Home Intune Microsoft Intune – Configuração de Políticas de Conformidade com Grupos Dinâmicos

Microsoft Intune – Configuração de Políticas de Conformidade com Grupos Dinâmicos

por Avatar photoSérgio Sant'Ana Júnior
por Avatar photoSérgio Sant'Ana Júnior 631 visualizações 16 minutos leitura

Nessa jornada irei detalhar o processo de criação de políticas de conformidade no Microsoft Intune. Elas permitem garantir que os dispositivos atendam aos requisitos da organização, como configurações de segurança e status de atualizações. E claro, o uso de grupos dinâmicos facilita o gerenciamento automatizado.

Grupos Dinâmicos de Dispositivos

Grupos dinâmicos são essenciais para gerenciar dispositivos de forma automatizada com base em regras predefinidas, como versão do sistema operacional, fabricante ou outros atributos. Para criar um grupo dinâmico, é necessário ter licenças Microsoft Entra ID P1 ou P2. Esses grupos funcionam com base em consultas dinâmicas, que podem ser criadas utilizando uma sintaxe específica.

Como criar um grupo dinâmico

  • Acesse o Centro de Administração do Microsoft Intune.
  • Navegue até Grupos > Novo grupo.
  • Escolha o tipo de grupo como Segurança.
  • Defina o nome e a descrição do grupo, como “GS – Device Windows 10“.
  • Descrição de exemplo: Grupo dinâmico de dispositivos com sistema operacional Windows 10.
  • Selecione Tipo de associação: Dispositivo Dinâmico.
  • Configure a consulta dinâmica para incluir dispositivos com base em atributos específicos, como a versão do sistema operacional.

Para diferenciar o Windows 10 do Windows 11, é importante compreender alguns conceitos básicos. Ao abrir o Prompt de Comando (CMD) ou o PowerShell e executar o comando systeminfo, você verá várias informações sobre o seu sistema Windows e hardware, incluindo a versão do sistema operacional, que é a parte que nos interessa nesse momento.

Atualmente a Build mais recente do Windows 10 é 19045.5247, então em resumo a versão do sistema operacional é 10.0.19045.5247. Veja a seguir o que cada parte dessas informações significa:

  1. 10.0: Representa a versão principal do sistema operacional, indicando que é parte da família Windows 10 (e também Windows 11, já que ambos compartilham o mesmo núcleo NT 10.0 por razões de compatibilidade). Saiba mais.
  2. 19045: É o número da build (compilação) do sistema operacional. Isso identifica uma versão específica do Windows 10. No caso, “19045” refere-se à versão 22H2 do Windows 10, que é a última grande atualização de recursos lançada para este sistema.
  3. 5247: É o número da revisão ou atualização cumulativa aplicada à build. Essas atualizações geralmente incluem correções de segurança, melhorias de desempenho e ajustes de qualidade liberados regularmente pela Microsoft.

As builds do Windows 10 começam com “19*”, como no exemplo 19045.5247, enquanto as builds do Windows 11 começam com “26*” (para a versão 24H2) e “22*” (para as versões 23H2 e 22H2), como nos exemplos 26100.2605 (24H2) e 22631.4602 (23H2). Para criar uma regra dinâmica que diferencie os sistemas operacionais, utilizo o padrão inicial “10.0”, que é comum a ambos os sistemas, e adiciono apenas o primeiro número da build para identificá-los de forma simplificada.

Assim, a regra fica da seguinte maneira:

  • Windows 10: 10.0.1
  • Windows 11: 10.0.2

Essa abordagem facilita a identificação dos sistemas operacionais de forma rápida e eficiente, sem precisar analisar toda a sequência da build.

Por último valide se a regra está funcionando clicando em Validar Regras e adicionando dos dispositivos.

Após configurar e validar as regras, o grupo irá automaticamente incluir dispositivos que atendam às condições especificadas.

Onde configurar Política de Conformidade no Intune?

As políticas de conformidade permitem definir requisitos de segurança e conformidade que os dispositivos precisam atender para acessar os recursos corporativos. Essas políticas são essenciais para reforçar a segurança e garantir que apenas dispositivos autorizados tenham acesso.

  • No Centro de Administração do Microsoft Intune, vá para Segurança do ponto de extremidade.
  • Caminho Alternativo: Acesse Dispositivos.
  • Clique em Conformidade no menu lateral.
  • Selecione Políticas e clique em Criar política.
  • Escolha a plataforma como Windows 10 e posterior.
  • Clique em Criar para abrir a interface de configuração.

Configurando Políticas de Conformidade Baseadas na Build do Sistema Operacional

A criação de políticas de conformidade baseadas na versão ou build do sistema operacional é essencial para garantir que dispositivos atendam aos requisitos de segurança e compatibilidade da organização. Políticas de conformidade baseadas na build do sistema operacional permitem restringir o acesso de dispositivos com versões desatualizadas ou não suportadas. Isso assegura a proteção de dados e reduz a vulnerabilidade contra ameaças cibernéticas.

Politica de Corformidade – Build Windows 10 e 11

  • Clique em Criar Política.
  • Escolha a plataforma como Windows 10 e posterior.
  • Preencha as informações básicas:
    • Nome: Exemplo – “Conformidade – Windows 10”.
    • Descrição: Detalhe os objetivos da política, como: “Essa política garante que os dispositivos Windows 10 utilizem builds específicas para maior segurança e estabilidade.”

Clique em Avançar para prosseguir.

Configuração de Versões e Builds do Windows 10 e Windows 11

Nesse cenário precisamos configurar duas políticas de conformidade, uma para Windows 10 e outra para Windows 11, seguindo a mesma lógica dos grupos dinâmicos que criamos anteriormente.

Agora vamos preecher a build do sistema, expanda Propriedades do Dispositiv e escolha uma das formas de configurar. Abaixo irei explicar, então fique atento aos detalhes:

1. Versão Mínima do SO

  • Defina a versão mínima do Windows que será permitida para conformidade.
  • Exemplo: 10.0.19045.5131 para dispositivos com o Windows 10 22H2, garantindo que estejam em uma versão com suporte e atualizada para maior segurança e compatibilidade.

2. Versão Máxima do SO (Opcional)

  • Configure uma versão máxima permitida, se necessário, para evitar a utilização de versões não testadas ou experimentais.
  • Exemplo: 10.0.19045.5247 pode ser usado para limitar os dispositivos ao build mais recente do Windows 10 22H2.

3. Builds Válidas do Sistema Operacional

Para adicionar vários builds insira em Builds válidas do sistema operacional.

  • Insira números específicos de builds que atendam às necessidades da sua organização.
  • Exemplo: Inclua builds como:
    • 10.0.26100.2605 (Windows 11 24H2),
    • 10.0.26100.2454 (Windows 11 23H2),

Verifique as configurações e clique em Avançar.

Em Ações para não Conformidade, pule essa etapa pois iremos configurar futuramente, então não se preocupe. E em Atribuições, inclua o grupo de dispositivos que você configurou a política. Se a configuração foi para o Windows 10 então selecione o sistema operacional equivalente. Avance e conclua.

Repita o processo, pois lembre-se é necessário configurar duas politicas, a menos que não possua sistema operacional Windows 10 ou Windows 11.

Conformidade com Verificação do TPM

Configurar políticas de conformidade específicas, como a verificação do TPM (Trusted Platform Module), é uma prática essencial para aumentar a segurança de dispositivos no ambiente corporativo.

O Trusted Platform Module (TPM) é um chip de segurança integrado em dispositivos modernos que permite funcionalidades como criptografia, autenticação e inicialização segura. Configurar o TPM como requisito de conformidade ajuda a garantir que apenas dispositivos com um nível mínimo de segurança acessem recursos corporativos.

Criar a Política de Conformidade

Você já sabe o caminho para configurar a politica de conformidade, então vamos na parte que nos interessa.

Na aba Básico, forneça as informações, eis um exemplo abaixo:

  • Nome: Exemplo – “Política de Conformidade: Verificação do TPM”.
  • Descrição: “Valida se o dispositivo possui o TPM ativado e configurado corretamente para atender aos requisitos de conformidade.”

Agora avance para configurar os critérios de Conformidade.

Na aba Configurações de Conformidade, expanda a seção Segurança do Sistema.

Na opção TPM (Trusted Platform Module), selecione Exigir para validar que o dispositivo tenha o TPM ativado.

Não faça mais nenhum ajuste, avance para a etapa de atribuir a grupos de dispositivos, no nosso caso é Grupo de Windows 10 e 11.

Ao configurar a verificação do TPM você garante que apenas dispositivos seguros e confiáveis possam acessar os recursos corporativos, protegendo dados e usuários.

Agora que concluiu mais uma política de conformidade vamos avançar para os próximos.

Conformidade para Criptografia de Disco (BitLocker)

A criptografia de disco, utilizando tecnologias como o BitLocker, é fundamental para proteger dados corporativos em dispositivos Windows e agora vamos mergulhar nessa jornada para criar uma política de conformidade no Microsoft Intune que exija a criptografia de disco como pré-requisito.

Sem perder tempo, vamos criar a política de conformidade. É fundamental dar atenção ao nome e à descrição, preenchendo-os de forma clara e objetiva para que toda a equipe de TI compreenda facilmente sua finalidade.

  • Nome: Exemplo – “Conformidade: Criptografia de Disco”.
  • Descrição: “Política de conformidade para garantir que dispositivos utilizem criptografia de dados (BitLocker) para proteger informações corporativas e prevenir acessos não autorizados.”

Na aba Configurações de Conformidade, expanda a seção Segurança do Sistema.

Na opção Exigir criptografia de armazenamento de dados no dispositivo, configure como Exigir. Essa configuração verifica se o dispositivo possui a criptografia ativa no disco, utilizando o BitLocker.

O BitLocker é uma funcionalidade nativa do Windows que protege dados por meio de criptografia, prevenindo acessos não autorizados, especialmente em casos de perda ou roubo de dispositivos. Ele utiliza o módulo TPM para gerenciar chaves de forma segura e pode ser aplicado ao sistema operacional e unidades de dados. 

Pronto é só isso, agora avance até Atribuições e escolha os grupos de dispositivos ou usuários que receberão a política, exemplo Grupo Windows 10 e 11. Conclua a criação da política.

Política de Conformidade: Integridade do Dispositivo

A política de Integridade do Dispositivo é uma configuração essencial no Microsoft Intune para garantir que dispositivos Windows 10/11 atendam aos requisitos de segurança corporativa. Essa política valida medidas fundamentais de segurança, como o uso do BitLocker, Inicialização Segura (Secure Boot) e Integridade de Código.

Por que Configurar a Política de Integridade do Dispositivo?

  • Cobertura Completa: Além de garantir a criptografia com BitLocker, valida aspectos críticos da inicialização e execução do sistema operacional.
  • Simplificação: Evita a necessidade de configurar políticas separadas para criptografia e outros aspectos de segurança.
  • Compliance Avançado: Atende a exigências rigorosas de conformidade em ambientes corporativos.

Atenção: Ao implementar esta política com o BitLocker, não será necessário criar uma política de conformidade separada para criptografia de disco, pois a validação do BitLocker já está integrada. Configurar ambas as políticas resultará, inevitavelmente, em conflitos entre elas.

Então vamos colocar a mão na massa, crie a politica e preencha o Nome e a Descrição, não se esqueça.
Abaixo o nome e a descrição da política criada:

  • Nome: Exemplo – “Conformidade: Integridade do Dispositivo”.
  • Descrição: “Essa política garante que os dispositivos Windows 10/11 atendam aos requisitos de segurança corporativa, validando o uso do BitLocker, Inicialização Segura e Integridade de Código.”

Na aba Configurações de Conformidade, localize e configure as opções relacionadas à Integridade do Dispositivo.

  1. BitLocker:
    • Configure como Exigir.
    • Essa configuração verifica se o disco do dispositivo está criptografado com o BitLocker, garantindo proteção contra acesso físico não autorizado aos dados armazenados.
  2. Inicialização Segura (Secure Boot):
    • Configure como Exigir.
    • Essa opção valida se o dispositivo possui o Secure Boot habilitado. Isso impede a execução de software malicioso durante o processo de inicialização do sistema.
  3. Integridade de Código:
    • Configure como Exigir.
    • Essa configuração garante que apenas drivers e aplicativos confiáveis sejam executados no dispositivo, protegendo contra malware e ataques ao sistema.

A política de Integridade do Dispositivo combina várias camadas de segurança críticas para proteger dados e sistemas corporativos. Com o BitLocker, Inicialização Segura e Integridade de Código configurados, a organização reduz riscos e aumenta a segurança contra ameaças físicas e digitais.

Tudo configurado, agora avance até atribuição e não esqueça de incluir os grupos de dispositivos orientados no início do artigo.

Conformidade: Segurança e Microsoft Defender

Essa política de conformidade foi criada para reforçar os critérios de segurança em dispositivos Windows 10/11, garantindo que eles atendam aos padrões corporativos de proteção contra ameaças. Esta política concentra-se nos aspectos do Microsoft Defender, firewall, e outras configurações essenciais de segurança.

O objetivo principal dessa política é:

  • O Microsoft Defender está ativo e atualizado.
  • Requisitos de segurança adicionais, como firewall, antivírus e antispyware, estão habilitados.
  • O dispositivo apresenta um nível de risco adequado de acordo com a pontuação do Microsoft Defender for Endpoint.

Essa política é complementar às demais políticas, como a do TPM, e cobre elementos adicionais que não estão relacionados diretamente à proteção baseada em hardware. E claro, ela só faz sentido se usarem o produto Microsoft Defender. Se esse não for o seu cenário, então pule essa configuração.

Vamos configurar a política, e claro que vamos incluir um nome e descrição:

  • Nome: Conformidade: Segurança e Defender.
  • Descrição: Estabelece critérios de conformidade para dispositivos Windows 10/11, incluindo a configuração do Microsoft Defender, proteção antimalware, firewall e outros recursos essenciais de segurança.

Avance para a Configuração de conformidade.

No painel de configurações, configure as opções da seguinte forma:

Configurações do Microsoft Defender

  • Firewall: Isso garante que o firewall esteja habilitado, protegendo contra conexões não autorizadas.
  • Antivírus: Essa configuração assegura que um software de antivírus esteja ativo e operacional no dispositivo. Pode ser tanto o Microsoft Defender quanto qualquer outra solução de antivírus de terceiros.
  • Antispyware: Essa configuração garante que um software antispyware esteja ativo. O antispyware é responsável por detectar e remover softwares espiões que podem capturar informações confidenciais.
  • Microsoft Defender Antimalware: Especificamente relacionado ao Microsoft Defender, essa configuração verifica se o Defender está habilitado como solução de proteção antimalware.
  • Versão mínima do Microsoft Defender Antimalware: Especifica a versão mínima do Microsoft Defender Antimalware que deve estar instalada no dispositivo. Dispositivos com versões inferiores a essa não estarão conformes. Exemplo: 4.18.1909.6.
  • Inteligência de Segurança do Microsoft Defender Antimalware Atualizada: Verifica se as definições de segurança do Microsoft Defender estão atualizadas. As definições incluem assinaturas de ameaças usadas para identificar malware.
  • Proteção em Tempo Real: Exige que a proteção em tempo real do Microsoft Defender esteja ativada. Essa funcionalidade monitora continuamente o sistema para detectar e bloquear ameaças à medida que elas ocorrem.

Regras do Microsoft Defender para Ponto de Extremidade

  • Pontuação de Risco do Dispositivo: Essa opção permite que você defina um nível de tolerância de risco para dispositivos gerenciados. O Microsoft Defender para Ponto de Extremidade calcula uma pontuação de risco para cada dispositivo com base na exposição a ameaças e vulnerabilidades, como softwares desatualizados, configurações inseguras ou presença de malware.
    • Níveis de Pontuação de Risco Disponíveis:
      • Baixa: Apenas dispositivos com um risco mínimo são permitidos.
      • Média: Dispositivos com um nível moderado de risco ainda são aceitos.
      • Alta: Quase todos os dispositivos, mesmo com alto risco, são aceitos.

Essa configuração promove uma segurança adaptativa, garantindo que apenas dispositivos que atendem aos padrões mínimos de segurança possam acessar recursos corporativos. É uma das melhores práticas para alinhar segurança com usabilidade e manter um controle dinâmico de dispositivos.

Notificações de Não Conformidade

Após configurar as políticas de conformidade, o próximo passo essencial é criar notificações de não conformidade para dispositivos que não atendam aos critérios estabelecidos. Este recurso garante que os administradores e usuários sejam informados rapidamente sobre os problemas encontrados, aumentando a segurança e o alinhamento às políticas corporativas.

Configuração de Comportamento de Conformidade

No menu de conformidade do Intune, você encontrará a opção de configurações de conformidade.

  • Marcar dispositivos sem políticas de conformidade atribuídas:
    • Desative essa opção para que dispositivos sem uma política de conformidade sejam considerados não conformes.
    • Importância: Essa configuração se estiver ativa previne que dispositivos que não possuem nenhuma política atribuída sejam tratados como conformes, o que poderia abrir brechas de segurança, por isso recomendo desativa-la.
  • Período de validade do status de conformidade (dias):
    • Por padrão o valor está definido 30 dias para determinar o intervalo em que o status de conformidade deve ser verificado novamente.
    • Dica: Escolha um período que balanceie frequência de verificação e impacto, dependendo das necessidades da organização.

Criando Notificações de Não Conformidade

Após configurar as políticas de conformidade, o próximo passo essencial é criar notificações de não conformidade para dispositivos que não atendam aos critérios estabelecidos. Este recurso garante que os administradores e usuários sejam informados rapidamente sobre os problemas dos dispositivos, aumentando a segurança e o alinhamento às políticas corporativas.

Acesse a área de notificações:

  • Navegue até Dispositivos > Conformidade > Notificações
  • Clique em Criar notificação para começar o processo.

Defina o nome da notificação:

  • Escolha um nome claro e descritivo, como “Dispositivo Desatualizado” ou “Ação Necessária: Atualize o SO”. Entenda que você terá que criar várias notificações para aplicar em diferentes políticas de conformidade.

Configurações de Cabeçalho e Rodapé do E-mail:

  • Configure o cabeçalho com o logotipo e o nome da empresa para personalizar as notificações. Se ainda não configurou o Company Branding então recomendo leitura onde ensino a configurar da Identidade Visual. Avance e vamos para Modelos de mensagens de notificação.

Criando o Modelo de Mensagem:

Para cada política, recomenda-se um modelo de mensagem diferente. O exemplo abaixo é apenas para ilustração. Crie modelos-padrão específicos para cada política configurada, garantindo clareza e objetividade ao informar sobre a conformidade.

  • Adicione um modelo de mensagem, especificando:
    • Localidade: Ex.: Português (Brasil).
    • Assunto: Ex.: “Ação Necessária: Atualize seu Dispositivo.”
    • Mensagem: Use um editor simples ou HTML para personalizar o corpo da mensagem. Inclua instruções claras para o usuário, como no exemplo:
HTML
Prezado(a) Colaborador(a),

Foi identificado que seu dispositivo está utilizando uma versão desatualizada do sistema operacional. Para garantir a segurança dos dados corporativos e o acesso contínuo aos recursos da empresa, solicitamos que a atualização seja realizada o mais breve possível.

Instruções para Atualização:
- Acesse o menu Configurações no seu dispositivo.
- Selecione Atualização e Segurança.
- Clique em Verificar atualizações e siga as instruções exibidas na tela.
- Caso tenha dúvidas ou dificuldades durante o processo, entre em contato com o Suporte de TI pelo e-mail [email protected] ou pelo ramal 1234.

Contamos com sua colaboração para manter nosso ambiente corporativo seguro.

Atenciosamente,
Equipe de TI

Clique em Salvar e Avance. Revise as configurações e clique em Criar para finalizar.

Essa abordagem combina o poder de políticas bem configuradas com notificações eficazes, criando uma camada adicional de segurança e gerenciabilidade.

Configurando Ações para Dispositivos Não Conformes

Definir as ações para dispositivos que não estão em conformidade é uma etapa essencial para garantir que as políticas sejam eficazes e que as não conformidades sejam tratadas de maneira apropriada. Essa configuração determina como a organização responde a falhas de conformidade, escalonando as ações para corrigir rapidamente os problemas ou proteger os recursos da empresa.

Atenção: acesse as políticas de conformidade recém-criadas, edite-as e inclua a notificação recém-criada. Conforme explicado anteriormente, essas políticas estão localizadas em Dispositivos >> Windows >> Conformidade.

Após selecionar a política vá em Propriedades e edite Ações por não Conformidade.

Em Ações para não compatibilidade, ajuste para incluir a notificação criada anteriormente, conforme está descrito abaixo:

  • Marcar Dispositivo como Não Conforme: Configure para que dispositivos fora da conformidade sejam identificados imediatamente.
    • No campo de agenda, escolha 0 dias para aplicação imediata.
  • Enviar Email para o Usuário Final:
    • No menu suspenso, selecione a opção Enviar email para o usuário final.
  • Clique no campo Modelo de mensagem e escolha o modelo já criado.
  • Nome do Modelo: Por exemplo, “Dispositivo Desatualizado”.

Depois de configurado corretamente, os usuários receberão a mensagem informando que o dispositivo não está em conformidade. Veja abaixo o email que o usuário recebe, de acordo com a mensagem configurada nesse artigo.

Chegamos ao final desta jornada! E você, já configurou a política de conformidade no ambiente corporativo? Compartilhe conosco quais políticas foram configuradas. Deixe seu comentário e faça parte desta jornada conosco!

Avatar photo

Profissional com quase 20 anos de experiência em Tecnologia, e especializado em soluções Microsoft 365, atuando como Analista Cloud na Mundo 365. Sou fundador e redator do Jornada 365, onde compartilho insights valiosos e dicas práticas sobre o ecossistema Microsoft 365 e Intune. Estou constantemente em busca de aprimoramento pessoal e profissional e convido você a acompanhar e fazer parte desta jornada de conhecimento e aperfeiçoamento contínuo.

Você também pode gostar

Dispositivos Obsoletos – Gerenciando os ciclos de vida...

Microsoft Intune – Simplicando o gerenciamento de dispositivos...

Intune – Potencialize e Transforme o Microsoft Edge...

Intune – Agende atualizações automáticas dos pacotes com...

Microsoft Intune – Wallpaper e Lockscreen Windows Pro

Intune – Habilitando o Web sign-in for Windows...

Microsoft Intune – Como Integrar o Compliance (Data...

Intune – Fixando atalhos na Barra de Tarefas...

Intune – Bloqueando usuários de adicionarem contas pessoais...

Microsoft Intune – Como Restringir o Acesso ao...

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar