDon't use automatic site assignment if the client downloads the trusted root key from the first management point it contacts

Para evitar o risco de um novo cliente descarregar a chave raiz fidedigna de um ponto de gestão fraudulento, utilize apenas a atribuição automática do site nos seguintes cenários:To avoid the risk of a new client downloading the trusted root key from a rogue management point, only use automatic site assignment in the following scenarios:

  • O cliente pode aceder à informação do site do Gestor de Configuração que é publicada nos Serviços de Domínio do Diretório Ativo.The client can access Configuration Manager site information that's published to Active Directory Domain Services.

  • Pré-aprovisione o cliente com a chave de raiz fidedigna.You pre-provision the client with the trusted root key.

  • Utilize certificados PKI de uma autoridade de certificação empresarial para estabelecer fidedignidade entre o cliente e o ponto de gestão.You use PKI certificates from an enterprise certification authority to establish trust between the client and the management point.

Para obter mais informações sobre a chave de raiz fidedigna, consulte O Planeamento para a chave raiz fidedigna.For more information about the trusted root key, see Planning for the trusted root key.

Instalar computadores cliente com a opção CCMSetup Client.msi SMSDIRECTORYLOOKUP=NoWINSInstall client computers with the CCMSetup Client.msi option SMSDIRECTORYLOOKUP=NoWINS

O método mais seguro para a localização de serviço para os clientes localizarem sites e pontos de gestão é a utilização dos Serviços de Domínio do Active Directory.The most secure service location method for clients to find sites and management points is to use Active Directory Domain Services. Às vezes este método não é possível para alguns ambientes.Sometimes this method isn't possible for some environments. Por exemplo, porque não pode estender o esquema de Diretório Ativo para O Gestor de Configuração, ou porque os clientes estão numa floresta não confiável ou num grupo de trabalho.For example, because you can't extend the Active Directory schema for Configuration Manager, or because clients are in an untrusted forest or a workgroup. Se este método não for possível, utilize a publicação de DNS como um método alternativo de localização de serviço.If this method isn't possible, use DNS publishing as an alternative service location method. Se ambos os métodos falharem, e quando o ponto de gestão não estiver configurado para ligações ao cliente HTTPS, os clientes podem voltar a utilizar WINS.If both these methods fail, and when the management point isn't configured for HTTPS client connections, clients can fall back to using WINS.

A publicação para WINS é menos segura do que os outros métodos de publicação.Publishing to WINS is less secure than the other publishing methods. Configure os computadores dos clientes para não voltarem a utilizar WINS especificando SMSDIRECTORYLOOKUP=NoWINS.Configure client computers to not fall back to using WINS by specifying SMSDIRECTORYLOOKUP=NoWINS. Se tiver de utilizar WINS para a localização do serviço, utilize SMSDIRECTORYLOOKUP=WINSSECURE.If you must use WINS for service location, use SMSDIRECTORYLOOKUP=WINSSECURE. Esta é a predefinição.This setting is the default. Utiliza a chave raiz fidedigna do Gestor de Configuração para validar o certificado auto-assinado do ponto de gestão.It uses the Configuration Manager trusted root key to validate the self-signed certificate of the management point.

Nota

Quando configura o cliente para SMSDIRECTORYLOOKUP=WINSSECURE e encontra um ponto de gestão do WINS, o cliente verifica a sua cópia da chave raiz fidedigna do Gestor de Configuração que está no WMI.When you configure the client for SMSDIRECTORYLOOKUP=WINSSECURE and it finds a management point from WINS, the client checks its copy of the Configuration Manager trusted root key that's in WMI.

Se a assinatura no certificado de ponto de gestão corresponder à cópia do cliente da chave raiz fidedigna, o certificado é validado.If the signature on the management point certificate matches the client's copy of the trusted root key, the certificate is validated. Após a validação do certificado, o cliente começa a comunicar com o ponto de gestão que encontrou através da utilização do WINS.After validating the certificate, the client starts communicates with the management point that it found by using WINS.

Se a assinatura no certificado de ponto de gestão não corresponder à cópia do cliente da chave de raiz fidedigna, o certificado não é válido.If the signature on the management point certificate doesn't match the client's copy of the trusted root key, the certificate isn't valid. Neste cenário, o cliente não comunica com o ponto de gestão que encontrou através da utilização do WINS.In this scenario, the client doesn't communicate with the management point that it found by using WINS.

Certifique-se de que as janelas de manutenção são suficientemente abrangentes para implementar atualizações de software críticasMake sure that maintenance windows are large enough to deploy critical software updates

As janelas de manutenção para recolha seleções de dispositivos restringem as vezes que o Gestor de Configuração pode instalar software nestes dispositivos.Maintenance windows for device collections restrict the times that Configuration Manager can install software on these devices. Se configurar a janela de manutenção demasiado pequena, o cliente poderá não instalar atualizações críticas de software.If you configure the maintenance window to be too small, the client may not install critical software updates. Este comportamento deixa o cliente vulnerável a qualquer ataque que a atualização do software atenua.This behavior leaves the client vulnerable to any attack that the software update mitigates.

Tome precauções adicionais de segurança para reduzir a superfície de ataque em dispositivos incorporados pelo Windows com filtros de escritaTake additional security precautions to reduce the attack surface on Windows embedded devices with write filters

Quando ativa filtros de escrita em dispositivos Windows Embedded, quaisquer instalações ou alterações de software são feitas apenas para a sobreposição.When you enable write filters on Windows Embedded devices, any software installations or changes are only made to the overlay. Estas alterações não persistem após o reinício do dispositivo.These changes don't persist after the device restarts. Se utilizar o 'Configuração Manager' para desativar os filtros de escrita, durante este período o dispositivo incorporado é vulnerável a alterações em todos os volumes.If you use Configuration Manager to disable the write filters, during this period the embedded device is vulnerable to changes to all volumes. Estes volumes incluem pastas partilhadas.These volumes include shared folders.

O Gestor de Configuração bloqueia o computador durante este período para que apenas os administradores locais possam iniciar sessão.Configuration Manager locks the computer during this period so that only local administrators can sign in. Sempre que possível, tome precauções adicionais de segurança para ajudar a proteger o computador.Whenever possible, take additional security precautions to help protect the computer. Por exemplo, ativar restrições adicionais na firewall.For example, enable additional restrictions on the firewall.

Se utilizar janelas de manutenção para persistir alterações, planeje cuidadosamente estas janelas.If you use maintenance windows to persist changes, plan these windows carefully. Minimize o tempo que os filtros de escrita são desativados, mas faça-os com tempo suficiente para permitir que instalações de software e reinícios sejam concluídos.Minimize the time that write filters are disabled, but make them long enough to allow software installations and restarts to complete.

Use a versão mais recente do cliente com instalação de cliente baseada em atualização de softwareUse the latest client version with software update-based client installation

Se utilizar a instalação de clientes baseada em atualizações de software e instalar uma versão posterior do cliente no site, atualize a atualização de software publicada.If you use software update-based client installation, and install a later version of the client on the site, update the published software update. Em seguida, os clientes recebem a versão mais recente a partir do ponto de atualização de software.Then clients receive the latest version from the software update point.

Quando atualiza o site, a atualização de software para implementação do cliente que é publicada no ponto de atualização de software não é atualizada automaticamente.When you update the site, the software update for client deployment that's published to the software update point isn't automatically updated. Republique o cliente do Gestor de Configuração no ponto de atualização do software e atualize o número da versão.Republish the Configuration Manager client to the software update point and update the version number.

Para mais informações, consulte como instalar clientes do Gestor de Configuração utilizando a instalação baseada em atualizações de software.For more information, see How to install Configuration Manager clients by using software update-based installation.

Apenas suspenda a entrada bitLocker PIN em dispositivos de acesso confiável e restritoOnly suspend BitLocker PIN entry on trusted and restricted-access devices

Apenas configure a definição do cliente para suspender a entrada bitLocker PIN no reinício para Sempre para computadores em que confia e que tenham acesso físico restrito.Only configure the client setting to Suspend BitLocker PIN entry on restart to Always for computers that you trust and that have restricted physical access.

Quando definir esta definição de cliente para Sempre, O Gestor de Configuração pode completar a instalação do software.When you set this client setting to Always, Configuration Manager can complete the installation of software. Este comportamento ajuda a instalar atualizações críticas de software e a retomar os serviços.This behavior helps install critical software updates and resume services. Se um intruso intercetar o processo de reinício, podem assumir o controlo do computador.If an attacker intercepts the restart process, they could take control of the computer. Utilize esta definição apenas quando confia no computador e quando o acesso físico ao computador for restrito.Use this setting only when you trust the computer, and when physical access to the computer is restricted. Por exemplo, esta definição pode ser apropriada para servidores num centro de dados.For example, this setting might be appropriate for servers in a data center.

Para obter mais informações sobre esta definição de cliente, consulte as definições do cliente.For more information on this client setting, see About client settings.

Não ignore a política de execução da PowerShellDon't bypass PowerShell execution policy

Se configurar a definição do cliente do Gestor de Configuração para a política de execução powerShell para contornar, então o Windows permite que os scripts PowerShell não assinados possam ser executados.If you configure the Configuration Manager client setting for PowerShell execution policy to Bypass, then Windows allows unsigned PowerShell scripts to run. Este comportamento pode permitir que malware seja executado em computadores clientes.This behavior could allow malware to run on client computers. Quando a sua organização necessitar desta opção, utilize uma definição personalizada do cliente.When your organization requires this option, use a custom client setting. Atribua-o apenas aos computadores clientes que devem executar scripts PowerShell não assinados.Assign it to only the client computers that must run unsigned PowerShell scripts.

Para obter mais informações sobre esta definição de cliente, consulte as definições do cliente.For more information on this client setting, see About client settings.

Boas práticas de segurança para dispositivos móveisSecurity best practices for mobile devices

Instale o ponto de procuração de matrículas numa rede de perímetro e o ponto de inscrição na intranetInstall the enrollment proxy point in a perimeter network and the enrollment point in the intranet

Para dispositivos móveis baseados na Internet que se inscreva no Gestor de Configuração, instale o ponto de procuração de inscrição numa rede de perímetro e o ponto de inscrição na intranet.For internet-based mobile devices that you enroll with Configuration Manager, install the enrollment proxy point in a perimeter network and the enrollment point in the intranet. Esta separação de funções ajuda a proteger o ponto de registo contra ataques.This role separation helps to protect the enrollment point from attack. Se um intruso comprometer o ponto de inscrição, pode obter certificados para autenticação.If an attacker compromises the enrollment point, they could obtain certificates for authentication. Também podem roubar as credenciais dos utilizadores que matriculam os seus dispositivos móveis.They can also steal the credentials of users who enroll their mobile devices.

Configure as definições de palavra-passe para ajudar a proteger dispositivos móveis de acesso não autorizadoConfigure the password settings to help protect mobile devices from unauthorized access

Para dispositivos móveis matriculados pelo Gestorde Configuração : Utilize um item de configuração de dispositivo móvel para configurar a complexidade da palavra-passe como PIN.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password complexity as the PIN. Especifique pelo menos o comprimento mínimo de senha por defeito.Specify at least the default minimum password length.

Para dispositivos móveis que não tenham o cliente do Gestor de Configuração instalado mas que sejam geridos pelo conector Do Servidor de Câmbio: Configure as Definições de Palavra-Passe para o conector do Exchange Server de tal forma que a complexidade da palavra-passe é o PIN.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector such that the password complexity is the PIN. Especifique pelo menos o comprimento mínimo de senha por defeito.Specify at least the default minimum password length.

Só permite que as candidaturas sejam executadas que são assinadas por empresas em quem confiaOnly allow applications to run that are signed by companies that you trust

Ajude a prevenir a adulteração de informações de inventário e informações sobre o estado, permitindo que as aplicações sejam executadas apenas quando são assinadas por empresas em quem confia.Help prevent tampering of inventory information and status information by allowing applications to run only when they're signed by companies that you trust. Não permita que os dispositivos instalem ficheiros não assinados.Don't allow devices to install unsigned files.

Para dispositivos móveis matriculados pelo Diretorde Configuração : Utilize um item de configuração de dispositivomóvel para configurar as aplicações não assinadas de definição de segurança como proibidas.For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the security setting Unsigned applications as Prohibited. Configure as instalações de ficheiros não assinadas para ser uma fonte de confiança.Configure Unsigned file installations to be a trusted source.

Para dispositivos móveis que não tenham o cliente do Gestor de Configuração instalado mas que sejam geridos pelo conector Do Servidor de Câmbio: Configure as definições de aplicação para o conector do Exchange Server de tal forma que a instalação de ficheiros não assinados e as aplicações não assinadas são proibidas.For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Application Settings for the Exchange Server connector such that Unsigned file installation and Unsigned applications are Prohibited.

Bloqueie os dispositivos móveis quando não estiver a ser utilizadoLock mobile devices when not in use

Ajude a prevenir a elevação de ataques de privilégios bloqueando o dispositivo móvel quando não é utilizado.Help prevent elevation of privilege attacks by locking the mobile device when it isn't used.

Para dispositivos móveis matriculados pelo Diretorde Configuração : Utilize um item de configuração de dispositivo móvel para configurar o tempo de regulação da palavra-passe em minutos antesdo bloqueio do dispositivo móvel .For mobile devices that are enrolled by Configuration Manager: Use a mobile device configuration item to configure the password setting Idle time in minutes before mobile device is locked.

Para dispositivos móveis que não tenham o cliente do Gestor de Configuração instalado mas que sejam geridos pelo conector Do Servidor de Câmbio: Configure as definições de palavra-passe para o conector do Exchange Server para definir o tempo de inversão em minutos antesde o dispositivo móvel estar bloqueado .For mobile devices that don't have the Configuration Manager client installed but are managed by the Exchange Server connector: Configure the Password Settings for the Exchange Server connector to set the Idle time in minutes before mobile device is locked.

Restringir os utilizadores que podem inscrever os seus dispositivos móveisRestrict the users who can enroll their mobile devices

Ajude a prevenir a elevação dos privilégios restringindo os utilizadores que podem inscrever os seus dispositivos móveis.Help prevent elevation of privileges by restricting the users who can enroll their mobile devices. Utilize uma definição de cliente personalizada em vez de predefinições de cliente, para permitir que apenas utilizadores autorizados possam inscrever os respetivos dispositivos móveis.Use a custom client setting rather than default client settings to allow only authorized users to enroll their mobile devices.

Orientação de afinidade do dispositivo do utilizador para dispositivos móveisUser device affinity guidance for mobile devices

Não implemente aplicações para utilizadores que tenham dispositivos móveis matriculados pelo Configuração Manager ou Microsoft Intune nos seguintes cenários:Don't deploy applications to users who have mobile devices enrolled by Configuration Manager or Microsoft Intune in the following scenarios:

  • O dispositivo móvel é utilizado por mais de uma pessoa.The mobile device is used by more than one person.

  • O dispositivo é matriculado por um administrador em nome de um utilizador.The device is enrolled by an administrator on behalf of a user.

  • O dispositivo é transferido para outra pessoa sem se reformar e, em seguida, re-matricular o dispositivo.The device is transferred to another person without retiring and then re-enrolling the device.

A inscrição no dispositivo cria uma relação de afinidade do dispositivo de utilizador.Device enrollment creates a user device affinity relationship. Esta relação mapeia o utilizador que executa a inscrição no dispositivo móvel.This relationship maps the user who performs enrollment to the mobile device. Se outro utilizador utilizar o dispositivo móvel, pode executar as aplicações implementadas para o utilizador original, o que pode resultar numa elevação de privilégios.If another user uses the mobile device, they can run the applications deployed to the original user, which might result in an elevation of privileges. Da mesma forma, se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não são instaladas no dispositivo móvel.Similarly, if an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Em vez disso, as aplicações implementadas para o administrador podem ser instaladas.Instead, applications deployed to the administrator might be installed.

Ao contrário da afinidade do dispositivo de utilizador para computadores Windows, não é possível definir manualmente as informações de afinidade do dispositivo de utilizador para dispositivos móveis matriculados pelo Microsoft Intune.Unlike user device affinity for Windows computers, you can't manually define the user device affinity information for mobile devices enrolled by Microsoft Intune.

Se transferir a propriedade de um dispositivo móvel matriculado pela Intune, retire primeiro o dispositivo móvel de Intune.If you transfer ownership of a mobile device that's enrolled by Intune, first retire the mobile device from Intune. Esta ação remove a relação de afinidade do dispositivo utilizador.This action removes the user device affinity relationship. Em seguida, peça ao utilizador atual para voltar a inscrever o dispositivo.Then ask the current user to enroll the device again.

Certifique-se de que os utilizadores matriculam os seus próprios dispositivos móveis para o Microsoft IntuneMake sure that users enroll their own mobile devices for Microsoft Intune

Uma relação de afinidade do dispositivo de utilizador é criada durante a inscrição.A user device affinity relationship is created during enrollment. Esta ação mapeia o utilizador que executa a inscrição no dispositivo móvel.This action maps the user who performs enrollment to the mobile device. Se um administrador inscrever o dispositivo móvel para um utilizador, as aplicações implementadas para o utilizador não são instaladas no dispositivo móvel.If an administrator enrolls the mobile device for a user, applications deployed to the user aren't installed on the mobile device. Em vez disso, as aplicações implementadas para o administrador podem ser instaladas.Instead, applications deployed to the administrator might be installed.

Proteja a ligação entre o servidor do site do Gestor de Configuração e o Servidor de IntercâmbioProtect the connection between the Configuration Manager site server and the Exchange Server

Se o Servidor de Câmbio estiver no local, utilize o IPsec.If the Exchange Server is on-premise, use IPsec. A Bolsa hospedada assegura automaticamente a ligação utilizando o SSL.Hosted Exchange automatically secures the connection by using SSL.

Utilize o princípio dos menores privilégios para o conectorUse the principle of least privileges for the connector

Para obter uma lista dos cmdlets mínimos que o conector do Exchange Server necessita, consulte Gerir dispositivos móveis com 'Gestor de Configuração' e Troca.For a list of the minimum cmdlets that the Exchange Server connector requires, see Manage mobile devices with Configuration Manager and Exchange.

Boas práticas de segurança para MacsSecurity best practices for Macs

Armazenar e aceder aos ficheiros de origem do cliente a partir de um local seguroStore and access the client source files from a secured location

Antes de instalar ou inscrever o cliente no computador Mac, o Gestor de Configuração não verifica se estes ficheiros de origem do cliente foram adulterados.Before installing or enrolling the client on Mac computer, Configuration Manager doesn't verify whether these client source files have been tampered with. Descarregue estes ficheiros de uma fonte fidedigna.Download these files from a trustworthy source. Armazene e aceda-os de forma segura.Securely store and access them.

Monitorizar e acompanhar o período de validade do certificadoMonitor and track the validity period of the certificate

Para assegurar a continuidade do negócio, monitorize e controle o período de validade dos certificados que utiliza para computadores Mac.To ensure business continuity, monitor and track the validity period of the certificates that you use for Mac computers. O Gestor de Configuração não suporta a renovação automática deste certificado, nem o avisa que o certificado está prestes a expirar.Configuration Manager doesn't support automatic renewal of this certificate, or warn you that the certificate is about to expire. Um período de validade típico é de um ano.A typical validity period is one year.

Para obter mais informações sobre como renovar o certificado, consulte Renovar manualmente o certificado de cliente Mac.For more information about how to renew the certificate, see Renewing the Mac client certificate manually.

Configure o certificado de raiz fidedigno apenas para SSLConfigure the trusted root certificate for SSL only

Para ajudar a proteger contra a elevação de privilégios, configure o certificado para a autoridade de certificadode raiz fidedigna para que só seja confiado para o protocolo SSL.To help protect against elevation of privileges, configure the certificate for the trusted root certificate authority so that it's only trusted for the SSL protocol.

Quando matricula computadores Mac, um certificado de utilizador para gerir o cliente do Gestor de Configuração é automaticamente instalado.When you enroll Mac computers, a user certificate to manage the Configuration Manager client is automatically installed. Este certificado de utilizador inclui os certificados de raiz fidedignos na sua cadeia fiducida.This user certificate includes the trusted root certificates in its trust chain. Para restringir a confiança deste certificado-raiz apenas ao protocolo SSL, utilize o seguinte procedimento:To restrict the trust of this root certificate to the SSL protocol only, use the following procedure:

  1. No computador Mac, abra uma janela de terminal.On the Mac computer, open a terminal window.

  2. Insira o seguinte comando:sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ AccessEnter the following command: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Na caixa de diálogo Keychain Access, na secção Keychains, clique no Sistema.In the Keychain Access dialog box, in the Keychains section, click System. Em seguida, na secção Categoria, clique em Certificados.Then in the Category section, click Certificates.

  4. Localize e clique duas vezes no certificado ca raiz para o certificado de cliente Mac.Locate and double-click the root CA certificate for the Mac client certificate.

  5. Na caixa de diálogo do certificado de AC de raiz, expanda a secção Confiar e, em seguida, faça as seguintes alterações:In the dialog box for the root CA certificate, expand the Trust section, and then make the following changes:

    1. Ao utilizar este certificado: Altere a definição Always Trust para utilizar as predefinições do sistema.When using this certificate: Change the Always Trust setting to Use System Defaults.

    2. Camada de tomadas seguras (SSL): Não alterar nenhum valor especificado para sempre confiar.Secure Sockets Layer (SSL): Change no value specified to Always Trust.

  6. Feche a caixa de diálogo.Close the dialog box. Quando solicitado, introduza a palavra-passe do administrador e, em seguida, clique em Definições de Atualização.When prompted, enter the administrator's password, and then click Update Settings.

Depois de completar este procedimento, o certificado de raiz só é confiável para validar o protocolo SSL.After you complete this procedure, the root certificate is only trusted to validate the SSL protocol. Outros protocolos que agora não são fidedignos com este certificado de raiz incluem O Correio Seguro (S/MIME), Autenticação Extensível (EAP) ou assinatura de código.Other protocols that are now untrusted with this root certificate include Secure Mail (S/MIME), Extensible Authentication (EAP), or code signing.

Nota

Utilize também este procedimento se tiver instalado o certificado de cliente independentemente do Gestor de Configuração.Also use this procedure if you installed the client certificate independently from Configuration Manager.

Problemas de segurança para clientes do Gestor de ConfiguraçãoSecurity issues for Configuration Manager clients

Os seguintes problemas de segurança não têm nenhuma atenuação:The following security issues have no mitigation:

As mensagens de estado não são autenticadasStatus messages aren't authenticated

A autenticação não é efetuada nas mensagens de estado.No authentication is performed on status messages. Quando um ponto de gestão aceita ligações de cliente HTTP, qualquer dispositivo pode enviar mensagens de estado para o ponto de gestão.When a management point accepts HTTP client connections, any device can send status messages to the management point. Se o ponto de gestão aceitar apenas ligações ao cliente HTTPS, um dispositivo deve ter um certificado de autenticação de cliente válido, mas também pode enviar qualquer mensagem de estado.If the management point accepts HTTPS client connections only, a device must have a valid client authentication certificate, but could also send any status message. O ponto de gestão descarta qualquer mensagem de estado inválida recebida de um cliente.The management point discards any invalid status message received from a client.

Há alguns potenciais ataques contra esta vulnerabilidade:There are a few potential attacks against this vulnerability:

  • Um intruso pode enviar uma mensagem falsa para ganhar a adesão a uma coleção baseada em consultas de mensagens de estado.An attacker could send a bogus status message to gain membership in a collection that's based on status message queries.
  • Qualquer cliente poderia iniciar um denial of service contra o ponto de gestão, congestionando-o com mensagens de estado.Any client could launch a denial of service against the management point by flooding it with status messages.
  • Se as mensagens de estado estão a acionar ações nas regras de filtro de mensagem de estado, um intruso poderia acionar a regra de filtro de mensagens de estado.If status messages are triggering actions in status message filter rules, an attacker could trigger the status message filter rule.
  • Um intruso poderia enviar uma mensagem de estado que tornaria a informação de reportagem imprecisa.An attacker could send status message that would render reporting information inaccurate.

As políticas podem ser redirecionadas para os clientes não direcionadosPolicies can be retargeted to non-targeted clients

Existem vários métodos que os atacantes poderiam utilizar para fazer com que uma política direcionada para um cliente fosse aplicada a um cliente completamente diferente.There are several methods that attackers could use to make a policy targeted to one client apply to an entirely different client. Por exemplo, um intruso de um cliente de confiança poderia enviar informações falsas de inventário ou descoberta para que o computador fosse adicionado a uma coleção à qual não deveria pertencer.For example, an attacker at a trusted client could send false inventory or discovery information to have the computer added to a collection to which it shouldn't belong. Esse cliente recebe então todos os destacamentos dessa coleção.That client then receives all the deployments to that collection.

Existem controlos para ajudar a evitar que os atacantes modifiquem diretamente a política.Controls exist to help prevent attackers from directly modifying policy. No entanto, os atacantes poderiam tomar uma política existente que reformata e reimplanta um Sistema operativo e enviá-lo para um computador diferente.However, attackers could take an existing policy that reformats and redeploys an OS and send it to a different computer. Esta política redirecionada poderia criar uma negação de serviço.This redirected policy could create a denial of service. Este tipo de ataques requereria um tempo preciso e um conhecimento alargado da infraestrutura do Gestor de Configuração.These types of attacks would require precise timing and extensive knowledge of the Configuration Manager infrastructure.

Os registos de cliente permitem o acesso do utilizadorClient logs allow user access

Todos os ficheiros de registo do cliente permitem ao grupo Utilizadores acesso ao Read e ao utilizador especial Interativo com acesso ao Write.All the client log files allow the Users group with Read access, and the special Interactive user with Write access. Se ativar o registo verboso, os intrusos podem ler os ficheiros de registo para procurarem informações sobre vulnerabilidades de compatibilidade ou de sistema.If you enable verbose logging, attackers might read the log files to look for information about compliance or system vulnerabilities. Processos como o software que o cliente instala no contexto de um utilizador devem escrever para iniciar sessão com uma conta de utilizador de baixos direitos.Processes such as software that the client installs in a user's context must write to logs with a low-rights user account. Este comportamento significa que um intruso também pode escrever para os registos com uma conta de baixos direitos.This behavior means an attacker could also write to the logs with a low-rights account.

O risco mais grave é que um intruso possa remover informações nos ficheiros de registo.The most serious risk is that an attacker could remove information in the log files. Um administrador pode precisar desta informação para auditoria e deteção de intrusões.An administrator might need this information for auditing and intrusion detection.

Um computador poderia ser usado para obter um certificado projetado para a inscrição de dispositivos móveisA computer could be used to obtain a certificate that's designed for mobile device enrollment

Quando o Gestor de Configuração processa um pedido de inscrição, não pode verificar o pedido originado de um dispositivo móvel e não de um computador.When Configuration Manager processes an enrollment request, it can't verify the request originated from a mobile device rather than from a computer. Se o pedido for de um computador, pode instalar um certificado PKI que lhe permite registar-se com o Gestor de Configuração.If the request is from a computer, it can install a PKI certificate that then allows it to register with Configuration Manager.

Para ajudar a prevenir uma elevação de ataque de privilégio neste cenário, apenas permite que utilizadores de confiança matriculem os seus dispositivos móveis.To help prevent an elevation of privilege attack in this scenario, only allow trusted users to enroll their mobile devices. Monitorize cuidadosamente as atividades de inscrição do dispositivo no site.Carefully monitor device enrollment activities in the site.

Um cliente bloqueado ainda pode enviar mensagens para o ponto de gestãoA blocked client can still send messages to the management point

Quando bloqueia um cliente em que já não confia, mas estabeleceu uma ligação de rede para notificação do cliente, o Gestor de Configuração não desliga a sessão.When you block a client that you no longer trust, but it established a network connection for client notification, Configuration Manager doesn't disconnect the session. O cliente bloqueado pode continuar a enviar pacotes para o respetivo ponto de gestão, até o cliente desligar da rede.The blocked client can continue to send packets to its management point until the client disconnects from the network. Estes pacotes são apenas pequenos pacotes de manter vivos.These packets are only small, keep-alive packets. Este cliente não pode ser gerido pelo Gestor de Configuração até que seja desbloqueado.This client can't be managed by Configuration Manager until it's unblocked.

Atualização automática do cliente não verifica o ponto de gestãoAutomatic client upgrade doesn't verify the management point

Quando utiliza a atualização automática do cliente, o cliente pode ser direcionado para um ponto de gestão para descarregar os ficheiros de origem do cliente.When you use automatic client upgrade, the client can be directed to a management point to download the client source files. Neste cenário, o cliente não verifica o ponto de gestão como uma fonte de confiança.In this scenario, the client doesn't verify the management point as a trusted source.

Quando os utilizadores matriculam os computadores Mac pela primeira vez, estão em risco devido à falsificação de DNSWhen users first enroll Mac computers, they're at risk from DNS spoofing

Quando o computador Mac se conecta ao ponto de procuração de inscrição durante a inscrição, é improvável que o computador Mac já tenha o certificado ca raiz de confiança.When the Mac computer connects to the enrollment proxy point during enrollment, it's unlikely that the Mac computer already has the trusted root CA certificate. Neste ponto, o computador Mac não confia no servidor, e pede ao utilizador para continuar.At this point, the Mac computer doesn't trust the server, and prompts the user to continue. Se um servidor DNS fraudulento resolver o nome de domínio totalmente qualificado (FQDN) do ponto de procuração de inscrição, pode direcionar o computador Mac para um ponto de procuração de inscrição fraudulenta para instalar certificados a partir de uma fonte não fidedigna.If a rogue DNS server resolves the fully qualified domain name (FQDN) of the enrollment proxy point, it could direct the Mac computer to a rogue enrollment proxy point to install certificates from an untrusted source. Para ajudar a reduzir este risco, siga os procedimentos recomendados para evitar o spoofing de DNS no seu ambiente.To help reduce this risk, follow best practices to avoid DNS spoofing in your environment.

A inscrição no Mac não limita os pedidos de certificadosMac enrollment doesn't limit certificate requests

Os utilizadores podem inscrever novamente os seus computadores Mac, pedindo de cada vez um novo certificado de cliente.Users can re-enroll their Mac computers, each time requesting a new client certificate. O Gestor de Configuração não verifica vários pedidos nem limita o número de certificados solicitados a partir de um único computador.Configuration Manager doesn't check for multiple requests or limit the number of certificates requested from a single computer. Um utilizador desonesto pode executar um script que repete o pedido de inscrição da linha de comando.A rogue user could run a script that repeats the command-line enrollment request. Este ataque pode causar uma negação de serviço na rede ou na autoridade de certificados emissores (CA).This attack could cause a denial of service on the network or on the issuing certificate authority (CA). Para ajudar a reduzir este risco, monitorize com cuidado a AC emissora para detetar este tipo de comportamento suspeito.To help reduce this risk, carefully monitor the issuing CA for this type of suspicious behavior. Bloqueie imediatamente a hierarquia do Gestor de Configuração qualquer computador que mostre este padrão de comportamento.Immediately block from the Configuration Manager hierarchy any computer that shows this pattern of behavior.

Um reconhecimento de limpeza não verifica que o dispositivo foi limpo com sucessoA wipe acknowledgment doesn't verify that the device has been successfully wiped

Quando inicia uma ação de limpeza para um dispositivo móvel, e o Gestor de Configuração reconhece a limpeza, a verificação é que o Gestor de Configuração enviou com sucesso a mensagem.When you initiate a wipe action for a mobile device, and Configuration Manager acknowledges the wipe, the verification is that Configuration Manager successfully sent the message. Não confirma que o dispositivo agiu no pedido.It doesn't verify that the device acted on the request.

Para dispositivos móveis geridos pelo conector Exchange Server, um reconhecimento de limpeza verifica que o comando foi recebido pela Exchange, e não pelo dispositivo.For mobile devices managed by the Exchange Server connector, a wipe acknowledgment verifies that the command was received by Exchange, not by the device.

Se utilizar as opções para cometer alterações nos dispositivos Windows Embedded, as contas podem ser bloqueadas mais cedo do que o esperadoIf you use the options to commit changes on Windows Embedded devices, accounts might be locked out sooner than expected

Se o dispositivo Windows Embedded estiver a executar uma versão OS antes do Windows 7 e um utilizador tentar iniciar sessão enquanto os filtros de escrita são desativados pelo 'Gestor de Configuração', o Windows permite apenas metade do número configurado de tentativas incorretas antes de a conta estar bloqueada.If the Windows Embedded device is running an OS version prior to Windows 7, and a user attempts to sign in while the write filters are disabled by Configuration Manager, Windows allows only half of the configured number of incorrect attempts before the account is locked out.

Por exemplo, configura a política de domínio para o limiar de bloqueio da Conta a seis tentativas.For example, you configure the domain policy for Account lockout threshold to six attempts. Um utilizador desalpede a sua palavra-passe três vezes e a conta está bloqueada. Este comportamento cria efetivamente uma negação de serviço.A user mistypes their password three times, and the account is locked out. This behavior effectively creates a denial of service. Se os utilizadores devem iniciar sessão em dispositivos incorporados neste cenário, alerte-os sobre o potencial de um limiar de bloqueio reduzido.If users must sign in to embedded devices in this scenario, caution them about the potential for a reduced lockout threshold.

Informações de privacidade para clientes do Gestor de ConfiguraçãoPrivacy information for Configuration Manager clients

Quando implementa o cliente do Gestor de Configuração, ativa as definições do cliente para as funcionalidades do Gestor de Configuração.When you deploy the Configuration Manager client, you enable client settings for Configuration Manager features. As definições que utiliza para configurar as funcionalidades podem aplicar-se a todos os clientes na hierarquia do Gestor de Configuração.The settings that you use to configure the features can apply to all clients in the Configuration Manager hierarchy. Este comportamento é o mesmo se estão diretamente ligados à rede interna, ligados através de uma sessão remota, ou ligados à internet.This behavior is the same whether they're directly connected to the internal network, connected through a remote session, or connected to the internet.

A informação do cliente é armazenada na base de dados do Gestor de Configuração no seu servidor SQL, e não é enviada para a Microsoft.Client information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. A informação é retida na base de dados até que seja eliminada pelas tarefas de manutenção do site Eliminar Dados de DescobertaS Envelhecidas a cada 90 dias.Information is retained in the database until it's deleted by the site maintenance tasks Delete Aged Discovery Data every 90 days. Pode configurar o intervalo de eliminação.You can configure the deletion interval.

Alguns diagnósticos resumidos ou agregados e dados de utilização são enviados para a Microsoft.Some summarized or aggregate diagnostics and usage data is sent to Microsoft. Para mais informações, consulte Diagnósticos e dados de utilização.For more information, see Diagnostics and usage data.

Antes de configurar o cliente do Gestor de Configuração, considere os seus requisitos de privacidade.Before you configure the Configuration Manager client, consider your privacy requirements.

Pode saber mais sobre a recolha e utilização de dados da Microsoft na Declaração de Privacidade da Microsoft.You can learn more about Microsoft's data collection and use in the Microsoft Privacy Statement.

Estado do clienteClient status

O Gestor de Configuração monitoriza a atividade dos clientes.Configuration Manager monitors the activity of clients. Avalia periodicamente o cliente do Gestor de Configuração e pode remediar problemas com o cliente e as suas dependências.It periodically evaluates the Configuration Manager client and can remediate issues with the client and its dependencies. O estado do cliente é ativado por defeito.Client status is enabled by default. Utiliza métricas do lado do servidor para verificação da atividade do cliente.It uses server-side metrics for the client activity checks. O estado do cliente utiliza ações do lado do cliente para auto-verificações, reparação e para o envio de informações sobre o estado do cliente para o site.Client status uses client-side actions for self-checks, remediation, and for sending client status information to the site. O cliente executa os auto-controlos de acordo com um horário que configura.The client runs the self-checks according to a schedule that you configure. O cliente envia os resultados dos cheques para o site do Gestor de Configuração.The client sends the results of the checks to the Configuration Manager site. Estas informações são encriptadas durante a transferência.This information is encrypted during transfer.

As informações sobre o estado do cliente são armazenadas na base de dados do Gestor de Configuração no seu servidor SQL, e não são enviadas para a Microsoft.Client status information is stored in the Configuration Manager database in your SQL server, and isn't sent to Microsoft. A informação não é armazenada em formato encriptado na base de dados do site.The information isn't stored in encrypted format in the site database. Esta informação é retida na base de dados até ser eliminada de acordo com o valor configurado para o histórico de estado do cliente de Reter para o número seguinte de dias de definição de estado do cliente.This information is retained in the database until it's deleted according to the value configured for the Retain client status history for the following number of days client status setting. O valor predefinido para esta definição é de 31 dias.The default value for this setting is every 31 days.

Antes de instalar o cliente do Gestor de Configuração com verificação do estado do cliente, considere os seus requisitos de privacidade.Before you install the Configuration Manager client with client status checking, consider your privacy requirements.

Informações de privacidade para dispositivos móveis que são geridos com o Conector do Servidor de IntercâmbioPrivacy information for mobile devices that are managed with the Exchange Server Connector

O Conector de Servidores de Câmbio encontra e gere dispositivos que se ligam a um servidor de câmbio no local ou hospedado utilizando o protocolo ActiveSync.The Exchange Server Connector finds and manages devices that connect to an on-premises or hosted Exchange Server by using the ActiveSync protocol. Os registos encontrados pelo Conector do Servidor de Câmbio são armazenados na base de dados do Gestor de Configuração no seu servidor SQL.The records found by the Exchange Server Connector are stored in the Configuration Manager database in your SQL server. A informação é recolhida no Servidor de Câmbio.The information is collected from the Exchange Server. Não contém nenhuma informação adicional do que os dispositivos móveis enviam para o Exchange Server.It doesn't contain any additional information from what the mobile devices send to Exchange Server.

A informação do dispositivo móvel não é enviada para a Microsoft.The mobile device information isn't sent to Microsoft. As informações do dispositivo móvel são armazenadas na base de dados do Gestor de Configuração no seu servidor SQL.The mobile device information is stored in the Configuration Manager database in your SQL server. A informação é retida na base de dados até que seja eliminada pela tarefa de manutenção do site Eliminar Dados de DescobertaS Envelhecidas a cada 90 dias.Information is retained in the database until it's deleted by the site maintenance task Delete Aged Discovery Data every 90 days. Configura o intervalo de eliminação.You configure the deletion interval.

Antes de instalar e configurar o conector do Exchange Server, considere os requisitos de privacidade.Before you install and configure the Exchange Server connector, consider your privacy requirements.

Pode saber mais sobre a recolha e utilização de dados da Microsoft na Declaração de Privacidade da Microsoft.You can learn more about Microsoft's data collection and use in the Microsoft Privacy Statement.