Configurar Microsoft Intune para Confiança Zero: Inquilinos seguros (Pré-visualização)

Proteger o inquilino Intune é essencial para impor princípios Confiança Zero e manter um ambiente seguro e bem gerido. Estas recomendações alinham-se com a Iniciativa Secure Future da Microsoft ao limitar o raio de explosão e impor o acesso com menos privilégios através de controlo administrativo segmentado, integração segura de dispositivos e proteções orientadas por políticas. Em conjunto, ajudam a reduzir o risco, a manter a higiene dos inquilinos e a reforçar a conformidade entre as plataformas.

Confiança Zero recomendações de segurança

A configuração da etiqueta de âmbito é imposta para suportar a administração delegada e o acesso com menos privilégios

Se Intune etiquetas de âmbito não estiverem corretamente configuradas para administração delegada, os atacantes que obtenham acesso privilegiado a Intune ou Microsoft Entra ID podem escalar privilégios e aceder a configurações de dispositivos confidenciais em todo o inquilino. Sem etiquetas de âmbito granulares, os limites administrativos não são claros, permitindo que os atacantes se movam lateralmente, manipulem políticas de dispositivos, exfiltram dados de configuração ou implementem definições maliciosas em todos os utilizadores e dispositivos. Uma única conta de administrador comprometida pode afetar todo o ambiente. A ausência de administração delegada também prejudica o acesso menos privilegiado, dificultando a contenção de violações e a imposição de responsabilidade. Os atacantes podem explorar funções de administrador global ou atribuições de controlo de acesso baseado em funções (RBAC) configuradas incorretamente para ignorar as políticas de conformidade e obter um amplo controlo sobre a gestão de dispositivos.

A imposição de etiquetas de âmbito segmenta o acesso administrativo e alinha-o com os limites organizacionais. Isto limita o raio de explosão de contas comprometidas, suporta o acesso com menos privilégios e alinha-se com Confiança Zero princípios de segmentação, controlo baseado em funções e contenção.

Ação de correção

Utilize Intune etiquetas de âmbito e funções RBAC para limitar o acesso de administrador com base na função, geografia ou unidade empresarial:

• Saiba como criar e implementar etiquetas de âmbito para TI distribuídas
• Implementar o controlo de acesso baseado em funções com Microsoft Intune

As notificações de inscrição de dispositivos são impostas para garantir a deteção do utilizador e a integração segura

Sem notificações de inscrição de dispositivos, os utilizadores poderão não ter conhecimento de que o dispositivo foi inscrito no Intune, especialmente em casos de inscrição não autorizada ou inesperada. Esta falta de visibilidade pode atrasar a comunicação de atividades suspeitas por parte do utilizador e aumentar o risco de dispositivos não geridos ou comprometidos obterem acesso aos recursos da empresa. Os atacantes que obtêm credenciais de utilizador ou exploram fluxos de auto-inscrição podem integrar automaticamente dispositivos, ignorando o escrutínio do utilizador e permitindo a exposição de dados ou o movimento lateral.

As notificações de inscrição proporcionam aos utilizadores uma visibilidade melhorada sobre a atividade de inclusão de dispositivos. Ajudam a detetar a inscrição não autorizada, a reforçar práticas de aprovisionamento seguras e a suportar Confiança Zero princípios de visibilidade, verificação e envolvimento do utilizador.

Ação de correção

Configure Intune notificações de inscrição para alertar os utilizadores quando o dispositivo está inscrito e reforçar as práticas de inclusão seguras:

• Configurar notificações de inscrição no Intune

A inscrição automática de dispositivos windows é imposta para eliminar riscos de pontos finais não geridos

Se a inscrição automática do Windows não estiver ativada, os dispositivos não geridos podem tornar-se um ponto de entrada para os atacantes. Os atores de ameaças podem utilizar estes dispositivos para aceder a dados empresariais, ignorar políticas de conformidade e introduzir vulnerabilidades no ambiente. Os dispositivos associados a Microsoft Entra sem Intune inscrição criam lacunas na visibilidade e no controlo. Estes pontos finais não geridos podem expor fraquezas no sistema operativo ou aplicações configuradas incorretamente que os atacantes podem explorar.

A imposição da inscrição automática garante que os dispositivos Windows são geridos desde o início, permitindo uma imposição de política consistente e visibilidade sobre a conformidade. Isto suporta Confiança Zero ao garantir que todos os dispositivos são verificados, monitorizados e regidos por controlos de segurança.

Ação de correção

Ative a inscrição automática para dispositivos Windows com Intune e Microsoft Entra para garantir que todos os dispositivos associados a um domínio ou associados a Entra são geridos:

• Ativar a inscrição automática do Windows

Para saber mais, confira:

• Guia de implementação – Inscrição para Windows

As políticas de conformidade protegem os dispositivos Windows

Se as políticas de conformidade para dispositivos Windows não estiverem configuradas e atribuídas, os atores de ameaças podem explorar pontos finais não geridos ou não conformes para obter acesso não autorizado a recursos empresariais, ignorar controlos de segurança e persistir no ambiente. Sem a conformidade imposta, os dispositivos podem não ter configurações de segurança críticas, como encriptação BitLocker, requisitos de palavra-passe, definições de firewall e controlos de versão do SO. Estas lacunas aumentam o risco de fuga de dados, escalamento de privilégios e movimento lateral. A conformidade inconsistente do dispositivo enfraquece a postura de segurança da organização e dificulta a deteção e remediação de ameaças antes de ocorrerem danos significativos.

A imposição de políticas de conformidade garante que os dispositivos Windows cumprem os principais requisitos de segurança e suporta Confiança Zero ao validar o estado de funcionamento do dispositivo e reduzir a exposição a pontos finais mal configurados.

Ação de correção

Crie e atribua Intune políticas de conformidade a dispositivos Windows para impor normas organizacionais para acesso e gestão seguros:

• Criar e atribuir políticas de conformidade Intune
• Reveja as definições de conformidade do Windows que pode gerir com Intune

As políticas de conformidade protegem os dispositivos macOS

Se as políticas de conformidade para dispositivos macOS não estiverem configuradas e atribuídas, os atores de ameaças podem explorar pontos finais não geridos ou não conformes para obter acesso não autorizado a recursos empresariais, ignorar controlos de segurança e persistir no ambiente. Sem a conformidade imposta, os dispositivos macOS podem não ter configurações de segurança críticas, como encriptação de armazenamento de dados, requisitos de palavra-passe e controlos de versão do SO. Estas lacunas aumentam o risco de fuga de dados, escalamento de privilégios e movimento lateral. A conformidade inconsistente do dispositivo enfraquece a postura de segurança da organização e dificulta a deteção e remediação de ameaças antes de ocorrerem danos significativos.

A imposição de políticas de conformidade garante que os dispositivos macOS cumprem os principais requisitos de segurança e suporta Confiança Zero ao validar o estado de funcionamento do dispositivo e reduzir a exposição a pontos finais mal configurados.

Ações de correção

Crie e atribua Intune políticas de conformidade a dispositivos macOS para impor normas organizacionais para acesso e gestão seguros:

• Criar e atribuir políticas de conformidade Intune
• Reveja as definições de conformidade do macOS que pode gerir com Intune

As políticas de conformidade protegem dispositivos Android totalmente geridos e pertencentes à empresa

Se as políticas de conformidade não estiverem atribuídas a dispositivos Android Enterprise totalmente geridos no Intune, os atores de ameaças podem explorar pontos finais não conformes para obter acesso não autorizado a recursos empresariais, ignorar controlos de segurança e persistir no ambiente. Sem a conformidade imposta, os dispositivos podem não ter configurações de segurança críticas, tais como requisitos de código de acesso, encriptação de armazenamento de dados e controlos de versão do SO. Estas lacunas aumentam o risco de fuga de dados, escalamento de privilégios e movimento lateral. A conformidade inconsistente do dispositivo enfraquece a postura de segurança da organização e dificulta a deteção e remediação de ameaças antes de ocorrerem danos significativos.

A imposição de políticas de conformidade garante que os dispositivos Android Enterprise cumprem os principais requisitos de segurança e suporta Confiança Zero ao validar o estado de funcionamento do dispositivo e reduzir a exposição a pontos finais mal configurados ou não geridos.

Ação de correção

Crie e atribua Intune políticas de conformidade a dispositivos Android Enterprise totalmente geridos e pertencentes à empresa para impor normas organizacionais para acesso e gestão seguros:

• Criar uma política de conformidade no Microsoft Intune
• Reveja as definições de conformidade do Android Enterprise que pode gerir com Intune

As políticas de conformidade protegem dispositivos Android pessoais

Se as políticas de conformidade não forem atribuídas a dispositivos pessoais do Android Enterprise no Intune, os atores de ameaças podem explorar pontos finais não conformes para obter acesso não autorizado a recursos empresariais, ignorar controlos de segurança e introduzir vulnerabilidades. Sem a conformidade imposta, os dispositivos podem não ter configurações de segurança críticas, como requisitos de código de acesso, encriptação de armazenamento de dados e controlos de versão do SO. Estas lacunas aumentam o risco de fuga de dados e acesso não autorizado. A conformidade inconsistente do dispositivo enfraquece a postura de segurança da organização e dificulta a deteção e remediação de ameaças antes de ocorrerem danos significativos.

A imposição de políticas de conformidade garante que os dispositivos Android pessoais cumprem os principais requisitos de segurança e suportam Confiança Zero ao validar o estado de funcionamento do dispositivo e reduzir a exposição a pontos finais mal configurados ou não geridos.

Ação de correção

Crie e atribua Intune políticas de conformidade a dispositivos pessoais do Android Enterprise para impor normas organizacionais para acesso seguro e gestão:

• Criar uma política de conformidade no Microsoft Intune
• Reveja as definições de conformidade do Android Enterprise que pode gerir com Intune

As políticas de conformidade protegem dispositivos iOS/iPadOS

Se as políticas de conformidade não forem atribuídas a dispositivos iOS/iPadOS no Intune, os atores de ameaças podem explorar pontos finais não conformes para obter acesso não autorizado a recursos empresariais, ignorar controlos de segurança e persistir no ambiente. Sem a conformidade imposta, os dispositivos podem não ter configurações de segurança críticas, como requisitos de código de acesso e controlos de versão do SO. Estas lacunas aumentam o risco de fuga de dados, escalamento de privilégios e movimento lateral. A conformidade inconsistente do dispositivo enfraquece a postura de segurança da organização e dificulta a deteção e remediação de ameaças antes de ocorrerem danos significativos.

A imposição de políticas de conformidade garante que os dispositivos iOS/iPadOS cumprem os principais requisitos de segurança e suporta Confiança Zero ao validar o estado de funcionamento do dispositivo e reduzir a exposição a pontos finais mal configurados ou não geridos.

Ação de correção

Crie e atribua Intune políticas de conformidade a dispositivos iOS/iPadOS para impor normas organizacionais para acesso e gestão seguros:

• Criar uma política de conformidade no Microsoft Intune
• Reveja as definições de conformidade do iOS/iPadOS que pode gerir com Intune

O SSO da plataforma está configurado para reforçar a autenticação em dispositivos macOS

Se as políticas de SSO da Plataforma não forem impostas em dispositivos macOS, os pontos finais poderão depender de mecanismos de autenticação inseguros ou inconsistentes, permitindo que os atacantes ignorem o Acesso Condicional e as políticas de conformidade. Esta ação abre a porta ao movimento lateral entre os serviços cloud e os recursos no local, especialmente quando são utilizadas identidades federadas. Os atores de ameaças podem persistir tirando partido de tokens roubados ou credenciais em cache e exfiltrar dados confidenciais através de aplicações não geridas ou sessões do browser. A ausência de imposição de SSO também prejudica as políticas de proteção de aplicações e as avaliações da postura do dispositivo, dificultando a deteção e a contenção de violações. Em última análise, a falha ao configurar e atribuir políticas de SSO da Plataforma macOS compromete a segurança de identidade e enfraquece a postura Confiança Zero da organização.

A imposição de políticas de SSO da Plataforma em dispositivos macOS garante uma autenticação consistente e segura entre aplicações e serviços. Isto reforça a proteção de identidade, suporta a imposição de Acesso Condicional e alinha-se com Confiança Zero ao reduzir a dependência das credenciais locais e melhorar as avaliações da postura.

Ação de correção

Utilize Intune para configurar e atribuir políticas de SSO da Plataforma para dispositivos macOS para impor a autenticação segura e reforçar a proteção de identidade. Veja:

• Configurar o SSO da Plataforma para macOS no Intune – documentação de orientação passo a passo para ativar o SSO da Plataforma em dispositivos macOS.
• Descrição geral do início de sessão único (SSO) e opções para dispositivos Apple no Microsoft Intune – Descrição geral das opções de SSO disponíveis para plataformas Apple.

A inscrição automática do Defender para Endpoint é imposta para reduzir o risco de ameaças android não geridas

Se a inscrição automática no Microsoft Defender para Ponto de Extremidade não estiver configurada para dispositivos Android no Intune, os pontos finais geridos poderão permanecer desprotegidos contra ameaças móveis. Sem a inclusão do Defender, os dispositivos carecem de capacidades avançadas de deteção e resposta a ameaças, aumentando o risco de software maligno, phishing e outros ataques baseados em dispositivos móveis. Os dispositivos desprotegidos podem ignorar políticas de segurança, aceder a recursos empresariais e expor dados confidenciais a comprometimento. Esta lacuna na defesa contra ameaças para dispositivos móveis enfraquece a postura Confiança Zero da organização e reduz a visibilidade para o estado de funcionamento dos pontos finais.

Ativar a inscrição automática do Defender garante que os dispositivos Android estão protegidos por capacidades avançadas de deteção de ameaças e resposta. Isto suporta Confiança Zero ao impor a proteção contra ameaças para dispositivos móveis, melhorar a visibilidade e reduzir a exposição a pontos finais não geridos ou comprometidos.

Ação de correção

Utilize Intune para configurar a inscrição automática no Microsoft Defender para Ponto de Extremidade para dispositivos Android para impor a proteção contra ameaças para dispositivos móveis:

• Integrar Microsoft Defender para Ponto de Extremidade com dispositivos de Intune e integração

As regras de limpeza do dispositivo mantêm a higiene do inquilino ao ocultar dispositivos inativos

Se as regras de limpeza do dispositivo não estiverem configuradas no Intune, os dispositivos obsoletos ou inativos podem permanecer visíveis no inquilino indefinidamente. Isto leva a listas de dispositivos desordenadas, relatórios imprecisos e visibilidade reduzida no panorama do dispositivo ativo. Os dispositivos não utilizados podem reter credenciais de acesso ou tokens, aumentando o risco de acesso não autorizado ou decisões de políticas mal informadas.

As regras de limpeza do dispositivo ocultam automaticamente os dispositivos inativos das vistas de administração e dos relatórios, melhorando a higiene dos inquilinos e reduzindo a carga administrativa. Isto suporta Confiança Zero ao manter um inventário de dispositivos preciso e fidedigno, preservando os dados históricos para auditoria ou investigação.

Ação de correção

Configure Intune regras de limpeza do dispositivo para ocultar automaticamente dispositivos inativos do inquilino:

• Criar uma regra de limpeza do dispositivo

Para saber mais, confira:

• Utilizar Intune regras de limpezade dispositivos no blogue do Microsoft Tech Community

As políticas de Termos e Condições protegem o acesso a dados confidenciais

Se as políticas de Termos e Condições não estiverem configuradas e atribuídas em Intune, os utilizadores podem aceder a recursos empresariais sem concordar com os termos legais, de segurança ou de utilização necessários. Esta omissão expõe a organização a riscos de conformidade, responsabilidades legais e potencial utilização indevida de recursos.

A imposição dos Termos e Condições garante que os utilizadores reconhecem e aceitam políticas da empresa antes de acederem a dados ou sistemas confidenciais, suportando a conformidade regulamentar e a utilização responsável de recursos.

Ação de correção

Crie e atribua políticas de Termos e Condições no Intune exigir a aceitação do utilizador antes de conceder acesso aos recursos empresariais:

• Criar política de termos e condições

Portal da Empresa definições de imagem corporativa e suporte melhoram a experiência e a confiança do utilizador

Se a imagem corporativa Portal da Empresa do Intune não estiver configurada para representar os detalhes da sua organização, os utilizadores poderão encontrar uma interface genérica e não ter informações de suporte direto. Isto reduz a confiança do utilizador, aumenta a sobrecarga do suporte e pode causar confusão ou atrasos na resolução de problemas.

Personalizar a Portal da Empresa com a imagem corporativa e os detalhes de contacto de suporte da sua organização melhora a confiança dos utilizadores, simplifica o suporte e reforça a legitimidade das comunicações de gestão de dispositivos.

Ação de correção

Configure o Portal da Empresa do Intune com as informações de contacto de imagem corporativa e suporte da sua organização para melhorar a experiência do utilizador e reduzir a sobrecarga de suporte:

• Configurar o Portal da Empresa do Intune

O Endpoint Analytics está ativado para ajudar a identificar riscos em dispositivos Windows

Se a análise de pontos finais não estiver ativada, os atores de ameaças podem explorar lacunas no estado de funcionamento, no desempenho e na postura de segurança do dispositivo. Sem a análise de pontos finais de visibilidade, pode ser difícil para uma organização detetar indicadores como comportamento anómalo do dispositivo, aplicação de patches atrasada ou desfasamento da configuração. Estas lacunas permitem que os atacantes estabeleçam persistência, aumentem os privilégios e se movam lateralmente pelo ambiente. A ausência de dados de análise pode impedir a deteção e resposta rápidas, permitindo que os atacantes explorem pontos finais não monitorizados para comando e controlo, transferência de dados não autorizada ou compromisso adicional.

Ativar a análise de pontos finais fornece visibilidade sobre o estado de funcionamento e comportamento do dispositivo, ajudando as organizações a detetar riscos, responder rapidamente a ameaças e manter uma postura Confiança Zero forte.

Ação de correção

Inscreva dispositivos Windows na análise de pontos finais no Intune para monitorizar o estado de funcionamento do dispositivo e identificar os riscos:

• Configurar a análise de pontos finais

Para saber mais, confira:

• O que é a análise de pontos finais?

Conteúdo relacionado

• Guia de implementação para Microsoft Intune
• Proteger dados e dispositivos com o Microsoft Intune
• Configurar Microsoft Entra para maior segurança (Pré-visualização)