Gerenciar perfis de linha de base de segurança no Microsoft Intune

Para ajudar a proteger os seus utilizadores e dispositivos Windows, pode configurar e implementar instâncias distintas de perfis de linha de base de segurança Microsoft Intune para diferentes grupos de utilizadores e dispositivos Windows. Existem linhas de base diferentes para diferentes produtos e cada um deles é um grupo de definições pré-configuradas que representam a postura de segurança recomendada dessa equipa de segurança de produtos. Pode implementar uma linha de base predefinida (não modificada) ou personalizar os seus perfis para configurar dispositivos com as definições necessárias para a sua organização.

Para obter uma lista das linhas de base de segurança disponíveis, veja Descrição geral das linhas de base de segurança.

Esse recurso aplica-se a:

• Windows 11
• Windows 10 versão 1809 e posterior

Descrição geral das linhas de base de segurança

Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo composto por várias definições de configuração de dispositivo.

Quando existem várias versões para uma linha de base de segurança, apenas a versão mais recente pode ser utilizada para criar uma nova instância dessa linha de base. Pode continuar a utilizar instâncias de linhas de base mais antigas que criou anteriormente e editar os grupos aos quais foram atribuídas. No entanto, as versões desatualizadas não suportam alterações às respetivas configurações de definição. Em vez disso, crie novas linhas de base que utilizem a versão de linha de base mais recente ou atualize as linhas de base mais antigas para essa versão mais recente se precisar de introduzir novas configurações para as definições.

Recomendamos que atualize as versões de linha de base mais antigas para a versão mais recente assim que for prático. Uma versão mais recente pode:

• Inclua novas definições que não estavam disponíveis nas versões mais antigas.
• Extinga e remova as definições antigas que já não são suportadas.
• Altere a configuração predefinida para que as definições se alinhem com as recomendações de segurança atuais do produto aplicável.

Tarefas comuns ao trabalhar com linhas de base de segurança incluem:

• Criar uma nova instância de perfil – configure as definições que pretende utilizar e atribua a linha de base a grupos.
• Atualizar uma linha de base de versão mais antiga para a versão de linha de base mais atual – altere a versão de linha de base em utilização por um perfil.
• Remover uma atribuição de linha de base – Saiba o que acontece quando você para de gerenciar as configurações com uma linha de base de segurança.

Pré-requisitos

Descubra o que precisa para gerir Intune linhas de base de segurança.

Licenciamento

• A utilização de Intune para implementar linhas de base de segurança requer uma subscrição Microsoft Intune (plano 1). Veja Microsoft Intune licenciamento.

  Dica

  Intune fornece uma interface de utilizador fácil de utilizar para configurar e implementar linhas de base de segurança, mas não cria nem define as linhas de base de segurança. Fora do Intune, estão disponíveis outras opções para implementar linhas de base de segurança, como as disponíveis no Toolkit de Conformidade de Segurança.

• A utilização de linhas de base através de Intune requer que tenha uma subscrição ativa para o produto gerido, quando aplicável. Por exemplo, a utilização da linha de base Microsoft Defender para Ponto de Extremidade não concede direitos de utilização Microsoft Defender. Em vez disso, a linha de base fornece um método para configurar e gerir definições que estão presentes em dispositivos licenciados e geridos por Microsoft Defender para Ponto de Extremidade.

Controlos de acesso baseados em funções para gerir linhas de base de segurança Intune

Para gerir linhas de base de segurança no Intune, tem de ser atribuída à sua conta uma função de controlo de acesso baseado em funções (RBAC) Intune que inclua as seguintes categorias e permissões suficientes para concluir a tarefa pretendida:

• Organização:

  • Leitura

• Linhas de base de segurança:

  • Atribuir
  • Criar
  • Excluir
  • Leitura
  • Atualizar

Pode adicionar estas permissões às suas próprias funções RBAC personalizadas ou utilizar uma Intune função RBAC incorporada.

A função de Intune incorporada com menos privilégios que suporta a gestão de linhas de base de segurança é o Gestor de Políticas e Perfis.

Criar um perfil para uma linha de base de segurança

A seguinte documentação de orientação pode ser utilizada sempre que criar um novo perfil de linha de base de segurança.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança de ponto de extremidade>Linhas de base de segurança para ver a lista de linhas de base disponíveis.

   

3. Selecione a linha de base que pretende utilizar e, em seguida, selecione Criar política.

4. Na guia Básico, especifique as seguintes propriedades:

   • Nome: insira um nome do perfil de linhas de base de segurança. Por exemplo, insira Perfil padrão para Defender para Ponto de Extremidade.

   • Descrição: insira algum texto que descreva a função dessa linha de base. A descrição serve para você inserir o texto que quiser. É opcional, mas recomendado.

   Selecione Seguinte para ir para o separador seguinte. Depois de avançar para um novo separador, pode selecionar o nome do separador para regressar a um separador visualizado anteriormente.

5. No separador Definições de configuração , veja os grupos de Definições que estão disponíveis na linha de base que selecionou. É possível expandir um grupo para ver as configurações dele e os valores padrão dessas configurações na linha de base. Para localizar configurações específicas:

   • Selecione um grupo para expandir e verificar as configurações disponíveis.
   • As informações de uma definição estão disponíveis ao lado de um ícone de lâmpada. As informações de definições fornecem confiança nas configurações ao adicionar informações que organizações semelhantes adotaram com êxito. As informações estão disponíveis para algumas definições e não para todas as definições. Para obter mais informações, veja Informações sobre definições.
   • Utilize a Barra de pesquisa e especifique palavras-chave que filtram a vista para ver apenas os grupos que contêm os critérios de pesquisa.

   Cada definição numa linha de base tem uma configuração predefinida predefinida para essa versão de linha de base. Alguns não estão configurados, enquanto outros estão definidos para configurar valores ou condições específicos num dispositivo. As predefinições predefinidas encontradas numa linha de base representam a postura de segurança recomendada da equipa de segurança desse produto. Ao configurar uma linha de base:

   • Certifique-se de que revê cada definição e, quando necessário, reconfigure uma predefinição predefinida quando a sua empresa precisar de uma configuração diferente.
   • Tenha em atenção que diferentes tipos de linha de base e versões podem incluir definições que também estão noutras linhas de base e cada uma pode recomendar um valor predefinido diferente para uma definição.

   

6. Na guia Marcas de escopo, selecione Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

7. No separador Atribuições , selecione Selecionar grupos a incluir e, em seguida, atribua a linha de base a um ou mais grupos. Use Selecionar grupos para excluir a fim de ajustar a atribuição.

   Observação

   As linhas de base de segurança são atribuídas a grupos de utilizadores ou grupos de dispositivos com base no âmbito das definições que estão a ser utilizadas. Por este motivo, podem ser necessárias várias linhas de base ao atribuir definições baseadas no utilizador e no dispositivo.

   

8. Quando estiver pronto para implantar a linha de base, avance até a guia Revisar + criar para examinar os detalhes da linha de base. Selecione Criar para salvar e implantar o perfil.

   Assim que criar o perfil, Intune envia-o para o grupo atribuído, que o aplica imediatamente.

   Dica

   Se você salvar um perfil sem primeiro atribuí-lo aos grupos, poderá editar o perfil posteriormente para fazer isso.

   

9. Depois de criar o perfil, edite-o acessando Segurança do ponto de extremidade>Linhas de base de segurança, depois selecione o tipo da linha de base que você configurou e selecione Perfis. Selecione o perfil na lista de perfis disponíveis e, em seguida, selecione Propriedades. Pode editar as definições de todos os separadores de configuração disponíveis e selecionar Rever + guardar para consolidar as alterações.

Atualizar um perfil de linha de base para a versão mais recente

Quando uma nova versão de uma linha de base ficar disponível, planeie atualizar os perfis existentes para a nova versão.

Quando é lançada uma nova versão de qualquer tipo de linha de base:

• Os perfis existentes para esse tipo de linha de base não atualizam automaticamente para a nova versão.
• As definições nos perfis existentes tornam-se só de leitura. Embora possa continuar a utilizar esses perfis e editar o respetivo nome, descrição e atribuições, não pode modificar a configuração de quaisquer definições nos mesmos.

Quando atualiza a versão de um perfil de linha de base:

• Atualizações utilizar sempre a versão mais recente disponível do mesmo tipo de linha de base. Não pode atualizar uma linha de base para nada além da versão lançada mais recentemente.

• O processo de atualização cria uma nova instância da linha de base com base na versão mais recente como uma cópia lado a lado do perfil original. Como parte da atualização, tem a opção de:

  • Manter personalizações – Intune aplica todas as personalizações de definições da linha de base original que está a atualizar para o novo modelo de linhas de base. O resultado é que a nova instância de linha de base retém (inclui) todas as modificações específicas da sua organização.
  • Eliminar personalizações – Intune cria uma nova instância de linha de base "predefinida" com a nova versão. Nenhuma das suas personalizações de definições é aplicada automaticamente.

• Durante a atualização, tem de fornecer um nome à nova instância, mas não pode editar os outros detalhes no perfil até que seja criada. As etiquetas de âmbito e as atribuições não são transportadas e permanecem em branco. No entanto, pode rever as definições de configuração do perfil antes de guardá-lo.

Após a conclusão do processo de atualização:

• Pode editar a nova instância de linha de base, incluindo a personalização de definições, a adição de atribuições e a configuração de etiquetas de âmbito.
• A linha de base original permanece inalterada e mantém as respetivas configurações de definição, nome, etiquetas de âmbito e atribuições. Para evitar conflitos de configuração, certifique-se de que remove configurações como etiquetas de âmbito e atribuições da instância de linha de base original ao adicionar o mesmo à linha de base atualizada.
• Assim que a versão de linha de base mais antiga já não estiver atribuída a nenhum grupo, pode eliminá-la do seu inquilino, se assim o preferir.

Atualizar uma linha base para a versão mais recente

Aplica-se à atualização de um perfil de linha de base criado em maio de 2023 ou posterior.

1. Inicie sessão no centro de administração do Microsoft Intune e aceda aLinhas> de base de Segurança de ponto> finalselecione o tipo de linha de base com o perfil que pretende atualizar. Na página Perfis de linhas de base, selecione a caixa de verificação da instância de linha de base que pretende atualizar e, em seguida, selecione Atualizar Versão. Intune apresenta o painel Atualizar Versão.

2. No painel Atualizar Versão , selecione o método de atualização a utilizar:

   • Aceitar alterações de linha de base, mas manter as personalizações das definições existentes – cria uma nova instância do perfil de linha de base com a versão mais recente. As definições personalizadas atuais são preservadas e aplicadas ao novo perfil.
   • Aceitar alterações de linha de base e eliminar personalizações de definições existentes – cria uma nova instância do perfil de linha de base com a versão mais recente. Nenhuma das personalizações do perfil que está a ser atualizado é adicionada ao novo perfil. O novo perfil utiliza a configuração de predefinições.

   Depois de selecionar um método de atualização, selecione Criar para abrir o fluxo de trabalho Política de Atualização para o novo perfil de linha de base que está a criar.

3. No separador Informações básicas, especifique um Nome para este novo perfil. O campo Descrição já está preenchido, mas pode ser editado neste momento.

4. No separador Definições de configuração , pode rever a configuração das definições da linha de base. Se optar por manter as personalizações de definições existentes, vê-las aqui e pode fazer outras personalizações se assim o preferir.

5. Para etiquetas de Âmbito, a configuração é opcional. O processo de atualização não aplica as etiquetas de âmbito do perfil mais antigo a este novo perfil. Pode optar por configurar as etiquetas de âmbito agora ou voltar a editar o perfil para as adicionar mais tarde.

6. Para Atribuições, planeie atribuir o novo perfil a grupos de utilizadores ou grupos de dispositivos. O processo de atualização não aplica as atribuições do perfil mais antigo a este novo perfil. Pode optar por configurar atribuições para este perfil agora e voltar a editar o perfil e adicioná-las mais tarde.

   Se configurar atribuições neste momento, planeie rever as atribuições de perfis mais antigos para removê-las ou modificá-las conforme necessário para evitar a criação de conflitos entre os perfis antigos e os novos.

   Observação

   As linhas de base de segurança são atribuídas a grupos de utilizadores ou grupos de dispositivos com base no âmbito das definições que estão a ser utilizadas. Por este motivo, podem ser necessárias várias linhas de base ao atribuir definições baseadas no utilizador e no dispositivo.

7. No separador Rever , reveja os detalhes da linha de base e, em seguida, selecione Criar para guardar o novo perfil.

   Quando guardado, um perfil é implementado imediatamente em todos os grupos atribuídos.

Testar a linha de base atualizada

Durante a atualização de uma linha de base, Intune cria uma cópia do perfil original, mas não inclui as atribuições de grupo. Isto significa que a nova instância de linha de base não é implementada em nenhum dispositivo no momento em que efetua uma cópia ou no momento em que a atualiza para uma nova versão. Depois de atualizar o perfil para a versão mais recente, pode editar as definições nessa nova instância de perfil. Isto inclui atribuir o novo perfil de linha de base a grupos de dispositivos e editar as definições de perfis para satisfazer as expectativas da sua organização.

Atualizar linhas de base feitas antes de maio de 2023 para uma versão de linha de base lançada em maio de 2023 ou posterior

Depois de maio de 2023, quando for lançada uma nova versão para uma linha de base, planeie atualizar os perfis existentes para a nova versão. Ao passar de um formato mais antigo para o novo formato de linha de base (de uma versão lançada antes de maio de 2023 para uma lançada em maio de 2023 ou posterior):

• Todos os novos perfis do tipo de linha de base, como o Microsoft Edge, utilizam o novo formato. A criação de uma nova linha de base que utiliza uma versão de linha de base mais antiga não é suportada.

• As versões de linha de base lançadas antes de maio de 2023 não atualizam para o novo formato. Em vez disso, crie um novo perfil que utilize o novo formato e configure as definições da linha de base antiga nesse novo formato de linha de base. A recriação do perfil é um processo único que é necessário para mover uma linha de base do formato antigo para o novo formato de linha de base.

  Para ajudá-lo neste processo, Intune pode exportar o perfil antigo para um formato CSV que identifica cada definição com base no nome da definição tal como aparece na nova versão do perfil, juntamente com a respetiva configuração.

• Depois de criar uma nova linha de base que pode substituir a versão de linha de base mais antiga, o perfil mais antigo permanece inalterado e pode continuar a utilizá-la. Pode continuar a implementar, reatribuir e editar as definições no formato de linha de base mais antigo.

  Dica

  O suporte para editar definições numa versão de linha de base mais antiga depois de atualizar para uma nova versão é uma alteração do comportamento anterior. Este comportamento só é possível ao passar das versões de linhas de base criadas antes de maio de 2023 para as versões criadas em maio de 2023 ou posterior, porque o novo formato de linha de base existe lado a lado com o formato de linha de base mais antigo em vez de o substituir. Mais tarde, ao atualizar uma instância de linha de base criada em maio de 2023 ou posterior para uma versão mais recente, o comportamento original em que não pode editar as definições na versão mais antiga devolve.

  Recomendamos que planeie descontinuar a utilização do formato mais antigo e implementar um perfil com base na versão mais recente o mais rapidamente possível. Os perfis mais antigos não recebem atualizações enquanto as versões mais recentes forem lançadas em maio de 2023:

  • Utilize o novo formato de definições no Intune IU que se alinha diretamente com a origem do fornecedor de serviços de configuração (CSP) para cada definição.
  • Estão pré-configuradas com configurações predefinidas recomendadas pelas equipas de segurança relevantes.

Atualizar uma linha de base para o novo formato

Para atualizar uma linha de base criada antes de maio de 2023 para o novo formato, tem de criar uma nova instância de linha de base. Para ajudá-lo a recriar a configuração das linhas de base originais, pode ter Intune exportar a configuração das linhas de base atuais como um ficheiro de .CSV. As exportações incluem:

• Cada definição da linha de base mais antiga é identificada com o nome da definição tal como aparece na nova linha de base. Embora o nome da definição não seja apresentado no texto literal na .csv, pode encontrar o caminho para a definição, que contém parte do nome da definição na mesma.
• Como cada definição na linha de base mais antiga foi configurada.
• Se a configuração de uma definição da linha de base antiga corresponder à configuração predefinida da nova linha de base.

Com as informações de uma exportação, pode reconfigurar rapidamente a nova linha de base para utilizar os mesmos valores que a instância de linha de base mais antiga.

1. Inicie sessão no centro de administração do Microsoft Intune e aceda aLinhas> de base de Segurança de ponto> finalselecione o tipo de linha de base e, em seguida, selecione a caixa de verificação do perfil de linha de base (instância) que pretende replicar no novo formato de linha de base e, em seguida, selecione Alterar Versão. Intune apresenta o painel Alterar Versão.

   A captura de ecrã seguinte apresenta uma vista da Linha de Base de Segurança do Microsoft Edge. Temos dois perfis neste momento. Um deles é um novo perfil para o Microsoft Edge v112 e o outro é um perfil mais antigo a partir de setembro de 2020. O perfil mais antigo também apresenta um ícone de seta para indicar que existe uma versão mais recente para substituí-la.

   

2. No painel Alterar Versão , existem instruções para mover os detalhes de configuração da linha de base mais antiga para um perfil que utiliza o novo formato. O painel também identifica o nome e a versão das linhas de base selecionadas e qual é a versão de linha de base mais recente.

   1. Selecione Exportar Definições de Perfil para criar um ficheiro de .csv que lista as definições na linha de base selecionada, juntamente com as configurações atuais, caso não estejam definidas para a predefinição de linhas de base. Quando seleciona a opção para exportar os detalhes da linha de base, Intune prepara a exportação e, em seguida, requer que aceite continuar. Selecione Sim para transferir a exportação de ficheiros .CSV.

   2. Após a transferência do ficheiro, pode abri-lo para ver a configuração atual das linhas de base mais antigas.

   O painel Alterar Versão também inclui um botão para Criar um novo perfil para a linha de base selecionada, que tem a mesma função que a opção Criar perfil que é mais frequentemente utilizada para criar novas instâncias de linha de base.

   A captura de ecrã seguinte mostra uma exportação para a versão 85 do perfil do Microsoft Edge, conforme visualizado no Microsoft Excel. Das novas definições de linhas de base do Microsoft Edge 17 que foram encontradas no perfil mais antigo, apenas uma definição é alterada: Ativar o isolamento do site para cada site foi definida como Desativado na linha de base mais antiga. Na linha de base mais recente, a predefinição é agora Ativada:

   

   Na imagem anterior, existem três colunas de informações. As informações identificam as definições no perfil antigo e a configuração de cada uma delas que tinha no perfil antigo.

   • DefinitionId – esta coluna apresenta o nome do registo de definições. As informações após o caráter de sublinhado ( _ ) identificam o nome das definições tal como aparecem no perfil e formato de linha de base antigos, mas sem espaços no nome. Este valor é também o nome da definição CSP que esta definição de linha de base gere.

     Por exemplo, a nossa definição modificada de Ativar isolamento de site para cada site aparece nesta exportação como admx--microsoftedge_SitePerProcess. A última parte, SitePerProcess, ajuda a identificar a definição.

   • defaultJson – esta coluna identifica a configuração predefinida para esta definição, conforme visto no novo formato de linha de base. A nossa definição de exemplo para o CSP SitePerProcess está definida como ativada por predefinição .

   • customizedJson – a coluna final apresenta a configuração de cada definição da versão de perfil mais antiga. Estas informações ajudam-no a compreender que definições no novo perfil necessitam de modificação para corresponder à configuração dos perfis mais antigos. A nossa definição de exemplo foi definida como desativada. Todas as outras definições apresentam "NotApplicable", uma vez que não foram modificadas a partir da configuração predefinida na versão de linha de base mais antiga que temos utilizado.

   Poderá ter em atenção que o perfil de linha de base do Microsoft Edge atualizado tem mais do que as 17 definições encontradas no perfil mais antigo. A exportação da linha de base não identifica estas novas definições, uma vez que não estavam disponíveis na versão de linha de base mais antiga que está a rever.

   Mais tarde, quando criar e configurar o novo perfil, pode utilizar a lista da exportação CSV para garantir que cada definição do perfil anterior é definida no novo perfil com a mesma configuração.

Atualizar linhas de base mais antigas para uma versão mais recente quando a versão mais recente anterior a maio de 2023

Quando uma nova versão de uma linha de base ficar disponível, planeie atualizar os perfis existentes para a nova versão:

• Os perfis existentes não são atualizados automaticamente para novas versões.
• As definições nos perfis de linha de base que não utilizam a versão mais recente tornam-se só de leitura. Pode continuar a utilizar esses perfis mais antigos, incluindo a edição do respetivo nome, descrição e atribuições. No entanto, não pode editar as definições nas mesmas nem criar novos perfis com base nessas versões mais antigas.

Recomendamos que você teste a atualização da versão em uma cópia de seus perfis existentes antes de atualizar seus perfis ativos.

Quando você altera a versão do perfil:

• Você seleciona a instância mais recente da mesma linha de base. Não é possível fazer uma alteração entre dois tipos de linha de base diferentes, como fazer com que um perfil deixe de usar linha de base do Defender para Ponto de Extremidade e passe a usar a linha de base de segurança do MDM.

• Pode exportar e transferir um ficheiro CSV que lista as alterações entre as duas versões de linha de base envolvidas.

• Você escolhe como atualizar o perfil:

  • Você pode manter todas as suas personalizações da versão de linha de base original.
  • Você pode optar por usar os valores padrão para todas as configurações na nova versão de linha de base.

  Você não tem a opção de alterar apenas algumas configurações em um perfil durante a atualização.

Durante a conversão:

• Novas configurações que não estavam na versão mais antiga que você estava usando são adicionadas. Todas as novas definições da nova versão utilizam os respetivos valores predefinidos.

• As configurações que não estão na nova versão de linha de base selecionada são removidas e não são mais aplicadas por esse perfil de linha de base de segurança.

  Quando uma configuração não for mais gerenciada por um perfil de linha de base, ela não será redefinida no dispositivo. Em vez disso, a configuração no dispositivo permanece definida para sua última configuração até que algum outro processo gerencie a configuração para alterá-la. Exemplos de processos que podem alterar uma definição depois de deixar de a gerir incluem um perfil de linha de base diferente, uma definição de política de grupo ou uma configuração manual que foi aplicada no dispositivo.

Após a conclusão da conversão para a nova versão da linha de base:

• A linha de base é reimplantada imediatamente nos grupos atribuídos.
• Você pode editar a linha de base para alterar configurações individuais.

Testar a linha de base convertida e atualizada

Antes de atualizar um perfil de linha de base para uma nova versão, crie uma cópia dele para que você possa testar a nova versão de seu perfil em um grupo de dispositivos. Confira Duplicar uma linha de base de segurança mais adiante neste artigo.

• Quando cria uma cópia, as atribuições de grupo não são incluídas, o que significa que a cópia de linha de base não é implementada em nenhum dispositivo no momento em que efetua uma cópia ou no momento em que a atualiza para uma nova versão.
• Depois de atualizar o perfil para a versão mais recente, você pode editar suas configurações. Você pode atribuir a cópia atualizada a um grupo de dispositivos e editá-la para introduzir alterações em configurações individuais no perfil.

Para alterar a versão da linha de base de um perfil

Antes de atualizar a versão de um perfil que atribuiu grupos, teste a atualização de versão numa cópia do perfil para que possa validar as novas definições de linhas de base no grupo de teste de dispositivos.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança de ponto de extremidade>Linhas de base de segurança, e selecione o bloco do tipo de linha de base com o perfil que você deseja alterar.

3. Em seguida, selecione Perfis, marque a caixa de seleção do perfil que você quer editar e selecione Alterar Versão.

   

4. No painel ​​Alterar Versão, use o menu suspenso Selecionar uma linha de base de segurança para a qual atualizar e selecione a instância da versão que você deseja usar.

   

5. Selecione Rever atualização para transferir um ficheiro CSV que apresente a diferença entre a versão atual do perfil e a nova versão. Revise esse arquivo para entender quais configurações são novas ou foram removidas e quais são os valores padrão para essas configurações no perfil atualizado.

   Quando estiver pronto, prossiga para a próxima etapa.

6. Escolha uma das duas opções para Selecionar um método para atualizar o perfil:

   • Aceitar alterações de linha de base, mas manter minhas personalizações de configuração existentes – Essa opção mantém as personalizações feitas no perfil da linha de base e as aplica à nova versão selecionada para uso.
   • Aceitar alterações de linha de base e descartar personalizações de configurações existentes – Esta opção substitui completamente o seu perfil original. O perfil atualizado utiliza os valores predefinidos para todas as definições.

7. Selecione Enviar. O perfil é atualizado para a versão de linha de base selecionada e, após a conclusão da conversão, a linha de base é imediatamente reimplementada aos grupos atribuídos.

Remover uma atribuição de linha de base de segurança

Quando uma definição de linha de base de segurança já não se aplica a um dispositivo ou as definições numa linha de base estão definidas como Não configuradas, essas definições num dispositivo podem não reverter a uma configuração pré-gerida, dependendo das definições na linha de base de segurança. As configurações são baseadas em CSPs, e cada CSP pode lidar com a remoção de perfil de forma diferente.

Outros processos que podem alterar posteriormente as configurações no dispositivo incluem uma linha de base de segurança diferente ou nova, um perfil de configuração de dispositivo, configurações de Política de Grupo ou a edição manual da configuração no dispositivo.

Duplicar uma linha de base de segurança

Você pode criar duplicatas de suas linhas de base de segurança. Duplicar uma linha de base pode ser útil quando você deseja atribuir uma linha de base semelhante, mas distinta, a um subconjunto de dispositivos. Ao criar um duplicado, não precisa de recriar manualmente toda a linha de base. Em vez disso, duplique qualquer uma das suas linhas de base atuais e, em seguida, introduza apenas as alterações exigidas pela nova instância. Você pode alterar apenas uma configuração específica e o grupo ao qual a linha de base está atribuída.

Quando criar um duplicado, atribua um novo nome à cópia. A cópia é efetuada com as mesmas configurações de definição e etiquetas de âmbito que o original, mas não tem atribuições. Tem de editar a nova linha de base para adicionar atribuições.

Todas as linhas de base de segurança suportam a criação de duplicados.

Depois de duplicar uma linha de base, examine e edite a nova instância para fazer alterações em sua configuração.

Para duplicar uma linha de base

1. Entre no Centro de administração do Microsoft Intune.
2. Vá para Segurança de ponto de extremidade>Linhas de base de segurança, selecione o tipo de linha de base que você deseja duplicar e, em seguida, selecione Perfis.
3. Clique com o botão direito do mouse no perfil que você deseja duplicar e selecione Duplicar ou selecione as reticências (…) à direita da linha de base e selecione Duplicar.
4. Forneça um Novo nome para a linha de base e selecione Salvar.

Após uma Atualização, o novo perfil de linha de base aparecerá no centro de administração.

Para editar uma linha de base

1. Selecione a linha de base e, em seguida, selecione Propriedades.

2. Nessa exibição, você pode selecionar Editar para as seguintes categorias para modificar o perfil:

   • Noções básicas
   • Atribuições
   • Marcas de escopo
   • Definição de configurações

   Você pode Editar os Parâmetros de configuração somente quando o perfil usa a versão mais recente da linha de base de segurança. Para perfis que usam versões mais antigas, você pode expandir as Configurações para exibir as configurações no perfil, mas não pode modificá-las. Após o perfil ser atualizado para a versão de linha de base mais recente, você poderá editar duas configurações.

3. Depois de fazer alterações, selecione Guardar para guardar as suas edições. Tem de guardar as edições numa categoria antes de poder introduzir edições noutras categorias.

Acerca das versões de linha de base mais antigas

Microsoft Intune atualiza as versões das linhas de base de segurança incorporadas consoante as necessidades em mudança de uma organização típica. Cada nova versão resulta em uma atualização de versão em uma linha de base específica. A expetativa é que os clientes utilizem a versão de linha de base mais recente como ponto de partida para os respetivos perfis de Configuração de Dispositivos.

Se tiver um perfil de linha de base associado a uma versão de linha de base mais antiga em utilização, esse perfil de linha de base mais antigo continua a ser listado.

Dispositivos cogerenciados

Linhas de base de segurança em dispositivos gerenciados pelo Intune são semelhantes aos dispositivos cogerenciados com o Gerenciador de Configurações. Os dispositivos cogeridos utilizam Gerenciador de Configurações e Microsoft Intune para gerir os dispositivos Windows em simultâneo. Isso permite que você anexe à nuvem seu investimento existente do Gerenciador de Configurações para obter os benefícios do Intune. A descrição geral da cogestão é um excelente recurso se utilizar Gerenciador de Configurações e também quiser os benefícios da cloud.

Ao usar dispositivos cogerenciados, você deve alternar a carga de trabalho Configuração do dispositivo (suas configurações) para o Intune. Cargas de trabalho de configuração de dispositivo fornece mais informações.

Próximas etapas

• Verifique o status e monitore a linha de base e o perfil

• Veja as configurações nas versões mais recentes das linhas de base disponíveis:

  • Windows 10 e posterior – linha de base de segurança mdm
  • Linha de base do Microsoft Defender para Ponto de Extremidade
  • Microsoft 365 Apps para Enterprise (linha de base do Office)
  • Microsoft Edge (Versão 112 e posterior)
  • Linha de Base de Segurança do Windows 365