Gerenciar políticas de segurança de ponto de extremidade em dispositivos integrados a Microsoft Defender para Ponto de Extremidade

Ao usar Microsoft Defender para Ponto de Extremidade, você pode implantar políticas de segurança de ponto de extremidade de Microsoft Intune para gerenciar as configurações de segurança do Defender nos dispositivos que você integrou ao Defender sem registrar esses dispositivos com Intune. Essa funcionalidade é conhecida como Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade.

Ao gerenciar dispositivos por meio do gerenciamento de configurações de segurança:

• Você pode usar o centro de administração Microsoft Intune ou o portal do Microsoft 365 Defender para configurar políticas de segurança de ponto de extremidade para o Defender para Ponto de Extremidade e atribuir essas políticas a grupos de Microsoft Entra ID. O portal do Defender inclui a interface do usuário para exibições de dispositivo, gerenciamento de políticas e relatórios para gerenciamento de configurações de segurança.

  Para exibir as diretrizes sobre como gerenciar as políticas de segurança do ponto de extremidade Intune de dentro do portal do Defender, consulte Gerenciar políticas de segurança de ponto de extremidade em Microsoft Defender para Ponto de Extremidade no conteúdo do Defender.

• Os dispositivos obtêm suas políticas atribuídas com base no objeto do dispositivo Entra ID. Um dispositivo que ainda não está registrado no Microsoft Entra é ingressado como parte dessa solução.

• Quando um dispositivo recebe uma política, os componentes do Defender para Ponto de Extremidade no dispositivo impõem a política e o relatório sobre o status do dispositivo. O status do dispositivo está disponível no centro de administração Microsoft Intune e no portal Microsoft Defender.

Esse cenário estende a superfície de segurança do ponto de extremidade Microsoft Intune para dispositivos que não são capazes de se registrar em Intune. Quando um dispositivo é gerenciado por Intune (registrado em Intune) o dispositivo não processa políticas para gerenciamento de configurações de segurança do Defender para Ponto de Extremidade. Em vez disso, use Intune para implantar a política do Defender para Ponto de Extremidade em seus dispositivos.

Aplicável a:

• Windows 10 e Windows 11
• Windows Server (2012 R2 e para cima)
• Linux
• macOS

Pré-requisitos

Examine as seções a seguir para obter requisitos para o Cenário de gerenciamento de configurações de segurança do Defender para Ponto de Extremidade.

Ambiente

Quando um dispositivo com suporte é integrado a Microsoft Defender para Ponto de Extremidade:

• O dispositivo é pesquisado para uma presença de Microsoft Intune existente, que é um registro de MDM (gerenciamento de dispositivo móvel) para Intune.
• Dispositivos sem presença Intune habilitam o recurso de gerenciamento de configurações de segurança.
• Para dispositivos que não estão totalmente Microsoft Entra registrados, uma identidade de dispositivo sintético é criada em Microsoft Entra ID que permite que o dispositivo recupere políticas. Dispositivos totalmente registrados usam o registro atual.
• As políticas recuperadas de Microsoft Intune são impostas no dispositivo por Microsoft Defender para Ponto de Extremidade.

O gerenciamento de configurações de segurança ainda não tem suporte com nuvens do governo. Para obter mais informações, consulte Paridade de recursos com comercial em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.

Requisitos de conectividade

Os dispositivos devem ter acesso ao seguinte ponto de extremidade:

• *.dm.microsoft.com- O uso de um curinga dá suporte aos pontos de extremidade de serviço de nuvem usados para registro, marcar e relatórios e que podem ser alterados conforme o serviço é dimensionado.

Plataformas compatíveis

Há suporte para políticas para Microsoft Defender para Ponto de Extremidade gerenciamento de segurança para as seguintes plataformas de dispositivo:

Linux:

Com Microsoft Defender para Ponto de Extremidade para o agente linux versão 101.23052.0009 ou posterior, o gerenciamento de configurações de segurança dá suporte às seguintes distribuições do Linux:

• Red Hat Enterprise Linux 7.2 ou superior
• CentOS 7.2 ou superior
• Ubuntu 16.04 LTS ou LTS superior
• Debian 9 ou superior
• SUSE Linux Enterprise Server 12 ou superior
• Oracle Linux 7.2 ou superior
• Amazon Linux 2
• Fedora 33 ou superior

Para confirmar a versão do agente do Defender, no portal do Defender vá para a página de dispositivos e, na guia Inventários de dispositivos , pesquise Defender para Linux. Para obter diretrizes sobre como atualizar a versão do agente, consulte Implantar atualizações para Microsoft Defender para Ponto de Extremidade no Linux.

Problema conhecido: com o agente do Defender versão 101.23052.0009, os dispositivos Linux não conseguem se registrar quando estão ausentes do seguinte filepath: /sys/class/dmi/id/board_vendor.

macOS:

Com Microsoft Defender para Ponto de Extremidade para o agente macOS versão 101.23052.0004 ou posterior, o gerenciamento de configurações de segurança dá suporte às seguintes versões do macOS:

• macOS 14 (Sonoma)
• macOS 13 (Ventura)
• macOS 12 (Monterey)
• macOS 11 (Big Sur)

Para confirmar a versão do agente do Defender, no portal do Defender vá para a página dispositivos e, na guia Inventários de dispositivos , pesquise o Defender para macOS. Para obter diretrizes sobre como atualizar a versão do agente, consulte Implantar atualizações para Microsoft Defender para Ponto de Extremidade no macOS.

Problema conhecido: com o agente do Defender versão 101.23052.0004, os dispositivos macOS registrados em Microsoft Entra ID antes de se registrarem com o gerenciamento de configurações de segurança recebem uma ID de dispositivo duplicada no Microsoft Entra ID, que é um registro sintético. Ao criar um grupo de Microsoft Entra para direcionar a política, você deve usar a ID de dispositivo sintética criada pelo gerenciamento de configurações de segurança. Em Microsoft Entra ID, a coluna Tipo de Junção para a ID do dispositivo sintético está em branco.

Windows:

• Windows 10 Professional/Enterprise (com KB5006738)
• Windows 11 Professional/Enterprise
• Windows Server 2012 R2 com Microsoft Defender para dispositivos Down-Level
• Windows Server 2016 com Microsoft Defender para dispositivos Down-Level
• Windows Server 2019 (com KB5006744)
• Windows Server 2022 (com KB5006745)

O gerenciamento de configurações de segurança não funciona e não tem suporte com os seguintes dispositivos:

• Áreas de trabalho não persistentes, como clientes de VDI (Virtual Desktop Infrastructure) ou Áreas de Trabalho Virtuais do Azure.
• Controladores de Domínio

Importante

Em alguns casos, os Controladores de Domínio que são executados em um sistema operacional de nível inferior (2012 R2 ou 2016) podem ser gerenciados involuntariamente por Microsoft Defender para Ponto de Extremidade. Para garantir que isso não aconteça em seu ambiente, recomendamos garantir que seus controladores de domínio não sejam marcados como "MDPE-Management" ou gerenciados por MDPE.

Licenciamento e assinaturas

Para usar o gerenciamento de configurações de segurança, você precisa:

• Uma assinatura que concede licenças para Microsoft Defender para Ponto de Extremidade, como o Microsoft 365 ou uma licença autônoma apenas para Microsoft Defender para Ponto de Extremidade. Uma assinatura que concede licenças Microsoft Defender para Ponto de Extremidade também concede ao locatário acesso ao nó de segurança do Ponto de Extremidade do centro de administração Microsoft Intune.

  Observação

  Exceção: se você tiver acesso a Microsoft Defender para Ponto de Extremidade somente por meio de Microsoft Defender para servidores (parte do Microsoft Defender para Nuvem, anteriormente Central de Segurança do Azure), a funcionalidade de gerenciamento de configurações de segurança não está disponível. Você precisará ter pelo menos uma licença de assinatura Microsoft Defender para Ponto de Extremidade (usuário) ativa.

  O nó de segurança do Ponto de Extremidade é onde você configura e implanta políticas para gerenciar Microsoft Defender para Ponto de Extremidade para seus dispositivos e monitorar status de dispositivos.

  Para obter informações atuais sobre opções, consulte Requisitos mínimos para Microsoft Defender para Ponto de Extremidade.

Arquitetura

O diagrama a seguir é uma representação conceitual da solução de gerenciamento de configuração de segurança Microsoft Defender para Ponto de Extremidade.

1. Dispositivos a bordo para Microsoft Defender para Ponto de Extremidade.
2. Os dispositivos se comunicam com Intune. Essa comunicação permite que Microsoft Intune distribua políticas direcionadas aos dispositivos quando eles marcar.
3. Um registro é estabelecido para cada dispositivo em Microsoft Entra ID:
   • Se um dispositivo foi registrado anteriormente totalmente, como um dispositivo de Junção Híbrida, o registro existente será usado.
   • Para dispositivos que não foram registrados, uma identidade de dispositivo sintético é criada em Microsoft Entra ID para permitir que o dispositivo recupere políticas. Quando um dispositivo com um registro sintético tem um registro de Microsoft Entra completo criado para ele, o registro sintético é removido e o gerenciamento de dispositivos continua ininterrupto usando o registro completo.
4. O Defender para Ponto de Extremidade relata o status da política de volta à Microsoft Intune.

Importante

O gerenciamento de configurações de segurança usa um registro sintético para dispositivos que não se registram totalmente em Microsoft Entra ID e descarta o pré-requisito de junção híbrido Microsoft Entra. Com essa alteração, os dispositivos Windows que anteriormente tinham erros de registro começarão a integrar o Defender e, em seguida, receberão e processarão as políticas de gerenciamento de configurações de segurança.

Para filtrar dispositivos que não puderam se registrar devido à falha em atender ao pré-requisito de junção híbrida Microsoft Entra, navegue até a lista Dispositivos no portal Microsoft Defender e filtre status de registro. Como esses dispositivos não estão totalmente registrados, seus atributos de dispositivo mostram MDM = Intune e Join Type = Blank. Esses dispositivos agora se registrarão com o gerenciamento de configurações de segurança usando o registro sintético.

Depois de registrar esses dispositivos, aparecem nas listas de dispositivos para portais Microsoft Defender, Microsoft Intune e Microsoft Entra. Embora os dispositivos não sejam totalmente registrados com Microsoft Entra, seu registro sintético conta como um objeto de dispositivo.

O que esperar no portal Microsoft Defender

Você pode usar o inventário do dispositivo Microsoft Defender XDR para confirmar que um dispositivo está usando o recurso de gerenciamento de configurações de segurança no Defender para Ponto de Extremidade, examinando os dispositivos status na coluna Gerenciado por. As informações gerenciadas por informações também estão disponíveis no painel lateral dos dispositivos ou na página do dispositivo. Gerenciado por deve indicar consistentemente que é gerenciado por MDPE. 

Você também pode confirmar se um dispositivo se registrou no gerenciamento de configurações de segurança com êxito, confirmando que o painel do dispositivo ou a página do dispositivo exibem MDPE Registro status como Êxito.

Se o status de Registro MDPE não exibir o Success, verifique se você está olhando para um dispositivo que foi atualizado e está no escopo do gerenciamento de configurações de segurança. (Você configura o escopo na página de escopo de imposição ao configurar o gerenciamento de configurações de segurança.)

O que esperar no centro de administração Microsoft Intune

No centro de administração Microsoft Intune, acesse a página Todos os Dispositivos. Dispositivos registrados com gerenciamento de configurações de segurança aparecem aqui como no portal do Defender. No centro de administração, os dispositivos Gerenciados por campo devem exibir MDPE.

Dica

Em junho de 2023, o gerenciamento de configurações de segurança começou a usar o registro sintético para dispositivos que não se registram totalmente em Microsoft Entra. Com essa alteração, os dispositivos que antes tinham erros de registro começarão a integrar o Defender e, em seguida, receberão e processarão as políticas de gerenciamento de configurações de segurança.

O que esperar no Microsoft portal do Azure

Na página Todos os dispositivos no Microsoft portal do Azure, você pode exibir detalhes do dispositivo.

Para garantir que todos os dispositivos registrados no gerenciamento de configurações de segurança do Defender para Ponto de Extremidade recebam políticas, recomendamos criar um grupo de Microsoft Entra dinâmico com base no tipo de sistema operacional dos dispositivos. Com um grupo dinâmico, os dispositivos gerenciados pelo Defender para Ponto de Extremidade são adicionados automaticamente ao grupo sem exigir que os administradores executem outras tarefas, como criar uma nova política.

Importante

De julho de 2023 a 25 de setembro de 2023, o gerenciamento de configurações de segurança executou uma versão prévia pública opt-in que introduziu um novo comportamento para dispositivos gerenciados e registrados no cenário. A partir de 25 de setembro de 2023, o comportamento de visualização pública tornou-se geralmente disponível e agora se aplica a todos os locatários que usam o gerenciamento de configurações de segurança.

Se você usou o gerenciamento de configurações de segurança antes de 25 de setembro de 2023 e não aderiu à versão prévia pública opt-in que durou de julho de 2023 a 25 de setembro de 2023, examine seus grupos de Microsoft Entra que dependem de rótulos do sistema para fazer alterações que identificarão novos dispositivos que você gerencia com o gerenciamento de configurações de segurança. Isso ocorre porque, antes de 25 de setembro de 2023, os dispositivos não gerenciados por meio da versão prévia pública opt-in usariam os seguintes rótulos de sistema (marcas) de MDEManaged e MDEJoined para identificar dispositivos gerenciados. Esses dois rótulos de sistema não têm mais suporte e não são mais adicionados aos dispositivos que se registram.

Use as seguintes diretrizes para seus grupos dinâmicos:

• (Recomendado) Ao direcionar a política, use grupos dinâmicos com base na plataforma do dispositivo usando o atributo deviceOSType (Windows, Windows Server, macOS, Linux) para garantir que a política continue a ser entregue para dispositivos que alteram tipos de gerenciamento, por exemplo, durante o registro de MDM.

• Se necessário, grupos dinâmicos que contêm exclusivamente dispositivos gerenciados pelo Defender para Ponto de Extremidade podem ser direcionados definindo um grupo dinâmico usando o atributo managementTypeMicrosoftSense. O uso desse atributo destina-se a todos os dispositivos gerenciados pelo Defender para Ponto de Extremidade por meio da funcionalidade de gerenciamento de configurações de segurança, e os dispositivos permanecem nesse grupo somente enquanto gerenciados pelo Defender para Ponto de Extremidade.

Além disso, ao configurar o gerenciamento de configurações de segurança, se você pretende gerenciar frotas inteiras de plataforma do sistema operacional usando Microsoft Defender para Ponto de Extremidade, selecionando todos os dispositivos em vez de dispositivos marcados no Microsoft Defender para Ponto de Extremidade Página Escopo de Execução, entenda que todos os registros sintéticos são contados em Microsoft Entra ID cotas iguais aos registros completos.

Qual solução devo usar?

Microsoft Intune inclui vários métodos e tipos de política para gerenciar a configuração do Defender para Ponto de Extremidade em dispositivos. A tabela a seguir identifica os Intune políticas e perfis que dão suporte à implantação em dispositivos gerenciados pelo gerenciamento de configurações de segurança do Defender para Ponto de Extremidade e podem ajudá-lo a identificar se essa solução está correta para suas necessidades.

Quando você implanta uma política de segurança de ponto de extremidade com suporte para gerenciamento de configurações de segurança do Defender para Ponto de Extremidade e Microsoft Intune, uma única instância dessa política pode ser processada por:

• Dispositivos com suporte por meio do gerenciamento de configurações de segurança (Microsoft Defender)
• Dispositivos gerenciados por Intune ou Configuration Manager.

Não há suporte para perfis para a plataforma Windows 10 e posterior para dispositivos gerenciados pelo gerenciamento de configurações de segurança.

Há suporte para os seguintes perfis para cada tipo de dispositivo:

Linux

Os tipos de política a seguir dão suporte à plataforma Linux .

Política de segurança do ponto de extremidade	Perfil	Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade	Microsoft Intune
Antivírus	Microsoft Defender Antivírus
Antivírus	Exclusões do Microsoft Defender Antivírus
Detecção e resposta do ponto de extremidade	Detecção e resposta do ponto de extremidade

macOS

Os tipos de política a seguir dão suporte à plataforma macOS .

Política de segurança do ponto de extremidade	Perfil	Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade	Microsoft Intune
Antivírus	Microsoft Defender Antivírus
Antivírus	Exclusões do Microsoft Defender Antivírus
Detecção e resposta do ponto de extremidade	Detecção e resposta do ponto de extremidade

Windows 10, Windows 11 e Windows Server

Para dar suporte ao uso com Microsoft Defender gerenciamento de configurações de segurança, suas políticas para dispositivos Windows devem usar a plataforma Windows 10, Windows 11 e Windows Server. Cada perfil para a plataforma Windows 10, Windows 11 e Windows Server pode ser aplicado a dispositivos gerenciados por Intune e a dispositivos gerenciados pelo gerenciamento de configurações de segurança.

Política de segurança do ponto de extremidade	Perfil	Gerenciamento de configurações de segurança do Defender para Ponto de Extremidade	Microsoft Intune
Antivírus	Controles do Defender Update
Antivírus	Microsoft Defender Antivírus
Antivírus	Exclusões do Microsoft Defender Antivírus
Antivírus	Segurança do Windows Experiência	Observação 1
Redução de superfície de ataque	Regras de redução de superfície de ataque
Detecção e resposta do ponto de extremidade	Detecção e resposta do ponto de extremidade
Firewall	Firewall
Firewall	Regras de firewall

1 – O perfil Segurança do Windows Experience está disponível no portal do Defender, mas só se aplica a dispositivos gerenciados por Intune. Não há suporte para dispositivos gerenciados por Microsoft Defender gerenciamento de configurações de segurança.

As políticas de segurança do ponto de extremidade são grupos discretos de configurações destinadas ao uso por administradores de segurança que se concentram na proteção de dispositivos em sua organização. Veja a seguir as descrições das políticas que dão suporte ao gerenciamento de configurações de segurança:

• As políticas antivírus gerenciam as configurações de segurança encontradas no Microsoft Defender para Ponto de Extremidade. Consulte a política de antivírus para segurança do ponto de extremidade.

  Observação

  Embora os pontos de extremidade não exijam uma reinicialização para aplicar configurações modificadas ou novas políticas, estamos cientes de um problema em que as configurações AllowOnAccessProtection e DisableLocalAdminMerge podem às vezes exigir que os usuários finais reiniciem seus dispositivos para que essas configurações sejam atualizadas. No momento, estamos investigando esse problema para fornecer uma resolução.

• As políticas de redução de superfície de ataque (ASR) se concentram em minimizar os locais em que sua organização está vulnerável a ameaças cibernéticas e ataques. Com o gerenciamento de configurações de segurança, as regras do ASR se aplicam a dispositivos que executam Windows 10, Windows 11 e Windows Server.

  Para obter as diretrizes atuais sobre quais configurações se aplicam às diferentes plataformas e versões, consulte regras ASR com suporte de sistemas operacionais na documentação de proteção contra ameaças do Windows.

  Dica

  Para ajudar a manter os pontos de extremidade com suporte atualizados, considere usar a solução unificada moderna para Windows Server 2012 R2 e 2016.

  Confira também:

  • Visão geral da redução da superfície de ataque na documentação de proteção contra ameaças do Windows.
  • Política de redução de superfície de ataque para segurança de ponto de extremidade, na documentação Intune.

• As políticas de EDR (detecção e resposta) de ponto de extremidade gerenciam os recursos do Defender para Ponto de Extremidade que fornecem detecções avançadas de ataque quase em tempo real e acionáveis. Com base nas configurações do EDR, os analistas de segurança podem priorizar alertas efetivamente, obter visibilidade sobre o escopo completo de uma violação e tomar ações de resposta para corrigir ameaças. Consulte a política de detecção e resposta do ponto de extremidade para obter segurança do ponto de extremidade.

• As políticas de firewall se concentram no firewall do Defender em seus dispositivos. Consulte a política de firewall para segurança do ponto de extremidade.

• Regras de firewall configuram regras granulares para Firewalls, incluindo portas, protocolos, aplicativos e redes específicos. Consulte a política de firewall para segurança do ponto de extremidade.

Configurar seu locatário para dar suporte ao gerenciamento de configurações de segurança do Defender para Ponto de Extremidade

Para dar suporte ao gerenciamento de configurações de segurança por meio do centro de administração Microsoft Intune, você deve habilitar a comunicação entre elas de dentro de cada console.

As seções a seguir orientam você nesse processo.

Configurar Microsoft Defender para Ponto de Extremidade

No portal Microsoft Defender para Ponto de Extremidade, como administrador de segurança:

1. Entre no portal Microsoft Defender e vá para Configurações> Escopo deExecução doGerenciamento> deConfigurações> e habilite as plataformas para gerenciamento de configurações de segurança.

   

   Observação

   Se você tiver a permissão Gerenciar configurações de segurança na Central de Segurança no portal Microsoft Defender para Ponto de Extremidade e estiver habilitado simultaneamente para exibir dispositivos de todos os Grupos de Dispositivos (sem limites de controle de acesso baseados em função em suas permissões de usuário), também poderá executar essa ação.

2. Inicialmente, recomendamos testar o recurso para cada plataforma selecionando a opção plataformas para Dispositivos marcados e marcando os dispositivos com a MDE-Management marca.

   Importante

   No momento, não há suporte para o uso do recurso de marca dinâmica do Microsoft Defender para Ponto de Extremidade para marcar dispositivos com MDPE-Management com gerenciamento de segurança. Os dispositivos marcados por essa funcionalidade não serão registrados com êxito. Esse problema permanece sob investigação.

   Dica

   Use as marcas de dispositivo adequadas para testar e validar sua distribuição em um pequeno número de dispositivos. Ao selecionar todos os dispositivos, qualquer dispositivo que se enquadra no escopo configurado será registrado automaticamente.

3. Configure o recurso para Microsoft Defender para dispositivos integrados em nuvem e Configuration Manager configurações de autoridade para atender às necessidades da sua organização:

   

   Dica

   Para garantir que os usuários do portal Microsoft Defender para Ponto de Extremidade tenham permissões consistentes entre os portais, se ainda não forem fornecidos, solicite que o administrador de TI conceda a eles a função RBAC interna Microsoft Intune Endpoint Security Manager.

Configurar Intune

No centro de administração Microsoft Intune, sua conta precisa de permissões iguais à função RBAC (controle de acesso baseado em função) interna do Endpoint Security Manager.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança>do Ponto de Extremidade Microsoft Defender para Ponto de Extremidade e defina Permitir Microsoft Defender para Ponto de Extremidade para impor configurações de segurança do ponto de extremidade como Ativado.

   

   Quando você define essa opção como Ativado, todos os dispositivos no escopo da plataforma para Microsoft Defender para Ponto de Extremidade que não são gerenciados por Microsoft Intune se qualificam para integrar a Microsoft Defender para Ponto de Extremidade.

Dispositivos integrados ao Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade dá suporte a várias opções para integrar dispositivos. Para obter as diretrizes atuais, consulte Integrar para Microsoft Defender para Ponto de Extremidade na documentação do Defender para Ponto de Extremidade.

Coexistência com Microsoft Configuration Manager

Em alguns ambientes, talvez seja desejado usar o gerenciamento de configurações de segurança com dispositivos gerenciados por Configuration Manager. Se você usar ambos, precisará controlar a política por meio de um único canal. O uso de mais de um canal cria a oportunidade para conflitos e resultados indesejados.

Para dar suporte a isso, configure as configurações Gerenciar Segurança usando Configuration Manager alternar para Desativar. Entre no portal Microsoft Defender e vá para oEscopo de Execução deGerenciamento> deConfigurações>> de Pontos de Extremidade de Configuração:

Criar grupos de Microsoft Entra

Depois que os dispositivos integrarem o Defender para Ponto de Extremidade, você precisará criar grupos de dispositivos para dar suporte à implantação da política para Microsoft Defender para Ponto de Extremidade. Para identificar dispositivos registrados com Microsoft Defender para Ponto de Extremidade mas não são gerenciados por Intune ou Configuration Manager:

1. Entre no centro de administração Microsoft Intune.

2. Acesse Dispositivos>Todos os dispositivos e selecione a coluna Gerenciado por para classificar a exibição dos dispositivos. Dispositivos que integram a Microsoft Defender para Ponto de Extremidade mas não são gerenciados por Intune exibem Microsoft Defender para Ponto de Extremidade na coluna Gerenciado por. Esses dispositivos podem receber políticas para o gerenciamento de configurações de segurança.

   Os dispositivos que integram a Microsoft Defender para Ponto de Extremidade e se registraram, mas não são gerenciados por Intune exibem Microsoft Defender para Ponto de Extremidade na coluna Gerenciado por. Estes são os dispositivos que podem receber a política de gerenciamento de segurança para Microsoft Defender para Ponto de Extremidade.

   A partir de 25 de setembro de 2023, os dispositivos que usam o gerenciamento de segurança para Microsoft Defender para Ponto de Extremidade não podem mais ser identificados usando os seguintes rótulos do sistema:

   • MDEJoined - Uma marca agora preterida que foi adicionada anteriormente a dispositivos que foram ingressados no diretório como parte desse cenário.
   • MDEManaged - Uma marca agora preterida que foi adicionada anteriormente a dispositivos que usaram ativamente o cenário de gerenciamento de segurança. Essa marca será removida do dispositivo se o Defender para Ponto de Extremidade parar de gerenciar a configuração de segurança.

   Em vez de usar rótulos de sistema, você pode usar o atributo de tipo de gerenciamento e configurá-lo para o MicrosoftSense.

Você pode criar grupos para esses dispositivos em Microsoft Entra ou de dentro do centro de administração Microsoft Intune. Ao criar grupos, você pode usar o valor do sistema operacional para um dispositivo se estiver implantando políticas em dispositivos que executam o Windows Server vs dispositivos que executam uma versão cliente do Windows:

• Windows 10 e Windows 11 – o deviceOSType ou o sistema operacional é exibido como Windows
• Windows Server - O deviceOSType ou o sistema operacional é exibido como Windows Server
• Dispositivo Linux – o deviceOSType ou o sistema operacional é exibido como Linux

Exemplo Intune grupos dinâmicos com sintaxe de regra

Estações de trabalho do Windows:

Windows Servers:

Dispositivos Linux:

Importante

Em maio de 2023, o deviceOSType foi atualizado para distinguir entre clientes Windows e Windows Servers.

Scripts personalizados e Microsoft Entra grupos de dispositivos dinâmicos criados antes dessa alteração que especificam regras que fazem referência apenas ao Windows podem excluir Windows Servers quando usados com o Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade solução. Por exemplo:

• Se você tiver uma regra que usa o operador ou not equals para identificar o equalsWindows, essa alteração afetará sua regra. Isso ocorre porque anteriormente o Windows e o Windows Server foram relatados como Windows. Para continuar a incluir ambos, você deve atualizar a regra para também fazer referência ao Windows Server.
• Se você tiver uma regra que use o operador ou like para especificar o containsWindows, a regra não será afetada por essa alteração. Esses operadores podem encontrar o Windows e o Windows Server.

Dica

Os usuários delegados que têm a capacidade de gerenciar as configurações de segurança do ponto de extremidade podem não ter a capacidade de implementar configurações em todo o locatário em Microsoft Intune. Verifique com o administrador Intune para obter mais informações sobre funções e permissões em sua organização.

Implantar política

Depois de criar um ou mais grupos Microsoft Entra que contêm dispositivos gerenciados por Microsoft Defender para Ponto de Extremidade, você pode criar e implantar as políticas a seguir para o gerenciamento de configurações de segurança nesses grupos. As políticas e perfis disponíveis variam de acordo com a plataforma.

Para obter a lista de combinações de política e perfil com suporte para o gerenciamento de configurações de segurança, consulte o gráfico em Qual solução devo usar anteriormente neste artigo.

Dica

Evite implantar várias políticas que gerenciam a mesma configuração em um dispositivo.

Microsoft Intune dá suporte à implantação de várias instâncias de cada tipo de política de segurança de ponto de extremidade no mesmo dispositivo, com cada instância de política sendo recebida pelo dispositivo separadamente. Portanto, um dispositivo pode receber configurações separadas para a mesma configuração de políticas diferentes, o que resulta em um conflito. Algumas configurações (como Exclusões antivírus) se mesclarão no cliente e serão aplicadas com êxito.

1. Entre no Centro de administração do Microsoft Intune.

2. Vá para a segurança do Ponto de Extremidade, selecione o tipo de política que você deseja configurar e selecione Criar Política.

3. Para a política, selecione a Plataforma e o Perfil que você deseja implantar. Para obter uma lista das Plataformas e Perfis que dão suporte ao gerenciamento de configurações de segurança, consulte o gráfico em Qual solução devo usar anteriormente neste artigo.

   Observação

   Os perfis com suporte se aplicam a dispositivos que se comunicam por meio do MDM (Mobile Gerenciamento de Dispositivos) com Microsoft Intune e dispositivos que se comunicam usando o cliente Microsoft Defender para Ponto de Extremidade.

   Verifique se você revisa seus grupos e destinos conforme necessário.

4. Selecionar Criar.

5. Na página Informações Básicas, insira um nome e uma descrição do perfil e clique em Avançar.

6. Na página Configuração de configurações , selecione as configurações que você deseja gerenciar com esse perfil.

   Para saber mais sobre uma configuração, expanda sua caixa de diálogo de informações e selecione o link Saiba mais para exibir a documentação do CSP (Provedor de Serviço de Configuração) online ou detalhes relacionados para essa configuração.

   Quando terminar de definir as configurações, escolha Avançar.

7. Na página Atribuições, selecione os grupos de Microsoft Entra que recebem esse perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Selecione Avançar para continuar.

   Dica

   • Não há suporte para filtros de atribuição para dispositivos gerenciados pelo gerenciamento de configurações de segurança.
   • Somente objetos de dispositivo são aplicáveis ao gerenciamento de Microsoft Defender para Ponto de Extremidade. Não há suporte para usuários de destino.
   • As políticas configuradas se aplicarão a clientes Microsoft Intune e Microsoft Defender para Ponto de Extremidade.

8. Conclua o processo de criação de política e, em seguida, na página Revisar + criar , selecione Criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

9. Aguarde a atribuição da política e veja uma indicação de êxito de que a política foi aplicada.

10. Você pode validar que as configurações foram aplicadas localmente no cliente usando o utilitário de comando Get-MpPreference .

Monitorar status

Status e relatórios para políticas que visam dispositivos neste canal estão disponíveis no nó de política sob segurança do Ponto de Extremidade no centro de administração Microsoft Intune.

Faça uma simulação no tipo de política e selecione a política para exibir seu status. Você pode exibir a lista de plataformas, tipos de política e perfis que dão suporte ao gerenciamento de configurações de segurança na tabela em Qual solução devo usar, anteriormente neste artigo.

Ao selecionar uma política, você pode exibir informações sobre o dispositivo marcar status e pode selecionar:

• Exibir relatório – exibir uma lista de dispositivos que receberam a política. Você pode selecionar um dispositivo para fazer drill in e ver seu status por configuração. Em seguida, você pode selecionar uma configuração para exibir mais informações sobre ela, incluindo outras políticas que gerenciam essa mesma configuração, o que pode ser uma fonte de conflito.

• Por configuração status - Exiba as configurações gerenciadas pela política e uma contagem de êxito, erros ou conflitos para cada configuração.

Perguntas e considerações frequentes

Frequência de marcar de dispositivo

Os dispositivos gerenciados por esse recurso marcar com Microsoft Intune a cada 90 minutos para atualizar a política.

Você pode sincronizar manualmente um dispositivo sob demanda do portal Microsoft Defender. Entre no portal e vá para Dispositivos. Selecione um dispositivo gerenciado por Microsoft Defender para Ponto de Extremidade e selecione o botão Sincronização de política:

O botão Sincronização de política aparece apenas para dispositivos gerenciados com êxito por Microsoft Defender para Ponto de Extremidade.

Dispositivos protegidos pela Proteção contra Adulterações

Se um dispositivo tiver a Proteção contra Adulteração ativada, não será possível editar os valores de configurações protegidas por adulteração sem desabilitar a Proteção contra Adulteração primeiro.

Gerenciamento de filtros de atribuição e de segurança

Não há suporte para filtros de atribuição para dispositivos que se comunicam por meio do canal Microsoft Defender para Ponto de Extremidade. Embora os filtros de atribuição possam ser adicionados a uma política que possa direcionar esses dispositivos, os dispositivos ignoram filtros de atribuição. Para suporte ao filtro de atribuição, o dispositivo deve ser registrado no Microsoft Intune.

Excluir e remover dispositivos

Você pode excluir dispositivos que usam esse fluxo usando um dos dois métodos:

• De dentro do centro de administração Microsoft Intune vá para Dispositivos>Todos os dispositivos, selecione um dispositivo que exibe MDEJoined ou MDEManaged na coluna Gerenciado por e, em seguida, selecione Excluir.
• Você também pode remover dispositivos do escopo do Gerenciamento de Configurações na Central de Segurança.

Depois que um dispositivo é removido de qualquer local, essa alteração se propaga para o outro serviço.

Não é possível habilitar o Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade carga de trabalho no Endpoint Security

A maioria dos fluxos de provisionamento iniciais normalmente é concluída por um administrador de ambos os serviços (como um administrador global). Há alguns cenários em que a Administração baseada em função é usada para personalizar as permissões dos administradores. Hoje, os indivíduos que são delegados da função do Gerenciador de Segurança do Ponto de Extremidade podem não ter as permissões necessárias para habilitar esse recurso.

Microsoft Entra dispositivos ingressados

Os dispositivos que são ingressados no Active Directory usam sua infraestrutura existente para concluir o processo de junção híbrida Microsoft Entra.

Configurações de segurança sem suporte

As seguintes configurações de segurança estão pendentes de preterição. O fluxo de gerenciamento de configurações de segurança do Defender para Ponto de Extremidade não dá suporte a essas configurações:

• Agilizar a frequência de relatórios de telemetria (em Detecção e Resposta do Ponto de Extremidade)
• AllowIntrusionPreventionSystem (em Antivírus)
• Proteção contra adulteração (em Segurança do Windows Experiência). Essa configuração não está pendente de preterição, mas no momento não tem suporte.

Uso do gerenciamento de configurações de segurança em controladores de domínio

Como uma Microsoft Entra ID confiança é necessária, os controladores de domínio não têm suporte no momento. Estamos procurando maneiras de adicionar esse suporte.

Importante

Em alguns casos, os Controladores de Domínio que são executados em um sistema operacional de nível inferior (2012 R2 ou 2016) podem ser gerenciados involuntariamente por Microsoft Defender para Ponto de Extremidade. Para garantir que isso não aconteça em seu ambiente, recomendamos garantir que seus controladores de domínio não sejam marcados como "MDPE-Management" ou gerenciados por MDPE.

Instalação do Server Core

O gerenciamento de configurações de segurança não dá suporte a instalações principais do servidor devido a limitações de plataforma principal do servidor.

Modo de restrição do PowerShell

O Powershell precisa ser habilitado.

O gerenciamento de configurações de segurança não funciona para um dispositivo que tem o PowerShell LanguageMode configurado com o modo enabledConstrainedLanguage . Para obter mais informações, consulte about_Language_Modes na documentação do PowerShell.

Gerenciando a segurança por meio de MDPE se você estivesse usando anteriormente uma ferramenta de segurança de terceiros

Se você já tiver uma ferramenta de segurança de terceiros no computador e agora estiver gerenciando-a com MDPE, poderá ver algum impacto na capacidade do MDPE de gerenciar configurações de segurança em casos raros. Nesses casos, como medida de solução de problemas, desinstale e reinstale a versão mais recente do MDPE em seu computador.

Próximas etapas

• Monitorar o Defender para Ponto de Extremidade no Intune
• Gerenciar políticas de segurança de ponto de extremidade em Microsoft Defender para Ponto de Extremidade na documentação do Defender.