Criar um perfil de configuração de dispositivos no Microsoft Intune

Os perfis de configuração de dispositivos permitem-lhe adicionar e configurar as definições do dispositivo e, em seguida, emitir estas definições para dispositivos na sua organização. Você tem algumas opções ao criar as políticas:

• Linhas de base: em dispositivos Windows, estas linhas de base incluem definições de segurança pré-configuradas. Se quiser criar uma política de segurança com recomendações das equipas de segurança da Microsoft, utilize linhas de base de segurança.

  Para obter mais informações, aceda a Linhas de base de segurança.

• Catálogo de definições: nos seus dispositivos Apple, Android e Windows, pode utilizar o catálogo de definições para configurar as funcionalidades e definições do dispositivo. O catálogo de definições tem todas as definições disponíveis e numa única localização. Por exemplo, você pode ver todas as configurações que se aplicam ao BitLocker e criar uma política que se concentra apenas nele. Em dispositivos macOS, use o catálogo de configurações para definir o Microsoft Edge versão 77 e as configurações.

  São continuamente adicionadas mais definições ao catálogo de definições. Para obter mais informações, consulte Catálogo de Configurações.

• Modelos: nos seus dispositivos, pode utilizar os modelos incorporados. Cada modelo inclui um agrupamento lógico de definições que configuram uma funcionalidade ou conceito, como VPN, e-mail, dispositivos de quiosque e muito mais. Caso você esteja familiarizado com a criação de políticas de configuração de dispositivos no Microsoft Intune, você já está usando esses modelos.

  Para obter mais informações, incluindo os modelos disponíveis, aceda a Aplicar funcionalidades e definições nos seus dispositivos através de perfis de dispositivo.

Este artigo:

• Lista as etapas para criar um perfil.
• Mostra como adicionar uma marca de escopo para "filtrar" suas políticas.
• Descreve as regras de aplicabilidade em dispositivos cliente Windows e mostra como criar uma regra.
• Tem mais informações sobre os tempos de ciclo de atualização marcar-in quando os dispositivos recebem perfis e quaisquer atualizações de perfil.

Esse recurso aplica-se a:

• Android
• iOS/iPadOS
• macOS
• Windows

Pré-requisitos

• No mínimo, inicie sessão no centro de administração do Microsoft Intune com a função gestor de Políticas e Perfis . Para obter informações sobre as funções incorporadas no Intune e o que podem fazer, aceda a Controlo de acesso baseado em funções (RBAC) com o Microsoft Intune.

• Inscrever os seus dispositivos no Intune. Para saber mais sobre as opções de inscrição, veja Guia de inscrição do Microsoft Intune.

Criar o perfil

No centro de administração do Intune, selecioneDispositivos. Você tem as seguintes opções:

• Descrição geral: Listas a status de alguns dos seus perfis e fornece mais detalhes sobre os perfis que atribuiu a utilizadores e dispositivos.

• Monitor: Listas todos os relatórios de monitorização de dispositivos. Utilize estes relatórios para marcar falhas de atribuição de políticas de configuração, inscrições de utilizadores incompletas, dispositivos não conformes, falhas de instalação de atualizações e muito mais.

• Por plataforma: expanda esta opção para obter uma lista de plataformas suportadas, como Android e Linux. Quando seleciona uma plataforma, pode criar e ver políticas e perfis para a plataforma que escolher.

  Esta vista também pode mostrar funcionalidades específicas da plataforma. Por exemplo, selecione Windows. Verá funcionalidades específicas do Windows, como Scripts e remediações e Análise de políticas de grupo.

• Gerir dispositivos: expanda esta opção para ver as políticas que pode criar, como políticas de conformidade e configuração.

Quando criar um perfil (Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política), escolha a sua plataforma:

• Administrador de dispositivo Android
• Android (AOSP)
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 e posterior
• Windows 8.1 e posterior

Em seguida, escolha o seu tipo de perfil. Consoante a plataforma que escolher, os tipos de perfil são diferentes. Os seguintes artigos descrevem os diferentes perfis:

Por exemplo, se selecionar Windows para a plataforma, as suas opções têm um aspeto semelhante ao seguinte perfil:

Marcas de escopo

Depois de adicionar as configurações, você também poderá adicionar uma marca de escopo ao perfil. As marcas de escopo filtram perfis aos grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. E são usadas em TI distribuída.

Para obter mais informações sobre etiquetas de âmbito e o que pode fazer, aceda a Utilizar RBAC e etiquetas de âmbito para TI distribuídas.

Regra de aplicabilidade

Aplicável a:

• Windows

As regras de aplicabilidade permitem aos administradores definir como destino os dispositivos de um grupo que atenda a critérios específicos. Por exemplo, cria um perfil de restrições de dispositivos que se aplica ao grupo Todos os dispositivos Windows . E você só deseja que o perfil seja atribuído a dispositivos que executam o Windows Enterprise.

Para executar essa tarefa, crie uma regra de aplicabilidade. Essas regras são úteis para os seguintes cenários:

• Na Bellows College, quer direcionar todos os dispositivos Windows com Windows 11, versão 24H2.
• Quer visar todos os utilizadores em Recursos Humanos na Contoso, mas apenas pretende dispositivos Windows Professional ou Enterprise.

Para abordar esses cenários, você pode:

• Criar um grupo de dispositivos que inclua todos os dispositivos do Bellows College. No perfil, adicione uma regra de aplicabilidade a ser aplicada se a versão mínima do sistema operacional for 10.0.26100 e a versão máxima for 10.0.26200. Atribua esse perfil ao grupo de dispositivos do Bellows College.

  Quando o perfil é atribuído, aplica-se aos dispositivos entre as versões mínimas e máximas que introduzir. Os dispositivos que não estejam entre as versões mínima e máxima inseridas exibem o status Não aplicável.

• Crie um grupo de usuários que inclua todos os usuários de RH (Recursos Humanos) da Contoso. No perfil, adicione uma regra de aplicabilidade para que se aplique a dispositivos com o Windows Professional ou Enterprise. Atribua esse perfil ao grupo de usuários de RH.

  Quando o perfil é atribuído, aplica-se a dispositivos com o Windows Professional ou Enterprise. Os dispositivos que não executam essas edições exibem o status Não aplicável.

• Se houver dois perfis com as mesmas configurações, o perfil será aplicado sem regra de aplicabilidade.

  Por exemplo, ProfileA destina-se ao grupo de dispositivos Windows, ativa o BitLocker e não tem uma regra de aplicabilidade. O ProfileB destina-se ao mesmo grupo de dispositivos Windows, ativa o BitLocker e tem uma regra de aplicabilidade para aplicar apenas o perfil à edição Windows Enterprise.

  Quando os dois perfis são atribuídos, o Perfil A é aplicado, porque ele não tem uma regra de aplicabilidade.

Quando você atribui o perfil aos grupos, as regras de aplicabilidade agem como um filtro e são direcionadas apenas aos dispositivos que atenderem aos seus critérios.

Adicionar uma regra

Utilize os seguintes passos para criar uma regra de aplicabilidade.

1. Na sua política, selecione Regras de Aplicabilidade. Você pode escolher a Regra e a Propriedade:

   

2. Em Regra, escolha se você quer incluir ou excluir usuários ou grupos. Suas opções:

   • Atribuir perfil se: inclui usuários ou grupos que atendem aos critérios que você inseriu.
   • Não atribua perfil se: exclui usuários ou grupos que atendem aos critérios que você inseriu.

3. Em Propriedade, escolha seu filtro. Suas opções:

   • OS edition: na lista, verifique as edições de cliente do Windows que você deseja incluir (ou excluir) em sua regra.

   • OS version: insira os números de versão min e max do cliente Windows que você deseja incluir (ou excluir) em sua regra. Os dois valores são obrigatórios.

     Por exemplo, você pode inserir 10.0.16299.0 (RS3 ou 1709) como a versão mínima e 10.0.17134.0 (RS4 ou 1803) como a versão máxima. Ou você pode ser mais específico e inserir 10.0.16299.001 como a versão mínima e 10.0.17134.319 como a versão máxima.

     Para obter mais números de versão, aceda a Informações de versão do cliente Windows.

4. Selecione Adicionar para salvar as alterações.

Tempos de ciclo de atualização de políticas

O Microsoft Intune usa diferentes ciclos de atualização para verificar se há atualizações nos perfis de configuração. Se o registro do dispositivo for recente, a frequência de execução da verificação será maior. Os ciclos de atualização de política e perfil descrevem os tempos de atualização estimados.

A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa e sincronizar o dispositivo para verificar imediatamente as atualizações de perfil.

Recomendações

Ao criar perfis, considere as seguintes recomendações:

• Nomeie suas políticas para que você saiba do que trata cada uma e o que fazem. Todas as políticas de conformidade e perfis de configuração possuem uma propriedade Descrição opcional. Em Descrição, seja específico e inclua informações para que outras pessoas saibam o que a política faz.

  Alguns exemplos de perfil de configuração incluem:

  Nome do perfil: perfil de configuração do OneDrive para todos os utilizadores do Windows
  Descrição do perfil: perfil do OneDrive que inclui as definições mínimas e base para todos os utilizadores do Windows. Criado por user@contoso.com para impedir que os utilizadores partilhem dados organizacionais em contas pessoais do OneDrive.

  Nome do perfil: perfil VPN para todos os usuários iOS/iPadOS
  Descrição do perfil: perfil de VPN que inclui as configurações básicas e mínimas para que todos os usuários do iOS/iPadOS se conectem à VPN da Contoso. Criado por para user@contoso.com que os utilizadores se autentiquem automaticamente na VPN, em vez de pedirem aos utilizadores o respetivo nome de utilizador e palavra-passe.

• Crie seu perfil de acordo com a tarefa, como definir as configurações do Microsoft Edge, habilitar as configurações de antivírus do Microsoft Defender, bloquear dispositivos com jailbreak do iOS/iPadOS e assim por diante.

• Crie perfis que se apliquem a grupos específicos, como Marketing, Vendas, Administradores de TI, ou por local ou sistema escolar. Utilize as funcionalidades incorporadas, incluindo:

  • Usar o controle de acesso baseado em função (RBAC) e as marcas de escopo da TI Distribuída no Intune
  • TI distribuída com muitos administradores no mesmo inquilino do Intune
  • Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Intune

• Separe as políticas de usuário das políticas de dispositivo.

  Por exemplo, o catálogo de definições do Intune tem milhares de definições. Estas definições mostram se uma definição se aplica a utilizadores ou dispositivos. Ao criar a política, atribua as definições de utilizador a um grupo de utilizadores e atribua as definições do dispositivo a um grupo de dispositivos.

  A imagem seguinte mostra um exemplo de algumas definições que podem ser aplicadas aos utilizadores, aplicar a dispositivos ou aplicar a ambos:

  

• Utilize Microsoft Copilot no Intune para avaliar as suas políticas, saber mais sobre uma definição de política & efeito nos seus utilizadores & segurança e comparar políticas entre dois dispositivos.

  Para obter mais informações, acesse Microsoft Copilot no Intune.

• Toda vez que você criar uma política restritiva, comunique essa alteração aos usuários. Por exemplo, se você estiver alterando o requisito de senha de quatro (4) caracteres para seis (6) caracteres, avise os usuários antes de atribuir a política.

Conteúdo relacionado

• Atribua o perfil.
• Monitorize o respetivo status.