Home Intune Account Protection no Microsoft Intune: Configuração e Segurança de Credenciais

Account Protection no Microsoft Intune: Configuração e Segurança de Credenciais

por Avatar photoSérgio Sant'Ana Júnior
por Avatar photoSérgio Sant'Ana Júnior 813 visualizações 8 minutos leitura

A segurança das contas é um dos principais pilares de proteção em qualquer ambiente de TI. Para facilitar esse gerenciamento, o Microsoft Intune oferece o Account Protection, um conjunto de recursos que inclui desde o controle de grupos locais até a habilitação do Credential Guard.

O Account Protection (Proteção de Contas) é uma funcionalidade presente na área de Segurança do Ponto de Extremidade (Endpoint Security) do Microsoft Intune e que permite:

  • Gerenciar grupos locais (ex.: Administradores, Usuários, Convidados) de forma centralizada.
  • Automatizar a adição ou remoção de contas, eliminando a necessidade de scripts ou configurações manuais em cada estação.
  • Ativar recursos de segurança avançados como o Credential Guard, que protege credenciais armazenadas na memória do sistema.

Em resumo, o Account Protection ajuda as empresas a manter um padrão de segurança em todos os dispositivos Windows gerenciados pelo Intune.

Configurar Política de Associação ao Grupo de Administradores Locais

O Microsoft Intune oferece uma forma prática de adicionar (ou remover) contas de usuários e grupos em dispositivos Windows de maneira centralizada. A seguir, apresento um guia passo a passo para criar uma política de Associação ao grupo de usuários locais, usando como exemplo a adição de contas ao grupo local de Administradores.

Acesse o Portal do Intune

  • Abra o navegador e acesse Portal do Intune.
  • Utilize suas credenciais de administrador para entrar no Microsoft Intune.
  • No menu lateral esquerdo, procure por Segurança do ponto de extremidade.
  • Dentro de Segurança do ponto de extremidade, clique em Proteção de contas.
  • Essa área concentra as políticas ligadas à segurança de contas e grupos locais.
  • Na parte superior, você verá o botão Criar Política.
  • Selecione essa opção para iniciar a criação de um novo perfil.
  • Na janela que surge, clique em Plataforma, selecione Windows.
  • Em Perfil, escolha Associação ao grupo de usuários locais.
  • Clique em Criar para avançar à próxima etapa de configuração.

Dê um Nome para a Política

  • Na tela seguinte, você verá o campo Name.
  • Escolha um nome que descreva claramente a finalidade, como por exemplo: Adicionar Contas ao Grupo Administradores Locais.
  • No campo Description explique em poucas palavras uma descrição bem clara e objetiva sobre a politica.

Esta próxima etapa é parte fundamental para definir quais grupos locais do Windows serão ajustados.

Na seção Usuários e Grupos Locais, clique em Adicionar.

  • No campo Grupo local, escolha qual grupo do Windows deseja gerenciar (no exemplo, Administradores).
  • Há outras opções como Usuários, Convidados, Usuários Avançados, etc.
  • Definir “Ação de grupo e usuário”. Aqui você indica como o Intune tratará o grupo local:
    • Adicionar (Atualizar): Inclui as contas que você selecionar, sem remover as já existentes.
    • Remover: Exclui apenas as contas que você indicar, mantendo as demais.
    • Substituir (Remover): Apaga todos os membros do grupo e adiciona apenas aqueles que você selecionar.
  • Escolher “Tipo de seleção de usuário”:
    • Geralmente, escolhe-se “Usuários/Grupos” para buscar contas ou grupos do Azure AD.
  • Selecionar Usuários ou Grupos:
    • Ao clicar em Selecionar usuário, será exibida uma lista de usuários e grupos.
    • Marque aqueles que deseja adicionar ao grupo local (por exemplo, um grupo chamado Departamento_TI).

Dica: Usar grupos do Entra ID (como Departamento_TI) permite gerenciar múltiplos usuários de uma só vez. Todos os membros desse grupo receberão privilégios de administrador local (caso tenha escolhido o grupo local de Administradores) no dispositivo.

  • Marcas de Escopo (Opcional): Pode pular para Atribuições.
  • Atribuições:
    • Escolha quais grupos de dispositivos receberão essa política.
    • Isso garante que apenas máquinas pertencentes a determinado grupo do Intune recebam as configurações de associação ao grupo local.
  • Revisar e Criar
    • Confira se as definições estão corretas.
    • Clique em Salvar para que o Intune inicie a propagação das configurações nos dispositivos atribuídos.

Abra o Gerenciamento de Usuários e Grupos Locais (lusrmgr.msc) e confirme se as contas ou grupos selecionados aparecem em: Gerenciamento do Computador (Local) >> Usuários e Grupos Locais >> Grupos >> Administradores.

  • Monitore o Status no Portal
    • Volte ao Portal do Intune e acesse a política criada.
    • Verifique se há relatórios de sucesso ou falha na aplicação da política.
    • Em caso de erros, veja se o dispositivo está devidamente sincronizado e se as credenciais do usuário não possuem restrições (como contas convidadas).

Atenção: Evite adicionar grupos ou usuários que não precisam de privilégios administrativos, sempre adotando a prática de Menor Privilégio. Outro ponto a levar em consideração é a opção “Substituir (Remover)” pois qualquer remoção deve-se ter cautela para não remover contas críticas, como a do administrador local padrão.

Com tudo verificado, vamos partir para a próxima etapa.

Credential Guard

O Credential Guard é um recurso fundamental do Windows que usa virtualização para isolar e proteger as credenciais armazenadas na memória do sistema. Quando habilitado, torna significativamente mais complexos ataques como Pass-the-Hash e Pass-the-Ticket, pois os hashes de senha não ficam acessíveis aos processos comuns do sistema operacional. Neste artigo, veremos como configurá-lo por meio das políticas de Proteção de Contas no Microsoft Intune, trazendo exemplos e dicas de melhores práticas.

Como o Credential Guard Funciona na Prática

  • Isolamento de Credenciais: Ele cria um contêiner isolado no qual hashes de senhas e tokens de autenticação não ficam acessíveis ao restante do sistema. Dessa forma, mesmo que um invasor obtenha privilégios de administrador local, os dados de credenciais permanecem protegidos.
  • Virtualização: O recurso utiliza a tecnologia de Virtual Secure Mode (VSM) para impedir que processos do Windows leiam ou modifiquem as informações sensíveis na memória.
  • Proteção Contínua: Uma vez habilitado, o Credential Guard atua de forma transparente para o usuário, sem exigir configurações adicionais no dia a dia.
  • Prevenção de Ataques de Pass-the-Hash: Se alguém tentar extrair hashes de credenciais no Windows, encontrará o ambiente isolado e não conseguirá acesso direto aos dados.

Compatibilidade com Dispositivos Gerenciados e Licenciamento

  • Ambientes Híbridos (AD + Azure AD): O Credential Guard funciona em máquinas unidas tanto ao Entra ID, quanto a um domínio local (híbrido). O principal requisito é que o dispositivo esteja compatível com a tecnologia de virtualização (VT-x/AMD-V) e, preferencialmente, com TPM 2.0.
  • Sincronização de Políticas: Em cenários híbridos, é importante verificar se não há conflito com GPOs no ambiente on-premises. Se houver uma GPO configurando o Credential Guard de uma forma e o Intune definindo de outra, o resultado pode ser imprevisível.

Licenciamento: O Credential Guard não é suportado nativamente em dispositivos com Windows Pro. Ele está disponível apenas para edições como Windows Enterprise (E3/E5) e Windows Education (A3/A5). Sabia mais no site da Microsoft.

Criando a Política de Proteção de Contas

  • Criar Nova Política
    • Na parte superior, clique em Criar Política.
    • Selecione Plataforma: Windows.
    • Em Perfil, escolha Proteção da Conta ou Account Protection (dependendo do idioma do seu console).
    • Clique em Criar para iniciar as configurações.
    • Dê um nome significativo à sua política, por exemplo: ”Ativar Credential Guard”.
    • Insira uma descrição clara, como ”Habilita o Credential Guard em dispositivos Windows 10/11 com bloqueio UEFI.”

Na tela de Definições da configuração (às vezes chamada de “Settings” ou “Properties”), procure pela seção Device GuardCredential Guard. Você encontrará três principais opções:

  • Desabilitado
    • Caso queira remover ou desativar o Credential Guard de máquinas que o possuam habilitado.
  • Habilitado com bloqueio de UEFI
    • Ativa o Credential Guard e impede mudanças futuras sem ações específicas na BIOS/UEFI.
    • Recomendado para cenários de alta segurança, pois a reversão é complexa, aumentando a proteção.
  • Habilitado sem bloqueio de UEFI
    • Liga o Credential Guard, mas permite desativá-lo posteriormente via software ou políticas.
    • Ideal para testes ou ambientes em que você ainda não tem 100% de certeza sobre compatibilidade de drivers/aplicativos.

Dica Importante: Se for a primeira vez habilitando, inicie com Habilitado sem bloqueio em um grupo de teste. Se tudo correr bem, migre para o bloqueio UEFI para garantir a segurança máxima.

  1. Windows Hello para Empresas
    • Se você quiser incentivar o uso de autenticação forte (PIN, biometria), habilite-o.
    • “verdadeiro” = ativado, “falso” = desativado.
  2. Recursos Faciais Usam Antifalsificação Avançada
    • Adiciona camada extra de segurança no reconhecimento facial, impedindo que fotos/imagens enganem a câmera.
  3. Configurações de PIN
    • Habilitar Recuperação do PIN: Permite que o usuário recupere o PIN caso esqueça.
    • Término (Usuário): Define quando o PIN expira (ex.: a cada 365 dias).
    • Histórico de PINs: Impede repetição de PINs anteriores.
    • Letras Minúsculas, Letras Maiúsculas, Caracteres Especiais: Eleva a complexidade do PIN, porém cuidado para não dificultar demais a experiência do usuário.
    • Comprimento Mínimo/Máximo do PIN: Baliza quantos caracteres podem ser usados.

Depois de concluir as configurações, avance até Atribuições.

Melhor Prática: Ajuste as configurações de PIN de forma equilibrada – não tão simples a ponto de comprometer a segurança, nem tão complexas que gerem frustração e aumento de incidentes de suporte.

Escolha em quais grupos de dispositivos (ou de usuários) a política será aplicada. Para evitar surpresas, crie um grupo de teste e aplique inicialmente ali. Analise o comportamento antes de expandir para todos.

  • Revisar e Criar
    • Confira as configurações em “Revisar + Criar”.
    • Clique em Criar para que a política seja salva e publicada.

Não abordarei sobre Windows Laps nesse artigo pois já escrito no artigo, por isso recomendo essa leitura complementar.

E chegamos na etapa final dessa jornada. A configuração do Credential Guard pelo Intune garante uma segurança robusta das credenciais em dispositivos Windows, dificultando ataques que tentam extrair hashes e tokens de senhas.

Compartilhe conosco sua experiência e faça parte dessa jornada você também.

Avatar photo

Profissional com quase 20 anos de experiência em Tecnologia, e especializado em soluções Microsoft 365, atuando como Analista Cloud na Mundo 365. Sou fundador e redator do Jornada 365, onde compartilho insights valiosos e dicas práticas sobre o ecossistema Microsoft 365 e Intune. Estou constantemente em busca de aprimoramento pessoal e profissional e convido você a acompanhar e fazer parte desta jornada de conhecimento e aperfeiçoamento contínuo.

Você também pode gostar

Dispositivos Obsoletos – Gerenciando os ciclos de vida...

Microsoft Intune – Simplicando o gerenciamento de dispositivos...

Intune – Potencialize e Transforme o Microsoft Edge...

Intune – Agende atualizações automáticas dos pacotes com...

Microsoft Intune – Wallpaper e Lockscreen Windows Pro

Intune – Habilitando o Web sign-in for Windows...

Microsoft Intune – Como Integrar o Compliance (Data...

Intune – Fixando atalhos na Barra de Tarefas...

Intune – Bloqueando usuários de adicionarem contas pessoais...

Microsoft Intune – Como Restringir o Acesso ao...

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar