Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Intune é uma solução de gestão de dispositivos móveis que suporta o percurso Confiança Zero da sua organização.
Confiança Zero não é um produto ou serviço. Em vez disso, é uma estratégia moderna de cibersegurança que não assume nenhuma confiança implícita, nem mesmo dentro da rede empresarial. Em vez de confiar em utilizadores, dispositivos ou aplicações por predefinição, uma abordagem de Confiança Zero verifica explicitamente todos os pedidos de acesso, avalia continuamente o risco e impõe o menor acesso ao privilégio em todo o património digital.
Os princípios fundamentais do Confiança Zero incluem:
| Verificar explicitamente | Usar acesso com privilégios mínimos | Assumir violação |
|---|---|---|
| Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. | Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. | Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. |
Porquê gerir pontos finais para Confiança Zero?
A empresa moderna tem uma diversidade incrível em pontos finais que acedem a dados organizacionais. Os utilizadores trabalham a partir de qualquer lugar, a partir de qualquer dispositivo, mais do que em qualquer momento do histórico. Isto cria uma superfície de ataque massiva e os pontos finais podem facilmente tornar-se a ligação mais fraca na sua estratégia de segurança Confiança Zero.
Embora as organizações sejam normalmente proativas na proteção de PCs contra vulnerabilidades e ataques, os dispositivos móveis geralmente não são monitorizados e sem proteções. Obter visibilidade sobre os pontos finais que acedem aos seus recursos empresariais é o primeiro passo na sua estratégia de dispositivo Confiança Zero.
Para evitar expor os seus dados ao risco, tem de monitorizar todos os pontos finais relativamente a riscos e utilizar controlos de acesso granulares para fornecer o nível de acesso adequado com base na política organizacional. Por exemplo, se um dispositivo pessoal for desbloqueado por jailbreak, pode bloquear o acesso para impedir que as aplicações empresariais sejam expostas a vulnerabilidades conhecidas.
Para obter uma descrição geral de como Intune suporta princípios de Confiança Zero (verifique explicitamente, utilize o acesso com menos privilégios e assuma a violação), veja Confiança Zero com Microsoft Intune.
Progressão da implementação de Confiança Zero de sete camadas
A criação de uma postura de segurança abrangente Confiança Zero para dispositivos envolve a implementação progressiva de camadas de proteção. Cada camada baseia-se na anterior, começando pela proteção de dados básica e avançando para a sofisticada deteção de ameaças e prevenção de perda de dados.
A tabela seguinte mostra a progressão recomendada da implementação para Confiança Zero segurança do dispositivo:
| Camada | Capacidade de proteção | O que consegue | Pré-requisitos | Requisitos de licença |
|---|---|---|---|---|
| 1 | Políticas de proteção de aplicativos | Proteja os dados organizacionais nas aplicações sem que seja necessária a inscrição de dispositivos. Cria a base para cenários BYOD (Bring Your Own Device). | Aplicações suportadas (aplicações do Microsoft 365, aplicações com políticas ativadas) | Microsoft 365 E3, E5, F1, F3, F5 |
| 2 | Registrar dispositivos | Estabeleça a relação entre o utilizador, o dispositivo e o Intune. Ativar a gestão e visibilidade de dispositivos em pontos finais que acedem aos recursos. | Pré-requisitos específicos da plataforma (autoridade MDM, certificados) | Microsoft 365 E3, E5, F1, F3, F5 |
| 3 | Políticas de conformidade | Definir requisitos mínimos que os dispositivos têm de cumprir (proteção por palavra-passe, versão do SO, encriptação). Marcar dispositivos como conformes ou não conformes. | Dispositivos inscritos na camada 2 | Microsoft 365 E3, E5, F3, F5 |
| 4 | Exigir dispositivos íntegros e compatíveis | Implemente políticas de identidade e acesso de dispositivos Confiança Zero empresariais. Trabalhe com a equipa de identidade para impor a conformidade através do Acesso Condicional, bloqueando o acesso de dispositivos que não cumprem os requisitos de segurança. | Políticas de conformidade da camada 3, coordenação com administradores de identidade | Microsoft 365 E3, E5, F3, F5 |
| 5 | Perfis de configuração | Configure as definições do dispositivo para proteger a segurança. Implementar linhas de base de segurança. Mover controlos de segurança de Política de Grupo para políticas de cloud. | Dispositivos inscritos a partir da camada 2 | Microsoft 365 E3, E5, F3, F5 |
| 6 | Monitorização do risco do dispositivo | Integre com Microsoft Defender para Ponto de Extremidade para monitorizar o risco do dispositivo, detetar ameaças e bloquear o acesso com base no nível de risco. Implementar linhas de base de segurança. | Microsoft Defender para Ponto de Extremidade configuração, coordenação com a equipa de proteção contra ameaças | Microsoft 365 E5, F5 |
| 7 | DLP do ponto de extremidade | Proteja dados confidenciais em pontos finais com Prevenção Contra Perda de Dados do Microsoft Purview. Monitorizar e controlar operações de ficheiros com base em etiquetas de confidencialidade. | Configuração do Microsoft Purview, dispositivos integrados no MDPE na camada 6 | Microsoft 365 E5, suplemento de conformidade E5, suplemento de conformidade F5 |
Compreender as sete camadas de implementação
Esta secção explica cada camada na Confiança Zero progressão da implementação. Embora a tabela de sete camadas mostre o que cada camada consegue, estas descrições fornecem contexto, exemplos e esclarecimentos sobre conceitos-chave.
Proteção de aplicativos sem inscrição (Camada 1)
Proteção de aplicativos políticas protegem os dados organizacionais nas aplicações, controlando a forma como os utilizadores acedem e partilham dados de trabalho. A Camada 1 centra-se na proteção de dados em dispositivos pessoais não geridos sem necessidade de inscrição, mas as políticas de proteção de aplicações também podem ser aplicadas a dispositivos inscritos para defesa em profundidade.
Os utilizadores instalam aplicações como o Outlook ou o Teams a partir da loja, iniciam sessão com a respetiva conta profissional e as políticas de proteção de dados aplicam-se automaticamente. Normalmente, esta abordagem chama-se MAM sem inscrição ou BYOD (Bring Your Own Device).
Exemplo: O iPhone pessoal de um utilizador tem o Outlook instalado. A política de proteção de aplicações requer um PIN para aceder ao e-mail de trabalho, impede a cópia de dados de trabalho para aplicações pessoais e bloqueia a gravação de anexos de e-mail no armazenamento pessoal na nuvem. O utilizador mantém o controlo total do dispositivo enquanto os dados organizacionais permanecem protegidos.
Dica
Proteção de aplicativos políticas podem ser implementadas em dispositivos não inscritos (camada 1) e dispositivos inscritos (camada 2+) para proteção adicional ao nível da aplicação para além da gestão de dispositivos.
Para obter detalhes, veja Orientação de implementação: políticas de Proteção de aplicativos.
Inscrição de dispositivos (Camada 2)
A inscrição regista dispositivos com Intune, o que permite uma gestão abrangente de dispositivos. Intune implementa aplicações, configura definições, impõe políticas de conformidade e fornece visibilidade completa sobre o estado do dispositivo.
Exemplo: Um portátil empresarial inscreve-se no Intune durante a configuração do Windows Autopilot. Intune configura o Wi-Fi, implementa certificados, instala linhas de base de segurança, impõe a encriptação BitLocker e monitoriza a conformidade com a política de palavras-passe.
Para obter detalhes, veja Orientações de implementação: Inscrever dispositivos.
Políticas de conformidade (Camada 3)
As políticas de conformidade definem os requisitos de segurança que os dispositivos têm de cumprir para aceder aos recursos organizacionais. Estas políticas avaliam o estado de funcionamento do dispositivo e marcam os dispositivos como conformes ou não conformes com base nas definições que configurar, tais como requisitos de palavra-passe, versões do SO, status de encriptação e deteção de jailbreak.
Exemplo: A política de conformidade requer que os dispositivos Windows tenham o BitLocker ativado, execute uma versão mínima do SO e utilize uma palavra-passe com, pelo menos, oito carateres. O bitLocker em falta do portátil de um utilizador está marcado como não conforme. O utilizador recebe notificações sobre o requisito e tem tempo para remediar antes de o acesso ser bloqueado (se impor a camada 4).
Dica
As políticas de conformidade avaliam o estado do dispositivo, mas não bloqueiam automaticamente o acesso. Funcionam com o Acesso Condicional (camada 4) para impor requisitos de conformidade.
Para obter detalhes, veja Orientações de implementação: Políticas de conformidade.
Exigir dispositivos em bom estado de funcionamento e em conformidade (Camada 4)
Esta camada implementa políticas de identidade e acesso de dispositivos a nível empresarial Confiança Zero ao exigir que os dispositivos estejam em bom estado de funcionamento e em conformidade antes de conceder acesso a recursos organizacionais. Trabalha com a sua equipa de identidade para criar políticas de Acesso Condicional no Microsoft Entra ID que impõem as decisões de conformidade da camada 3.
Esta camada representa a mudança da avaliação para a imposição. Após as políticas de conformidade marcarem os dispositivos como conformes ou não conformes, as políticas de Acesso Condicional utilizam esse sinal para conceder ou bloquear o acesso ao e-mail, Ao SharePoint, ao Teams e a outros recursos protegidos.
Exemplo: A sua equipa de identidade configura uma política de Acesso Condicional que exige que os dispositivos sejam marcados como conformes antes de os utilizadores poderem aceder às aplicações do Microsoft 365. Um utilizador tenta aceder ao Outlook a partir de um dispositivo Windows gerido por Intune. O dispositivo não está em conformidade porque não cumpre um requisito de conformidade Intune, a encriptação de disco (BitLocker) não está ativada. Uma vez que o dispositivo não está marcado como conforme, o Acesso Condicional bloqueia o acesso ao Outlook e pede ao utilizador para resolve o problema. Depois de o utilizador ativar o BitLocker, o dispositivo comunica o estado de conformidade atualizado para Intune. Assim que o dispositivo for avaliado como conforme, o Acesso Condicional reavalia o início de sessão e o acesso ao Outlook é restaurado.
Observação
Esta camada requer coordenação com a sua equipa de identidade. Enquanto o centro de administração do Intune apresenta o nó Acesso Condicional de Microsoft Entra ID, as políticas de Acesso Condicional são criadas no ID de Entra e não Intune. Veja a secção Coordenação da equipa de identidade do fluxo de trabalho.
Para obter detalhes, veja Exigir dispositivos geridos com Acesso Condicional.
Perfis de configuração (Camada 5)
Os perfis de configuração configuram as definições do dispositivo para proteger a segurança, ativar as funcionalidades e criar configurações consistentes em toda a sua frota. Enquanto as políticas de conformidade (camada 3) avaliam se os dispositivos cumprem os requisitos, os perfis de configuração implementam proativamente definições para garantir que os dispositivos estão configurados corretamente.
Pode implementar definições através de perfis de configuração de dispositivos ou políticas de segurança de ponto final. Os perfis de configuração de dispositivos suportam cenários abrangentes, incluindo perfis de Wi-Fi e VPN, implementação de certificados, políticas de palavra-passe, definições de encriptação de disco e equivalentes Política de Grupo. As políticas de segurança de pontos finais fornecem experiências simplificadas focadas especificamente nas definições de segurança, como antivírus, encriptação de disco, firewall, redução da superfície de ataque e deteção e resposta de pontos finais.
Exemplo: Implementa uma linha de base de segurança do Windows em portáteis empresariais. A linha de base ativa a Firewall do Windows, configura a encriptação do BitLocker, desativa os protocolos legados, ativa as regras de redução da superfície de ataque e configura dezenas de outras definições de segurança. Os utilizadores não precisam de configurar estas definições manualmente Intune aplica-as automaticamente.
Dica
As linhas de base de segurança são perfis pré-configurados que contêm as definições de segurança recomendadas da Microsoft. Utilize-os como ponto de partida e, em seguida, personalize-os com base nas necessidades da sua organização.
Para obter detalhes, veja Implementar perfis de configuração.
Monitorização do risco do dispositivo (Camada 6)
A monitorização de riscos de dispositivos integra Microsoft Defender para Ponto de Extremidade com Intune para adicionar deteção contínua de ameaças, avaliação de riscos do dispositivo e controlos de acesso baseados em riscos. Esta camada passa de verificações de conformidade estáticas para monitorização de segurança dinâmica que responde a ameaças ativas em tempo real.
Quando integra dispositivos para Microsoft Defender para Ponto de Extremidade, estes começam a comunicar telemetria de segurança e informações sobre ameaças. O Defender atribui a cada dispositivo um nível de risco (seguro, baixo, médio, alto ou indisponível) com base em ameaças detetadas, vulnerabilidades e postura de segurança. Pode utilizar este nível de risco em políticas de conformidade para bloquear o acesso a partir de dispositivos de alto risco ou acionar ações de remediação.
Exemplo: O portátil de um utilizador fica infetado com software maligno. Microsoft Defender para Ponto de Extremidade deteta a ameaça e marca o dispositivo como de alto risco. A política de conformidade que avalia o risco do dispositivo marca imediatamente o dispositivo como não conforme. O Acesso Condicional bloqueia o acesso do utilizador aos recursos organizacionais até que a ameaça seja remediada e o risco do dispositivo regresse a um nível aceitável.
Dica
A integração do Defender para Endpoint com Intune também lhe permite implementar configurações de segurança mais profundas, incluindo a linha de base de segurança Microsoft Defender para Ponto de Extremidade e definições avançadas de proteção contra ameaças, como regras de redução da superfície de ataque, acesso controlado a pastas e proteção de rede.
Para obter detalhes, veja Microsoft Defender para Ponto de Extremidade integração.
Prevenção de perda de dados de ponto final (Camada 7)
A prevenção de perda de dados de pontos finais utiliza o Microsoft Purview para impedir que os dados confidenciais saiam dos pontos finais geridos através de operações de cópia, impressão, carregamento ou transferência. Embora as camadas anteriores protejam o acesso aos recursos, esta camada protege os próprios dados ao monitorizar e controlar a forma como os utilizadores interagem com ficheiros confidenciais.
Os dispositivos integrados no Microsoft Defender para Ponto de Extremidade na camada 6 são automaticamente integrados para o DLP do Ponto Final sem configuração de Intune adicional. A sua equipa de conformidade cria políticas DLP no portal do Microsoft Purview que definem que etiquetas de confidencialidade, tipos de ficheiro ou padrões de conteúdo acionam ações de proteção.
Exemplo: A equipa de conformidade cria uma política DLP que impede que os ficheiros etiquetados como "Confidenciais" sejam copiados para unidades USB ou carregados para o armazenamento pessoal na cloud. Um utilizador tenta copiar um relatório financeiro confidencial para uma pen USB. O DLP de ponto final bloqueia a operação e apresenta uma notificação a explicar a restrição. Dependendo da forma como a equipa de conformidade configurou a política, o bloco pode ser absoluto ou permitir que o utilizador forneça uma justificação comercial e prossiga. Todas as atividades são registadas para relatórios de conformidade.
Observação
Enquanto administrador Intune, a sua função para Endpoint DLP está limitada a garantir que os dispositivos estão integrados no Microsoft Defender para Ponto de Extremidade (camada 6). Toda a criação e gestão de políticas DLP ocorre no portal do Microsoft Purview pela sua equipa de conformidade.
Para obter detalhes, veja Saiba mais sobre o DLP do Ponto Final e Introdução ao DLP de Ponto Final.
Inscrição vs. inclusão
À medida que implementa estas camadas, irá trabalhar com dois conceitos relacionados, mas diferentes: inscrição e inclusão. Compreender a diferença ajuda a esclarecer o que acontece em cada camada.
A inscrição (Camada 2) regista dispositivos com Intune para uma gestão abrangente de dispositivos. A integração (Camadas 6-7) configura os dispositivos para comunicar informações a serviços específicos, como Microsoft Defender para Ponto de Extremidade ou o Microsoft Purview.
| Registro | Integração | |
|---|---|---|
| Função | Regista dispositivos para gestão com Intune. Intune gere todo o dispositivo, incluindo aplicações, definições e políticas. | Configura dispositivos para partilhar informações com serviços específicos do Microsoft 365 (atualmente Microsoft Defender para Ponto de Extremidade e Microsoft Purview). |
| Escopo | Gestão completa de dispositivos — configurar definições, implementar aplicações, impor conformidade, monitorizar o estado de funcionamento do dispositivo. | Apenas capacidades específicas do serviço. Por exemplo, a integração no MDPE ativa a deteção de ameaças; a integração no Purview ativa o DLP. |
| Nesta implementação | Camada 2: inscreve dispositivos na gestão de Intune. | Camada 6: integra dispositivos para Microsoft Defender para Ponto de Extremidade com Intune. Camada 7: os dispositivos integrados no MDPE são automaticamente integrados para o DLP do Ponto Final do Microsoft Purview. |
| Como fazer isso | Métodos de inscrição específicos da plataforma: Microsoft Entra aderir (inscrição automática), Windows Autopilot, Inscrição Automatizada de Dispositivos da Apple, inscrição manual. | Utilize Intune para implementar a configuração de inclusão em dispositivos inscritos. Os dispositivos têm de estar inscritos no Intune antes de os poder integrar no MDPE ou no Purview. |
Observação
A integração no Microsoft Defender para Ponto de Extremidade integra automaticamente dispositivos para as capacidades do Microsoft Purview, incluindo o Endpoint DLP. Não é necessária nenhuma configuração de Intune adicional.
Coordenar com as equipas do Microsoft 365
A implementação Confiança Zero segurança do dispositivo requer coordenação em várias equipas da sua organização. Enquanto gere políticas de Intune, outras equipas gerem serviços complementares que trabalham em conjunto para impor a proteção.
Equipa de identidade (Microsoft Entra ID)
A sua responsabilidade: Gerir políticas de Acesso Condicional, configurar requisitos de autenticação e administrar o inquilino Microsoft Entra ID.
A sua coordenação:
- Depois de criar políticas de proteção de aplicações (camada 1), trabalhe com a equipa de identidade para criar uma política de Acesso Condicional que exija aplicações aprovadas.
- Depois de criar políticas de conformidade (camada 3), coordene a política de Acesso Condicional que exige dispositivos em conformidade:
- Pode criar e atribuir políticas de conformidade no Intune para definir os requisitos do dispositivo.
- A equipa de identidade cria a política de Acesso Condicional no centro de administração do Microsoft Entra.
- A política de Acesso Condicional utiliza o controlo de concessão "Exigir que o dispositivo seja marcado como conforme".
- Certifique-se de que ambas as políticas visam os mesmos grupos de utilizadores.
- Teste em conjunto com a ferramenta E Se do Acesso Condicional antes de ativar a imposição.
- Para obter um fluxo de trabalho detalhado, veja Formas comuns de utilizar o Acesso Condicional.
- Para a criação de políticas, veja Exigir dispositivos geridos com Acesso Condicional.
Documentação de orientação relacionada:Acesso Condicional com Intune
Equipa de proteção contra ameaças (Microsoft Defender)
A sua responsabilidade: Configurar e gerir Microsoft Defender para Ponto de Extremidade serviço, investigar ameaças e gerir fluxos de trabalho do centro de operações de segurança (SOC).
A sua coordenação:
- Utilizar Intune para integrar dispositivos para Microsoft Defender para Ponto de Extremidade (camada 6)
- Implementar a linha de base de segurança do Windows e a linha de base de segurança do Defender para Endpoint em dispositivos geridos
- Receber sinais de risco do dispositivo do Defender que se alimentam de políticas de conformidade
- Agir sobre Intune tarefas de segurança criadas pelos administradores de segurança do Defender para remediar vulnerabilidades detetadas e configurações incorretas
- Coordenar a resposta a incidentes quando são detetadas ameaças em dispositivos geridos
Documentação de orientação relacionada:
- Integração do Microsoft Defender para Ponto de Extremidade.
- Remediar vulnerabilidades com tarefas de segurança
Equipa de privacidade e segurança de dados (Microsoft Purview)
A sua responsabilidade: Defina o esquema de confidencialidade dos dados, crie políticas DLP e faça a gestão dos requisitos de conformidade no Microsoft Purview.
A sua coordenação:
- Confirme que os dispositivos estão integrados para suportar o Endpoint DLP (automático com MDPE inclusão na camada 6)
- Identificar que grupos de utilizadores devem ser incluídos/excluídos das políticas DLP
- Verificar a visibilidade do dispositivo no portal do Microsoft Purview
- Suportar a educação dos utilizadores quando as políticas DLP bloqueiam ou alertam sobre operações de dados
Observação
Enquanto administrador Intune, a sua função para Endpoint DLP limita-se a garantir que os dispositivos estão integrados no Microsoft Defender para Ponto de Extremidade. Os dispositivos integrados no MDPE tornam-se automaticamente compatíveis com DLP sem configuração de Intune adicional. Toda a criação e gestão de políticas DLP ocorre no portal do Microsoft Purview pela sua equipa de conformidade.
Documentação de orientação relacionada:
Melhores práticas para a coordenação entre equipas
- Estabeleça reuniões de coordenação regulares durante a implementação inicial de cada camada.
- Propriedade do documento – seja claro sobre que equipa gere as políticas.
- Testar em conjunto – utilize o modo de auditoria e as ferramentas What If antes da imposição.
- Alinhar em grupos de utilizadores – garanta atribuições de grupos consistentes entre serviços.
- Planear comunicações – coordene as notificações do utilizador quando as políticas podem afetar a experiência do utilizador.
- Partilhar responsabilidades de monitorização – cada equipa monitoriza o respetivo serviço, mas partilha informações sobre o impacto do utilizador.
Próximas etapas
Introdução à segurança do dispositivo Confiança Zero:
- Orientações de implementação: políticas de Proteção de aplicativos – Camada 1
- Orientações de implementação: Inscrever dispositivos – Camada 2
- Orientação de implementação: Políticas de conformidade – Camada 3
- Exigir dispositivos geridos com Acesso Condicional – Camada 4
Saiba mais sobre Confiança Zero:
- Centro de Orientação do Confiança Zero – Arquitetura e estratégia à escala empresarial
- Proteger pontos finais com Confiança Zero – Objetivos de implementação centrados no dispositivo
- Confiança Zero plano de implementação com o Microsoft 365 – Orientações de implementação entre serviços
Explorar camadas avançadas de proteção:
- Implementar perfis de configuração - Camada 5
- integração do Microsoft Defender para Ponto de Extremidade - Camada 6
- Saiba mais sobre o DLP de Ponto Final – Camada 7