Atribuir perfis de utilizador e dispositivo no Microsoft Intune
Criou um perfil que inclui todas as definições que introduziu. O próximo passo é implantar ou "atribuir" o perfil aos grupos de utilizador ou dispositivo. Quando for atribuído, os utilizadores e os dispositivos recebem o perfil e as definições que introduziu são aplicadas.
O artigo mostra como atribuir um perfil, inclui também alguma informação sobre a utilização de etiquetas de âmbito nos perfis.
Nota
Quando um perfil é removido ou já não é atribuído a um dispositivo, coisas diferentes podem acontecer, dependendo das definições no perfil. As definições são baseadas em CSPs, e cada CSP pode lidar com a remoção do perfil de forma diferente. Por exemplo, uma definição pode manter o valor existente e não voltar a um valor padrão. O comportamento é controlado por cada CSP no sistema operativo. Para obter uma lista de Windows CSPs, consulte a referência do fornecedor de serviços de configuração (CSP).
Para alterar uma definição para um valor diferente, crie um novo perfil, configure a definição para Não configurado, e atribua o perfil. Uma vez aplicado ao dispositivo, os utilizadores devem ter controlo para alterar a definição para o seu valor preferido.
Ao configurar estas definições, sugerimos a colocação num grupo piloto. Para obter mais conselhos de lançamento do Intune, consulte criar um plano de lançamento.
Antes de começar
Certifique-se de que tem o papel correto para atribuir perfis. Para obter mais informações, consulte o controlo de acesso baseado em funções (RBAC) com Microsoft Intune.
Atribuir um perfil do dispositivo
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione > perfis de configuração de dispositivos. Todos os perfis são apresentados.
Selecione o perfil que pretende atribuir > > Edição de atribuições de > propriedades:
Selecione grupos incluídos ou grupos excluídos e, em seguida, escolha grupos selecionados para incluir. Ao selecionar os seus grupos, estará a escolher um grupo do Azure AD. Para selecionar vários grupos, mantenha premida a tecla Ctrl e selecione os grupos.
Selecione Review + Guardar. Este passo não atribui o seu perfil.
Selecione Guardar. Quando se guarda, o seu perfil é atribuído. Os seus grupos receberão as definições de perfil quando os dispositivos se consultarem no serviço Intune.
Utilize etiquetas de âmbito ou regras de aplicabilidade
Quando cria ou atualiza um perfil, também pode adicionar etiquetas de âmbito e regras de aplicabilidade ao perfil.
As etiquetas de âmbito são uma ótima maneira de filtrar perfis para grupos específicos, tais como US-NC IT Team ou JohnGlenn_ITDepartment . Para obter mais informações, veja Utilizar o RBAC e etiquetas de âmbito para TI distribuídas.
Nos dispositivos Windows 10, pode adicionar regras de aplicabilidade para que o perfil se aplique apenas a uma versão de SO específica ou a uma edição Windows específica. As regras de aplicabilidade têm mais informação.
Grupos de utilizadores vs. grupos de dispositivos
Muitos utilizadores perguntam quando devem utilizar grupos de utilizadores e quando devem utilizar grupos de dispositivos. A resposta depende do seu objetivo. Eis algumas orientações para começar.
Device groups
Se quiser aplicar as definições a um dispositivo, independentemente de quem tem sessão iniciada, atribua os seus perfis a um grupo de dispositivos. As definições aplicadas a grupos de dispositivos são sempre guardadas no dispositivo e não no perfil de utilizador.
Por exemplo:
Os grupos de dispositivos são úteis para gerir dispositivos que não tenham um utilizador dedicado. Por exemplo, tem dispositivos que imprimem pedidos, registam o inventário, são partilhados por trabalhadores por turnos, são atribuídos a um armazém específico e assim sucessivamente. Coloque estes dispositivos num grupo de dispositivos e atribua os seus perfis a esse grupo de dispositivos.
Cria um perfil intune de configuração de firmware de dispositivo (DFCI) que atualiza as definições no BIOS. Por exemplo, configure este perfil para desativar a câmara do dispositivo ou bloquear as opções de arranque para impedir que os utilizadores inicializem outro SO. Este perfil é um bom cenário para atribuir a um grupo de dispositivos.
Em alguns dispositivos Windows específicos, quer sempre controlar algumas definições do Microsoft Edge, independentemente de quem estiver a utilizar o dispositivo. Por exemplo, quer bloquear todas as transferências, limitar todos os cookies à sessão de navegação atual e eliminar o histórico de navegação. Para este cenário, coloque estes dispositivos Windows específicos num grupo de dispositivos. Em seguida, crie um Modelo Administrativo no Intune,adicione estas definições do dispositivo e, em seguida, atribua este perfil ao grupo de dispositivos.
Para resumir, utilize grupos de dispositivos quando não se importar com quem está inscrito no dispositivo, ou se alguém assinar. Pretende que as suas definições estejam sempre no dispositivo.
Grupos de utilizadores
As definições de perfil aplicadas a grupos de utilizadores são guardadas nos perfis de utilizador e entram em vigor quando o utilizador tem sessão iniciada em vários dispositivos. É normal que os utilizadores tenham vários dispositivos, como um Surface Pro para trabalhar e um dispositivo iOS/iPadOS pessoal. É também normal que uma pessoa aceda ao e-mail e a outros recursos da organização a partir destes dispositivos.
Se um utilizador tiver vários dispositivos na mesma plataforma, então pode utilizar filtros na atribuição de grupo. Por exemplo, um utilizador tem um dispositivo pessoal iOS/iPadOS e um iOS/iPadOS de propriedade da organização. Quando atribui uma política para esse utilizador, os filtros dos utilizadores podem visar apenas o dispositivo da organização.
Siga esta regra geral: Se uma funcionalidade pertencer a um utilizador, como e-mail ou certificados de utilizador, então atribua aos grupos de utilizador.
Por exemplo:
Quer colocar um ícone de Suporte Técnico para todos os utilizadores em todos os respetivos dispositivos. Neste cenário, coloque estes utilizadores num grupo de utilizadores e atribua o seu perfil de ícone do Help Desk a este grupo de utilizadores.
Um utilizador recebe um novo dispositivo pertencente à organização. O utilizador inicia sessão no dispositivo com a respetiva conta de domínio. O dispositivo é registado automaticamente no Azure AD e gerido automaticamente pelo Intune. Este perfil é um bom cenário para atribuir a um grupo de utilizadores.
Sempre que um utilizador iniciar sessão num dispositivo, quer controlar funcionalidades em aplicações, como o OneDrive ou o Office. Neste cenário, atribua as definições de perfil OneDrive ou Office a um grupo de utilizadores.
Por exemplo, quer bloquear controlos ActiveX não fidedignos nas suas aplicações do Office. Pode criar um Modelo Administrativo em Intune,configurar esta definição e, em seguida, atribuir este perfil a um grupo de utilizadores.
Para resumir, utilize grupos de utilizadores quando pretender que as suas definições e regras sejam sempre guardadas nos perfis de utilizador, independentemente do dispositivo utilizado.
Excluir grupos de uma atribuição de perfis
Os perfis de configuração do dispositivo intune permitem incluir e excluir grupos da atribuição de perfis.
Como uma boa prática:
- Crie e atribua perfis especificamente para os seus grupos de utilizadores. Utilize filtros para incluir ou excluir dispositivos desses utilizadores.
- Crie e atribua perfis diferentes especificamente para os grupos de dispositivos.
Para obter mais informações sobre grupos, consulte Adicionar grupos para organizar utilizadores e dispositivos.
Fundamentos
Ao atribuir as suas políticas e perfis, aplique os seguintes princípios gerais:
Pense em grupos incluídos ou grupos excluídos como um ponto de partida para os utilizadores e dispositivos que receberão as suas políticas. O grupo Azure AD é o grupo limitativo, por isso use o menor âmbito de grupo possível. Utilize filtros para limitar ou aperfeiçoar a sua atribuição de apólices.
Os grupos AZure AD atribuídos, também conhecidos como grupos estáticos, podem ser adicionados a grupos incluídos ou grupos excluídos.
Normalmente, atribuem dispositivos estáticos a um grupo AD Azure se estiverem pré-registados em Azure AD, como com Windows Autopilot. Ou, se quiser combinar dispositivos para uma implantação única e ad-hoc. Caso contrário, pode não ser prático atribuir dispositivos estáticos a um grupo AD Azure.
Os grupos de utilizadores dinâmicos Azure AD podem ser adicionados a grupos incluídos ou grupos excluídos.
Os grupos de dispositivos AD Dynamic Azure podem ser adicionados a grupos incluídos. Mas, pode haver latência quando povoa a dinâmica da adesão ao grupo. Em cenários sensíveis à latência, utilize filtros para direcionar dispositivos específicos e atribua as suas políticas aos grupos de utilizadores.
Por exemplo, pretende-se que as políticas sejam atribuídas aos dispositivos assim que se matricularem. Nesta situação sensível à latência, crie um filtro para direcionar os dispositivos que pretende e atribua a política com este filtro aos grupos de utilizador. Não atribua a grupos de dispositivos.
Num cenário sem utilizador, crie um filtro para direcionar os dispositivos que pretende e atribua a política com o filtro ao grupo "Todos os dispositivos".
Evite adicionar grupos dinâmicos de dispositivos Azure AD a grupos excluídos. A latência no cálculo dinâmico do grupo de dispositivos na inscrição pode causar resultados indesejáveis. Por exemplo, aplicações e políticas indesejadas podem ser implementadas antes da adesão ao grupo excluída ser preenchida.
Matriz de suporte
Utilize a matriz seguinte para compreender o suporte para excluir grupos:
- ✔️: Apoiado
- ❌: Não suportado
- ❕ : Parcialmente apoiado
| Scenario | Suporte |
|---|---|
| 1 | ❕ Parcialmente apoiado É suportada a atribuição de políticas a um grupo de dispositivos dinâmicos, excluindo outro grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo da adesão ao grupo pode fazer com que as políticas sejam oferecidas aos dispositivos. Neste cenário, recomendamos a utilização de filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos. Por exemplo, tem uma política de dispositivos que é atribuída a todos os dispositivos. Mais tarde, tem a obrigação de que os novos dispositivos de marketing não recebam esta política. Assim, você cria um grupo de dispositivos dinâmicos chamados dispositivos de marketing baseados na enrollmentProfilename propriedade ( device.enrollmentProfileName -eq "Marketing_devices" ). Na política, adiciona-se o grupo dinâmico de dispositivos de Marketing como um grupo excluído. Um novo dispositivo de marketing inscreve-se no Intune pela primeira vez, e é criado um novo objeto de dispositivo Azure AD. O processo de agrupamento dinâmico coloca o dispositivo no grupo de dispositivos de Marketing com um possível cálculo atrasado. Ao mesmo tempo, o dispositivo inscreve-se no Intune e começa a receber todas as políticas aplicáveis. A política Intune pode ser implementada antes de o dispositivo ser colocado no grupo de exclusão. Este comportamento resulta na implementação de uma política indesejada (ou app) para o grupo de dispositivos de Marketing. Como resultado, não é recomendado usar grupos de dispositivos dinâmicos para exclusões em cenários sensíveis à latência. Em vez disso, utilize filtros. |
| 2 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de dispositivos dinâmicos, excluindo um grupo de dispositivos estáticos. |
| 3 | ❌ Não suportado A atribuição de uma política a um grupo de dispositivos dinâmicos, excluindo grupos de utilizadores (dinâmicos e estáticos) não é suportado. A Intune não avalia as relações de grupo entre o utilizador e o dispositivo, e os dispositivos dos utilizadores incluídos não serão excluídos. |
| 4 | ❌ Não suportado A atribuição de uma política a um grupo de dispositivos dinâmicos e a exclusão de grupos de utilizadores (dinâmicos e estáticos) não é suportada. A Intune não avalia as relações de grupo entre o utilizador e o dispositivo, e os dispositivos dos utilizadores incluídos não serão excluídos. |
| 5 | ❌ Não suportado É suportada a atribuição de uma política a um grupo de dispositivos estáticos, excluindo um grupo de dispositivos dinâmicos. Mas não é recomendado em cenários sensíveis à latência. Qualquer atraso no cálculo da adesão ao grupo pode fazer com que as políticas sejam oferecidas aos dispositivos. Neste cenário, recomendamos a utilização de filtros em vez de grupos de dispositivos dinâmicos para excluir dispositivos. |
| 6 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de dispositivos estáticos e excluindo um grupo de dispositivos estáticos diferentes. |
| 7 | ❌ Não suportado A atribuição de uma política a um grupo de dispositivos estáticos e a exclusão de grupos de utilizadores (dinâmicos e estáticos) não é suportada. A Intune não avalia as relações de grupo entre o utilizador e o dispositivo, e os dispositivos dos utilizadores incluídos não serão excluídos. |
| 8 | ❌ Não suportado A atribuição de uma política a um grupo de dispositivos estáticos e a exclusão de grupos de utilizadores (dinâmicos e estáticos) não é suportada. A Intune não avalia as relações de grupo entre o utilizador e o dispositivo, e os dispositivos dos utilizadores incluídos não serão excluídos. |
| 9 | ❌ Não suportado A atribuição de uma política a um grupo de utilizadores dinâmico e a exclusão de grupos de dispositivos (dinâmicos e estáticos) não é suportada. |
| 10 | ❌ Não suportado A atribuição de uma política a um grupo de utilizadores dinâmico e a exclusão de grupos de dispositivos (dinâmicos e estáticos) não é suportada. |
| 11 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de utilizadores dinâmico, excluindo outros grupos de utilizadores (dinâmicos e estáticos). |
| 12 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de utilizadores dinâmico, excluindo outros grupos de utilizadores (dinâmicos e estáticos). |
| 13 | ❌ Não suportado A atribuição de uma política a um grupo de utilizadores estáticos, excluindo grupos de dispositivos (dinâmicos e estáticos) não é suportada. |
| 14 | ❌ Não suportado A atribuição de uma política a um grupo de utilizadores estáticos, excluindo grupos de dispositivos (dinâmicos e estáticos) não é suportada. |
| 15 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de utilizadores estático, excluindo outros grupos de utilizadores (dinâmicos e estáticos). |
| 16 | ✔️ apoiado É suportada a atribuição de uma política a um grupo de utilizadores estático, excluindo outros grupos de utilizadores (dinâmicos e estáticos). |
Passos seguintes
Veja monitorizar perfis de dispositivos para obter orientações sobre como monitorizar os perfis e os dispositivos que executam os seus perfis.