Tutorial: Configurar pontos finais do Windows nativos da cloud com Microsoft Intune

Este tutorial passo a passo mostra-lhe como configurar um ponto final do Windows nativo da cloud com o Microsoft Intune e o Windows Autopilot. Um ponto final do Windows nativo da cloud (por vezes escrito como Windows nativo da cloud) é Microsoft Entra associado, inscrito no Microsoft Intune e gerido inteiramente a partir da cloud , sem associação a um domínio do Active Directory, sem necessidade de infraestrutura no local.

No final deste tutorial, tem um dispositivo Windows totalmente configurado que é:

  • Microsoft Entra aderido e inscrito no Microsoft Intune
  • Protegido com Microsoft Defender Antivírus, encriptação BitLocker, LAPS do Windows e linhas de base de segurança
  • Aprovisionado através do Windows Autopilot com aplicações do Microsoft 365, Movimentação de Pastas Conhecidas do OneDrive e Portal da Empresa
  • Pronto para dimensionar para o resto da frota do Windows

Para obter informações, veja O que são pontos finais nativos da cloud? e Como planear a implementação de associação Microsoft Entra.

Dica

Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:

  • Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
  • Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
  • Pontos finais nativos da cloud: pontos finais associados ao Microsoft Entra. Eles não estão ingressados no AD local.
  • Carga de trabalho: qualquer programa, serviço ou processo.

Como iniciar

Conclua as cinco fases por ordem , cada uma compila na anterior.

Cinco fases para a configuração de pontos de extremidade do Windows nativos da nuvem usando o Microsoft Intune e o Windows Autopilot.

Fase Meta
Fase 1 – Configurar o seu ambiente Preparar o inquilino, o dispositivo de teste e as políticas de linha de base do Autopilot
Fase 2 – Criar um ponto final do Windows nativo da cloud Aprovisionar o primeiro ponto final através do Autopilot
Fase 3 – Proteger o ponto final do Windows nativo da cloud Aplicar segurança de ponto final: Defender, BitLocker, LAPS, linhas de base, atualizações
Fase 4 – Aplicar personalizações e rever a configuração no local Adicionar aplicações, definições e migrar específicas da organização a partir de Política de Grupo
Fase 5 – Dimensionar a implementação com o Windows Autopilot Dimensionar o aprovisionamento para a sua frota com o registo OEM, personas e anéis de implementação

Após a implementação dos pontos finais, utilize a secção Monitorizar os pontos finais do Windows nativos da cloud para validar status de política, aplicação e conformidade do centro de administração do Intune como parte das operações em curso.

Fase 1 – Configurar seu ambiente

Antes de criar seu primeiro ponto de extremidade nativo de nuvem do Windows, há alguns requisitos e configurações importantes que precisam ser verificados. Esta fase orientará você na verificação dos requisitos, na configuração do Windows Autopilot e na criação de algumas configurações e aplicativos.

Etapa 1 – Requisitos de rede

Seu ponto de extremidade do Windows nativo de nuvem precisará de acesso a vários serviços da Internet. Inicie o teste em uma rede aberta. Ou use sua rede corporativa depois de fornecer acesso a todos os pontos de extremidade listados em Requisitos de rede do Windows Autopilot.

Se sua rede sem fio exigir certificados, você poderá começar com uma conexão Ethernet durante o teste enquanto determina a melhor abordagem para conexões sem fio para provisionamento de dispositivos.

Etapa 2 – Registro e Licenciamento

Antes de poder aderir a Microsoft Entra e inscrever-se no Intune, tem de marcar algumas coisas. Pode criar um novo grupo de Microsoft Entra, como o nome Intune Utilizadores de MDM. Em seguida, adicione contas de usuário de teste específicas e direcione cada uma das configurações a seguir nesse grupo para limitar quem pode registrar dispositivos enquanto você define sua configuração. Para criar um grupo Microsoft Entra, aceda a Gerir grupos de Microsoft Entra e associação a grupos.

  • Restrições de inscrição As restrições de inscrição permitem-lhe controlar os tipos de dispositivos que podem ser inscritos na gestão com Intune. Para que este guia seja bem-sucedido, verifique se o registro (MDM) do Windows está permitido; o que é a configuração padrão.

    Para obter informações sobre como configurar as Restrições de Registro, confira Definir restrições de registro no Microsoft Intune.

  • Microsoft Entra definições de MDM do Dispositivo Quando associa um dispositivo Windows a Microsoft Entra, Microsoft Entra podem ser configuradas para indicar aos seus dispositivos para se inscreverem automaticamente numa MDM. Essa configuração é necessária para que o Windows Autopilot funcione.

    Para marcar as definições de MDM do dispositivo Microsoft Entra estão corretamente ativadas, aceda a Início Rápido – Configurar a inscrição automática no Intune.

  • Microsoft Entra imagem corporativa Adicionar o logótipo e as imagens empresariais a Microsoft Entra garante que os utilizadores veem um aspeto e funcionalidade familiares e consistentes quando iniciam sessão no Microsoft 365. Essa configuração é necessária para que o Windows Autopilot funcione.

    Para obter informações sobre como configurar a imagem corporativa personalizada no Microsoft Entra, aceda a Adicionar imagem corporativa à página de início de sessão Microsoft Entra da sua organização.

  • Licenciamento Os utilizadores que inscrevem dispositivos Windows a partir da Experiência Inicial (OOBE) em Intune necessitam de duas capacidades principais.

    Os usuários precisarão das seguintes licenças:

    • Um licença do Microsoft Intune ou do Microsoft Intune para Educação
    • Uma licença como uma das opções a seguir que permite o registro automático do MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune para educação

    Para atribuir licenças, confira Atribuir licenças do Microsoft Intune.

    Observação

    Ambos os tipos de licenças geralmente são incluídos com pacotes de licenciamento, como o Microsoft 365 E3 (ou A3) e superior. Veja as comparações do licenciamento do Microsoft 365 aqui.

Etapa 3 – Importar seu dispositivo de teste

Para testar o ponto de extremidade nativo de nuvem do Windows, precisamos começar pela preparação de uma máquina virtual ou dispositivo físico para teste. As etapas a seguir coletarão os detalhes do dispositivo e os carregarão no serviço do Windows Autopilot para uso posterior neste artigo.

Observação

Embora as etapas a seguir forneçam uma maneira de importar um dispositivo para teste, os Parceiros e OEMs podem importar dispositivos para o Windows Autopilot em seu nome como parte da compra. Existem mais informações sobre o Windows Autopilot na Fase 5.

  1. Instale o Windows numa máquina virtual ou reponha um dispositivo físico para que esteja à espera no ecrã de configuração do OOBE. Opcionalmente, você pode criar um ponto de verificação para uma máquina virtual.

  2. Conclua as etapas necessárias para se conectar à Internet.

  3. Abra um prompt de comando usando a combinação de teclado Shift+F10.

  4. Verifique se você tem acesso à Internet executando ping de bing.com:

    • ping bing.com

  5. Alternar para o PowerShell executando o comando:

    • powershell.exe

  6. Baixe o script Get-WindowsAutopilotInfo executando os comandos a seguir:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Quando solicitado, insira Y para aceitar.

  8. Digite o seguinte comando:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Observação

    As Etiquetas de Grupo permitem-lhe criar grupos de Microsoft Entra dinâmicos com base num subconjunto de dispositivos. As Categorias de Grupo podem ser definidas durante a importação de dispositivos ou alteradas posteriormente no centro de administração do Microsoft Intune. Utilizamos a Etiqueta de Grupo CloudNative no Passo 4. Você pode definir o nome da marca como algo diferente para seu teste.

  9. Quando for solicitado a fornecer credenciais, entre com sua conta de Administrador do Intune.

  10. Deixe o computador em experiência inicial até a Fase 2.

Passo 4 – Criar Microsoft Entra grupo dinâmico para o dispositivo

Para limitar as configurações deste guia aos dispositivos de teste que importa para o Windows Autopilot, crie um grupo de Microsoft Entra dinâmico. Esse grupo deve incluir automaticamente os dispositivos que importam para o Windows Autopilot e ter a Marca de Grupo CloudNative. Em seguida, você pode direcionar todas as configurações e aplicativos neste grupo.

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione Grupos>Novo grupo. Introduza os seguintes detalhes:

    • Tipo de grupo: Selecione Segurança.
    • Nome do Grupo: introduza Autopilot Cloud-Native Pontos Finais do Windows.
    • Tipo de associação: selecione Dispositivo Dinâmico.

  3. Selecione Adicionar consulta dinâmica.

  4. Na seção Sintaxe de Regra, selecione Editar.

  5. Cole o seguinte texto:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Selecione OK>Salvar>Criar.

Dica

Os grupos dinâmicos levam alguns minutos para serem preenchidos após a ocorrência de alterações. Nas grandes organizações, pode demorar mais tempo. Depois de criar um novo grupo, aguarde alguns minutos antes de verificar se o dispositivo já é membro do grupo.

Para obter mais informações sobre grupos dinâmicos para dispositivos, confira Regras para dispositivos.

Etapa 5 – Configurar a Página de Status do Registro

A página de status de registro (ESP) é o mecanismo que um profissional de TI usa para controlar a experiência do usuário final durante o provisionamento do ponto de extremidade. Confira Configurar a Página de Status do Registro. Para limitar o âmbito da página de status de inscrição, pode criar um novo perfil e segmentar o grupo Autopilot Cloud-Native Pontos Finais do Windows criado no passo anterior, Criar Microsoft Entra grupo dinâmico para o dispositivo.

  • Para fins de teste, recomendamos as seguintes configurações, mas sinta-se à vontade para ajustá-las conforme necessário:

    Configuração Valor
    Mostrar o progresso da configuração do aplicativo e do perfil Sim
    Mostrar página somente para dispositivos provisionados pela experiência inicial (OOBE) Sim (predefinição)

Etapa 6 - Criar e atribuir o perfil do Windows Autopilot

Agora podemos criar um perfil do Windows Autopilot e atribuí-lo ao nosso dispositivo de teste. Este perfil indica ao seu dispositivo para associar Microsoft Entra e que definições aplicar durante o OOBE.

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione DispositivosInscrição de Dispositivos>>Perfis de Implementação> doWindows>Autopilot>.

  3. Selecione Criar perfil>Computador Windows.

  4. Introduza o nome Autopilot Cloud-Native Pontos Finais do Windows e, em seguida, selecione Seguinte.

  5. Nas definições experiência inicial (OOBE), confirme os seguintes valores de chave e selecione Seguinte:

    Configuração Valor
    Modo de implantação Orientada pelo utilizador
    Aderir ao Microsoft Entra ID como Microsoft Entra aderido
    Tipo de conta de usuário Standard
    Aplicar modelo de nome de dispositivo Opcional. Um modelo de nomenclatura como CloudPC-%SERIAL% torna os dispositivos fáceis de identificar no centro de administração.

    Importante

    Definir o Tipo de conta de utilizador como Standard é uma melhor prática de segurança. Impede que os utilizadores instalem software não aprovado e reduz a superfície de ataque em pontos finais nativos da cloud.

  6. Deixe as marcas de escopo e selecione Avançar.

  7. Atribua o perfil ao grupo de Microsoft Entra que criou denominado Autopilot Cloud-Native Pontos Finais do Windows, selecione Seguinte e, em seguida, selecione Criar.

Etapa 7 - Sincronizar dispositivos do Windows Autopilot

O serviço do Windows Autopilot será sincronizado várias vezes por dia. Você também pode disparar uma sincronização imediatamente para que seu dispositivo esteja pronto para teste. Para sincronizar imediatamente:

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione DispositivosInscrição de>Dispositivos>Dispositivos>Windows>Autopilot> Devices.

  3. Selecione Sincronizar.

A sincronização leva vários minutos e continuará em segundo plano. Quando a sincronização for concluída, o status do perfil do dispositivo importado exibirá Atribuído.

Etapa 8 – Definir configurações para uma experiência otimizada do Microsoft 365

Selecionamos algumas configurações a serem configuradas. Essas configurações demonstrarão uma experiência do usuário final otimizada do Microsoft 365 em seu dispositivo nativo de nuvem do Windows. Essas configurações são definidas usando um perfil de catálogo de configurações de dispositivo. Para obter mais informações, confira Criar uma política usando o catálogo de configurações no Microsoft Intune.

Depois de criar o perfil e adicionar as suas definições, atribua o perfil ao autopilot Cloud-Native grupo de Pontos Finais do Windows criado anteriormente.

  • Microsoft Outlook – para melhorar a experiência de primeira execução do Microsoft Outlook, a seguinte definição configura automaticamente um perfil quando o Outlook é aberto pela primeira vez.

    Categoria de definição Configuração Valor
    Microsoft Outlook 2016\Account Settings\Exchange (Configuração do usuário) Configurar automaticamente apenas o primeiro perfil com base no endereço SMTP primário do Active Directory Enabled

  • Microsoft Edge – para melhorar a experiência de primeira execução do Microsoft Edge, as seguintes definições configuram o Microsoft Edge para sincronizar as definições do utilizador e ignorar a experiência de primeira execução.

    Categoria de definição Configuração Valor
    Microsoft Edge Ocultar a experiência de primeira execução e o ecrã inicial Enabled
      Forçar a sincronização de dados do browser e não mostrar o pedido de consentimento de sincronização Enabled

  • Microsoft OneDrive – para melhorar a primeira experiência de início de sessão, as seguintes definições configuram o Microsoft OneDrive para iniciar sessão e redirecionar automaticamente o Ambiente de Trabalho, Imagens e Documentos para o OneDrive. O FOD (Arquivos Sob Demanda) também é recomendado. Ele está habilitado por padrão e não está incluído na lista a seguir. Para obter mais informações sobre a configuração recomendada para o aplicativo de sincronização do OneDrive, confira Configuração recomendada do aplicativo de sincronização para o Microsoft OneDrive.

    Categoria de definição Configuração Valor
    OneDrive Conectar os usuários silenciosamente ao aplicativo de sincronização do OneDrive com as respectivas credenciais do Windows Enabled
      Mover silenciosamente pastas conhecidas do Windows para o OneDrive Enabled

    Observação

    Para obter mais informações, confira Redirecionar Pastas Conhecidas.

A captura de tela a seguir mostra um exemplo de um perfil de catálogo de configurações com cada uma das configurações sugeridas definidas:

Captura de ecrã a mostrar um exemplo de um perfil de catálogo de definições no Microsoft Intune.

Etapa 9 - Criar e atribuir alguns aplicativos

Seu ponto de extremidade nativo de nuvem precisará de alguns aplicativos. Para começar, recomendamos configurar os aplicativos a seguir e direcioná-los no grupo Pontos de Extremidade Nativos de Nuvem do Windows Autopilot criado anteriormente.

  • Microsoft 365 Apps (anteriormente Office 365 ProPlus) – Microsoft 365 Apps como o Word, o Excel e o Outlook podem ser facilmente implementados em dispositivos com o perfil de aplicação incorporado do Microsoft 365 para Windows no Intune.

    • Selecione o designer de configuração para o formato de configurações, em vez de XML.
    • Selecione Canal Atual para o canal de atualização.

    Para implantar o Microsoft 365 Apps, confira Adicionar o Microsoft 365 Apps a dispositivos do Windows usando o Microsoft Intune

  • Portal da Empresa aplicação – recomenda-se implementar a aplicação Intune Portal da Empresa em todos os dispositivos como uma aplicação necessária. O aplicativo Portal da Empresa é o hub de autoatendimento para os usuários que eles usam para instalar aplicativos de várias fontes, como Intune, Microsoft Store e Gerenciador de Configurações. Os usuários também usam o aplicativo Portal da Empresa para sincronizar seus dispositivos com o Intune, verificar o status de conformidade e assim por diante.

    Para implantar o Portal da Empresa conforme necessário, consulte Adicionar e atribuir o aplicativo Portal da Empresa do Windows para dispositivos gerenciados pelo Intune.

  • Aplicação microsoft Store (Whiteboard) – embora Intune possa implementar uma grande variedade de aplicações, implementamos uma aplicação da loja (Microsoft Whiteboard) para ajudar a manter as coisas simples para este guia. Siga as etapas em Adicionar aplicativos da Microsoft Store ao Microsoft Intune para instalar o Microsoft Whiteboard.

Seguinte: Fase 2 – Criar um ponto final do Windows nativo da cloud

Fase 2 – Criar um ponto final do Windows nativo da cloud

Para criar o seu primeiro ponto final do Windows nativo da cloud, utilize a mesma máquina virtual ou dispositivo físico que recolheu e, em seguida, carregue o hash de hardware para o serviço Windows Autopilot na Fase 1, Passo 3 – Importar o seu dispositivo de teste. Com esse dispositivo, realize o processo do Windows Autopilot.

  1. Retome (ou redefina, se necessário) seu computador Windows para a OOBE (experiência inicial).

    Observação

    Se lhe for pedido para escolher a configuração para pessoal ou organização, o processo do Windows Autopilot não foi iniciado. Nessa situação, reinicie o dispositivo e verifique se ele tem acesso à Internet. Se ainda assim não funcionar, tente restaurar o computador ou reinstalar o Windows.

  2. Inicie sessão com Microsoft Entra credenciais (UPN ou AzureAD\username).

  3. A página de status de registro mostrará o status da configuração do dispositivo.

Parabéns! Aprovisionou o seu primeiro ponto final do Windows nativo da cloud!

Validar o ponto final

Verifique as seguintes tarefas no seu novo dispositivo antes de passar para a Fase 3:

  • As pastas do OneDrive (Ambiente de Trabalho, Documentos, Imagens) são redirecionadas e sincronizadas.
  • O Outlook abre e configura automaticamente o seu perfil do Microsoft 365.
  • Portal da Empresa está instalado e o Microsoft Whiteboard está disponível.
  • Pode iniciar sessão com as suas credenciais de Microsoft Entra e aceder aos recursos da cloud.
  • Os recursos no local (partilhas de ficheiros, sites da intranet, impressoras) estão acessíveis, se necessário.

Se lhe for pedido para introduzir uma palavra-passe ao utilizar Windows Hello para aceder a recursos no local, Windows Hello para Empresas Híbrido ainda não está configurado. Pode continuar a testar ao selecionar o ícone de tecla no ecrã de início de sessão e, em vez disso, utilizar o seu nome de utilizador e palavra-passe. Para obter mais informações, veja Windows Hello para Empresas Híbrido.

Seguinte: Fase 3 – Proteger o ponto final do Windows nativo da cloud

Fase 3 – Proteger seu ponto de extremidade nativo de nuvem do Windows

Essa fase foi projetada para ajudar na criação das configurações de segurança para sua organização. Esta seção chama sua atenção para os vários componentes da Segurança do Ponto de extremidade no Microsoft Intune, incluindo:

Microsoft Defender Antivírus (MDAV)

As configurações a seguir são recomendadas como uma configuração mínima para o Microsoft Defender Antivírus, um componente de sistema operacional integrado do Windows. Essas configurações não exigem nenhum contrato de licenciamento específico, como E3 ou E5, e podem ser habilitadas no centro de administração do Microsoft Intune.

No centro de administração, acesse Segurança do Ponto de extremidade>Antivírus>Criar Política>Windows e posterior>Tipo de perfil = Microsoft Defender Antivírus.

Defender:

  • Permitir Monitorização de Comportamento: Permitido. Ativa a monitorização de comportamento em tempo real.
  • Permitir Proteção da Cloud: permitido. Ativa a Proteção da Cloud.
  • Permitir Email Análise: Permitido. Ativa a análise de e-mail.
  • Permitir a análise de todos os ficheiros e anexos transferidos: Permitido.
  • Permitir Monitorização em Tempo Real: Permitido. Ativa e executa o serviço de monitorização em tempo real.
  • Permitir a Análise de Files de Rede: Permitido. Analisa ficheiros de rede.
  • Permitir Análise de Scripts: Permitido.
  • Tempo Limite Alargado da Cloud: 50
  • Dias para Reter Software Maligno Limpo: 30
  • Ativar Proteção de Rede: Ativado (modo de auditoria)
  • Proteção contra PUA: proteção contra PUA ativada. Os itens detetados estão bloqueados. Aparecerão na história juntamente com outras ameaças.
  • Direção da Análise em Tempo Real: monitorizar todos os ficheiros (bidirecional).
  • Submeter Consentimento de Exemplos: enviar amostras seguras automaticamente.
  • Permitir Proteção de Acesso: Permitido.
  • Ação de remediação para Ameaças graves: Quarentena. Move os ficheiros para a quarentena.
  • Ação de remediação para Ameaça de gravidade baixa: Quarentena. Move os ficheiros para a quarentena.
  • Ação de remediação para ameaças de gravidade moderada: Quarentena. Move os ficheiros para a quarentena.
  • Ação de remediação para ameaças de gravidade elevada: Quarentena. Move os ficheiros para a quarentena.

Para obter mais informações sobre a configuração do Windows Defender, incluindo o Microsoft Defender para Ponto de Extremidade para cliente licenciado para E3 e E5, confira:

Microsoft Defender Firewall

Use a Segurança do Ponto de extremidade no Microsoft Intune para configurar o firewall e suas regras. Para obter mais informações, confira a Política de firewall para segurança do ponto de extremidade no Intune.

O Microsoft Defender Firewall pode detectar uma rede confiável usando o CSP NetworkListManager. Além disso, pode mudar para o perfil de firewall de domínio em pontos finais com o Windows.

Usar o perfil de rede do domínio permite separar regras de firewall com base em uma rede confiável, em uma rede privada e em uma rede pública. Essas configurações podem ser aplicadas usando um perfil personalizado do Windows.

Observação

Microsoft Entra pontos finais associados não podem utilizar o LDAP para detetar uma ligação de domínio da mesma forma que os pontos finais associados a um domínio. Em vez disso, utilize o CSP NetworkListManager para especificar um ponto final TLS que, quando acessível, mude o ponto final para o perfil de firewall de domínio .

Criptografia BitLocker

Use a Segurança do Ponto de extremidade no Microsoft Intune para configurar a criptografia com o BitLocker.

Essas configurações podem ser habilitadas no centro de administração do Microsoft Intune. No centro de administração, aceda a Endpoint Security>Manage>Disk encryption>Create Policy>Windows e, posteriormente>, Profile = BitLocker.

Quando você define as seguintes configurações do BitLocker, elas habilitam silenciosamente a criptografia de 128 bits para usuários padrão, que é um cenário comum. No entanto, sua organização pode ter requisitos de segurança diferentes, portanto, consulte a documentação do BitLocker para obter configurações adicionais.

Categoria de definição Configuração Valor
BitLocker Exigir Criptografia do Dispositivo Enabled
  Permitir aviso para outra encriptação de disco Disabled
  Permitir encriptação de utilizador Standard Enabled
  Configurar a Rotação de Palavras-passe de Recuperação Atualizar para dispositivos associados a Azure AD
Criptografia de Unidade de Disco BitLocker Escolher o método de encriptação de unidade e a força da cifra Não Configurado
  Fornecer os identificadores exclusivos para sua organização Não Configurado
Unidades do Sistema Operativo Impor tipo de criptografia de unidade em unidades do sistema operacional Enabled
  Selecione o tipo de encriptação (Dispositivo) Encriptação Apenas espaço utilizado
  Exigir autenticação adicional no arranque Enabled
  Permitir o BitLocker sem um TPM compatível (requer uma palavra-passe ou uma chave de arranque numa pen USB) Falso
  Configurar o PIN e a chave de arranque do TPM Permitir a chave de arranque e o PIN com o TPM
  Configurar a chave de arranque do TPM Permitir a chave de arranque com o TPM
  Configurar o PIN de arranque do TPM Permitir PIN de arranque com o TPM
  Configurar o arranque do TPM Exigir TPM
  Configurar o comprimento mínimo do PIN para o arranque Não configurado
  Permitir PINs aprimorados para inicialização Não configurado
  Impedir que os usuários padrão alterem o PIN ou a senha Não configurado
  Permitir que os dispositivos em conformidade com o InstantGo ou o HSTI optem ativamente por não participar no PIN de pré-arranque Não configurado
  Habilitar o uso da autenticação BitLocker que exija entrada de teclado de pré-inicialização em lousas Não configurado
  Escolher como as unidades do sistema operativo protegidas pelo BitLocker podem ser recuperadas Enabled
  Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker Exigir palavra-passe de recuperação de 48 dígitos
  Permitir agente de recuperação de dados Falso
  Configurar o armazenamento de informações de recuperação do BitLocker para o AD DS Armazenar palavras-passe de recuperação e pacotes de chaves
  Não ative o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo Verdadeiro
  Omitir opções de recuperação do assistente de configuração do BitLocker Verdadeiro
  Guardar informações de recuperação do BitLocker no AD DS para unidades do sistema operativo Verdadeiro
  Configurar a mensagem de recuperação pré-arranque e o URL Não configurado
Unidades de Dados Fixas Impor tipo de criptografia de unidade em unidades de dados fixas Enabled
  Selecione o tipo de encriptação: (Dispositivo) Permitir que o utilizador escolha (predefinição)
  Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas Enabled
  Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker Exigir palavra-passe de recuperação de 48 dígitos
  Permitir agente de recuperação de dados Falso
  Configurar o armazenamento de informações de recuperação do BitLocker para o AD DS Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
  Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas Verdadeiro
  Omitir opções de recuperação do assistente de configuração do BitLocker Verdadeiro
  Guardar informações de recuperação do BitLocker no AD DS para unidades de dados fixas Verdadeiro
  Negar o acesso de escrita a unidades fixas não protegidas pelo BitLocker Não configurado
Unidades de Dados Amovíveis Controlar o uso do BitLocker em unidades removíveis Enabled
  Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis (Dispositivo) Falso
  Permitir que os utilizadores suspendam e desencriptem a proteção do BitLocker em unidades de dados amovíveis (Dispositivo) Falso
  Negar o acesso de escrita a unidades amovíveis não protegidas pelo BitLocker Não configurado

LAPS (Solução de Senha de Administrador Local) do Windows

Por padrão, a conta de administrador local interna (SID conhecida S-1-5-500) está desabilitada. Há alguns cenários em que uma conta de administrador local poderá ser benéfica, como solução de problemas, suporte ao usuário final e recuperação de dispositivo. Se você decidir habilitar a conta de administrador interna ou criar uma nova conta de administrador local, será importante proteger a senha dessa conta.

A Solução de Palavra-passe de Administrador Local (LAPS) do Windows é uma das funcionalidades que pode utilizar para aleatorização e armazenamento seguro da palavra-passe no Microsoft Entra. Se você estiver usando o Intune como seu serviço MDM, use as etapas a seguir para habilitar a LAPS do Windows.

Importante

A LAPS do Windows pressupõe que a conta de administrador local padrão esteja habilitada, mesmo que ela seja renomeada ou se você criar outra conta de administrador local. O Windows LAPS não cria nem ativa quaisquer contas locais automaticamente, a menos que configure o modo de gestão automática de contas.

Você precisará criar ou habilitar contas locais separadamente da configuração da LAPS do Windows. Pode criar scripts para esta tarefa ou utilizar os Fornecedores de Serviços de Configuração (CSPs), como o CSP de Contas ou o CSP de Política.

  1. Certifique-se de que os seus dispositivos Windows têm a atualização de segurança de abril de 2023 (ou posterior) instalada.

    Para obter mais informações, aceda a Microsoft Entra atualizações do sistema operativo.

  2. Ative a LAPS do Windows no Microsoft Entra:

    1. Inicie sessão no Microsoft Entra.
    2. Para a configuração Habilitar a Solução de Senha de Administrador Local (LAPS), selecione Sim>Salvar (topo da página).

    Para obter mais informações, aceda a Ativar a LAPS do Windows com Microsoft Entra.

  3. No Intune, crie uma política de segurança de ponto de extremidade:

    1. Entre no Centro de administração do Microsoft Intune.
    2. Selecione Endpoint Security>Account Protection>Criar Política Solução> depalavra-passe de administrador local do Windows> (LapS do Windows)>Criar.

    Para obter mais informações, acesse Criar uma política de LAPS no Intune.

Linhas de base de segurança

Você pode usar linhas de base de segurança para aplicar um conjunto de configurações conhecidas para aumentar a segurança de um ponto de extremidade do Windows. Para obter mais informações sobre linhas de base de segurança, confira Configurações de linha de base de segurança do MDM do Windows para o Intune.

As linhas de base podem ser aplicadas usando as configurações sugeridas e personalizadas de acordo com seus requisitos. Algumas configurações nas linhas de base podem causar resultados inesperados ou ser incompatíveis com aplicativos e serviços em execução nos pontos de extremidade do Windows. Como resultado, as linhas de base deverão ser testadas isoladamente. Aplique a linha de base somente a um grupo seletivo de pontos de extremidade de teste sem nenhum outro perfil de configuração ou configuração.

Problemas Conhecidos das Linhas de Base de Segurança

As seguintes configurações na linha de base de segurança do Windows podem causar problemas com o Windows Autopilot ou tentar instalar aplicativos como um usuário padrão:

  • Comportamento de solicitação de elevação do Administrador/Opções de Segurança das Políticas Locais (padrão = Solicitar consentimento na área de trabalho segura)
  • Comportamento padrão de solicitação de elevação do usuário (padrão = Negar automaticamente solicitações de elevação)

Para obter mais informações, veja Resolução de problemas de conflitos de políticas com o Windows Autopilot.

Windows Update políticas de cliente

Windows Update políticas de cliente é a tecnologia da cloud para controlar como e quando as atualizações são instaladas nos dispositivos. No Intune, Windows Update políticas de cliente podem ser configuradas com:

Para obter mais informações, confira:

Dica

Para ambientes nativos da cloud, considere a Correção Automática do Windows. A correspondência automática automatiza a gestão e os relatórios de cadências de atualização, eliminando a necessidade de otimizar manualmente os períodos de diferimento e os prazos. Está incluída no Microsoft Intune e é a abordagem recomendada para organizações que pretendem atualizações do Windows totalmente automatizadas e orientadas por políticas com sobrecarga mínima para administradores.

Política de conformidade

Uma política de conformidade comunica o estado de funcionamento dos pontos finais do Windows nativos da cloud, por exemplo, se o BitLocker está ativado, o Arranque Seguro está ativado e Microsoft Defender Antivírus está em execução. A política também é a base para o Acesso Condicional, pelo que pode bloquear o acesso de dispositivos não conformes aos recursos da organização.

Para criar uma política de conformidade do Windows:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Política deCriação deConformidade> de Dispositivos>.

  3. Em Plataforma, selecione Windows 10 e, mais tarde>, Criar.

  4. Em Noções básicas, introduza um nome para a política e selecione Seguinte.

  5. Em Definições de compatibilidade, configure os seguintes valores recomendados e selecione Seguinte:

    Categoria de definição Configuração Valor
    Integridade do dispositivo Requer BitLocker Exigir
      Exigir que o Arranque Seguro seja ativado no dispositivo Exigir
      Exigir integridade do código Exigir
    Segurança do Sistema Firewall Exigir
      Antivírus Exigir
      Antispyware Exigir
      Exigir uma senha para desbloquear os dispositivos móveis Exigir
      Senhas simples Bloquear
      Tipo de senha Alfanumérica
      Tamanho mínimo da senha 14
      Máximo de minutos de inatividade antes que a senha seja exigida 1 Minuto
      Vencimento da senha (dias) 365
      Número de senhas anteriores para evitar a reutilização 5
    Defender Microsoft Defender Antimalware Exigir
      Inteligência de segurança do Microsoft Defender Antimalware atualizada Exigir
      Proteção em tempo real Exigir

    Dica

    A Microsoft e as orientações atuais do NIST já não recomendam a expiração periódica de palavras-passe. A linha de base de segurança do Windows removeu a expiração de palavras-passe em 2019. Para pontos finais nativos da cloud, a postura mais forte é mover os utilizadores para o início de sessão sem palavra-passe com Windows Hello para Empresas e chaves de acesso/chaves de segurança FIDO2 e bloquear palavras-passe fracas com Microsoft Entra Proteção de Palavras-passe. Ajuste os valores acima para corresponderem à política da sua organização. Para saber mais, veja Autenticação sem palavra-passe com Microsoft Intune.

  6. Em Ações de não conformidade, defina a agenda Marcar o dispositivo como não conforme para 1 o dia (ou outro período de tolerância que se adeque à sua organização).

    Dica

    Se utilizar o Acesso Condicional, configure um período de tolerância para que os dispositivos não conformes não percam imediatamente o acesso aos recursos da organização. Também pode adicionar uma ação aos utilizadores de e-mail com passos para se manter em conformidade.

  7. Atribua a política ao grupo Autopilot Cloud-Native Pontos Finais do Windows do Passo 4 – Criar Microsoft Entra grupo dinâmico para o dispositivo.

Para obter mais informações sobre as definições de conformidade do Windows, consulte Definições de conformidade de dispositivos Windows no Microsoft Intune.

Acesso Condicional

O Acesso Condicional no Microsoft Entra utiliza o sinal de conformidade de Intune para permitir ou bloquear o acesso aos recursos da organização. O padrão nativo da cloud mais comum é exigir um dispositivo em conformidade para aplicações do Microsoft 365 e outros serviços cloud. Este padrão garante que apenas os dispositivos Intune geridos e em bom estado de funcionamento podem aceder aos seus dados.

Uma linha de base de Acesso Condicional típica nativa da cloud inclui:

  • Exigir autenticação multifator para todos os utilizadores.
  • Exigir um dispositivo compatível (ou dispositivo associado Microsoft Entra híbrido) para aplicações na cloud.
  • Bloquear protocolos de autenticação legados.

Importante

Teste primeiro as políticas de Acesso Condicional num grupo piloto. Uma política configurada incorretamente pode bloquear os administradores da centro de administração do Microsoft Entra.

Para orientação passo a passo, consulte:

Seguinte: Fase 4 – Aplicar personalizações e rever a configuração no local

Fase 4 – Aplicar personalizações e revisar sua configuração local

Nesta fase, você aplicará configurações específicas da organização, aplicativos e revisará sua configuração local. A fase foi projetada para ajudar você a criar personalizações específicas para sua organização. Preste atenção aos vários componentes do Windows, como você pode examinar as configurações existentes a partir de um ambiente de Política de Grupo do AD local e aplicá-las aos pontos de extremidade nativos de nuvem. Há seções para cada uma das seguintes áreas:

Microsoft Edge

Implementação do Microsoft Edge

O Microsoft Edge está incluído em dispositivos que executam:

  • Windows

Depois que os usuários se conectarem, o Microsoft Edge será atualizado automaticamente. Para disparar uma atualização do Microsoft Edge durante a implantação, você pode executar o seguinte comando:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Para implantar o Microsoft Edge em versões anteriores do Windows, confira Adicionar o Microsoft Edge para Windows ao Microsoft Intune.

Configuração do Microsoft Edge

Dois componentes da experiência do Microsoft Edge, que se aplicam quando os usuários se conectam com suas credenciais do Microsoft 365, podem ser configurados no Centro de administração do Microsoft 365.

  • O logotipo da página inicial do Microsoft Edge pode ser personalizado configurando a seção Sua organização no Centro de administração do Microsoft 365. Para obter mais informações, confira Personalizar o tema do Microsoft 365 para sua organização.

  • A experiência padrão da página nova guia no Microsoft Edge inclui informações e notícias personalizadas do Office 365. A maneira como essa página é exibida pode ser personalizada no centro de administração do Microsoft 365 em Configurações>Configurações da organização>Notícias>Página de nova guia do Microsoft Edge.

Também é possível definir outras configurações para o Microsoft Edge usando perfis de catálogo de configurações. Por exemplo, talvez você queira definir configurações de sincronização específicas para sua organização.

  • Microsoft Edge
    • Configurar a lista de tipos excluídos da sincronização – senhas

Layout de Iniciar e da Barra de Tarefas

Também é possível personalizar e definir um layout padrão de Iniciar e da barra de tarefas usando o Intune.

Catálogo de configurações

O catálogo de configurações é um local único onde estão listadas todas as configurações do Windows. Esse recurso simplifica a criação de uma política e como você vê todas as configurações disponíveis. Para obter mais informações, confira Criar uma política usando o catálogo de configurações no Microsoft Intune.

Dica

Muitas das definições que conhece da política de grupo estão incorporadas no catálogo de definições. Se as definições não estiverem disponíveis no catálogo de definições, marcar os modelos de perfis de configuração do dispositivo.

A seguir estão algumas configurações disponíveis no catálogo de configurações que podem ser relevantes para sua organização:

  • Azure domínio de inquilino preferencial do Active Directory – esta definição configura o nome de domínio de inquilino preferencial para ser acrescentado ao nome de utilizador de um utilizador. Um domínio de inquilino preferencial permite que os utilizadores iniciem sessão em Microsoft Entra pontos finais apenas com o respetivo nome de utilizador em vez de todo o UPN, desde que o nome de domínio do utilizador corresponda ao domínio de inquilino preferencial. Para usuários com nomes de domínio diferentes, eles podem digitar todo o UPN.

    Categoria de definição Configuração Valor
    Autenticação Nome de Domínio do Inquilino do AAD Preferencial Introduza o nome de domínio, como contoso.onmicrosoft.com.

    Observação

    A etiqueta de definição utiliza terminologia legada. "AAD" refere-se a Microsoft Entra ID.

  • Destaque do Windows – por predefinição, estão ativadas várias funcionalidades de consumidor do Windows, o que resulta na instalação de aplicações da Loja selecionadas e em sugestões de terceiros no ecrã de bloqueio. Você pode controlar isso usando a seção Experiência do catálogo de configurações.

    Categoria de definição Configuração Valor
    Experiência > : Permitir Destaque do Windows Permitir Funcionalidades de Consumidor do Windows Bloquear
      Permitir Sugestões de Terceiros no Destaque do Windows (utilizador) Bloquear

  • Microsoft Store – normalmente, as organizações pretendem restringir as aplicações que podem ser instaladas em pontos finais. Use essa configuração se sua organização quiser controlar quais aplicativos podem ser instalados a partir da Microsoft Store. Essa configuração impedirá que os usuários instalem aplicativos, a menos que eles sejam aprovados.

    Categoria de definição Configuração Valor
    Microsoft App Store Exigir Apenas Loja Privada Apenas a Loja privada está ativada

    Observação

    Essa configuração se aplica ao Windows 10. No Windows 11, essa configuração bloqueia o acesso ao repositório público da Microsoft. Para obter mais informações, confira:

  • Bloquear Jogos – as organizações podem preferir que os pontos finais empresariais não possam ser utilizados para jogar jogos. A página Jogos no aplicativo Configurações pode ser ocultada inteiramente usando a configuração a seguir. Para obter informações adicionais sobre a visibilidade da página de configurações, consulte a documentação do CSP e a referência do esquema de URI de ms-settings.

    Categoria de definição Configuração Valor
    Configurações Lista de Visibilidade da Página hide:gaming-gamebar; gaming-gamedvr; difusão de jogos; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Controlar os inquilinos nos quais o cliente de ambiente de trabalho do Teams pode iniciar sessão – quando esta política está configurada num dispositivo, os utilizadores só podem iniciar sessão com contas alojadas num inquilino Microsoft Entra incluído na "Lista de Permissões de Inquilinos" definida nesta política. A "Lista de Permissões do Inquilino" é uma lista separada por vírgulas de Microsoft Entra IDs de inquilino. Ao especificar esta política e definir um inquilino Microsoft Entra, também bloqueia o início de sessão no Teams para utilização pessoal. Para obter mais informações, confira Como restringir a entrada em dispositivos de área de trabalho.

    Categoria de definição Configuração Valor
    Microsoft Teams Restringir o início de sessão no Teams a contas em inquilinos específicos (Utilizador) Enabled

Restrições do Dispositivo

Os modelos de restrições de Dispositivos do Windows contêm muitas das configurações necessárias para garantir e gerenciar um ponto de extremidade do Windows usando CSPs (Provedores de Serviços de Configuração do Windows). Mais dessas configurações serão disponibilizadas no catálogo de configurações ao longo do tempo. Para obter mais informações, confira Restrições do Dispositivo.

Para criar um perfil que utilize o modelo Restrições de dispositivos, no centro de administração do Microsoft Intune, aceda a Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política> Selecionar Windows 10 e posterior para modelos de plataforma >Restrições de dispositivos para o tipo de perfil.

  • URL da imagem de fundo do ambiente de trabalho (apenas para ambiente de trabalho) – utilize esta definição para definir um padrão de fundo nos SKUs windows Enterprise ou Windows Education. Aloja o ficheiro online ou referencia um ficheiro copiado localmente. Para configurar esta definição, no separador Definições de configuração no perfil Restrições de dispositivos , expanda Personalização e configure o URL da imagem de fundo do Ambiente de Trabalho (apenas para ambiente de trabalho).

  • Exigir que os utilizadores se liguem a uma rede durante a configuração do dispositivo – esta definição reduz o risco de um dispositivo ignorar o Windows Autopilot se o computador for reposto. Essa configuração exige que os dispositivos tenham uma conexão de rede durante a fase de experiência inicial. Para configurar esta definição, no separador Definições de configuração no perfil Restrições de dispositivos , expanda Geral e configure Exigir que os utilizadores se liguem à rede durante a configuração do dispositivo.

    Observação

    A configuração entra em vigor na próxima vez que o dispositivo for apagado ou redefinido.

Otimização de Entrega

A Otimização de Entrega é usada para reduzir o consumo de largura de banda, compartilhando o trabalho de baixar pacotes com suporte entre vários pontos de extremidade. A Otimização de Entrega é um cache distribuído auto-organizado que permite que os clientes baixem esses pacotes de fontes alternativas, como pares na rede. Essas fontes de par complementam os servidores tradicionais baseados na Internet. Você pode descobrir todas as configurações disponíveis para Otimização de Entrega e quais tipos de downloads têm suporte na Otimização de Entrega para atualizações do Windows.

Para aplicar as configurações de Otimização de Entrega, crie um perfil de Otimização de Entrega do Intune ou um perfil de catálogo de configurações.

Algumas configurações que são comumente usadas pelas organizações são:

  • Restringir a seleção do elemento da rede – Sub-rede – esta definição restringe a colocação em cache do elemento da rede para computadores na mesma sub-rede.
  • ID do Grupo – os clientes de Otimização da Entrega só podem ser configurados para partilhar conteúdos com dispositivos no mesmo grupo. As IDs de grupo podem ser configuradas diretamente ao enviar um GUID por meio de política ou usando opções DHCP em escopos DHCP.

Os clientes que usam o Microsoft Configuration Manager podem implantar servidores de cache conectados que podem ser usados para hospedar conteúdo da Otimização de Entrega. Para obter mais informações, confira Cache Conectado à Microsoft no Gerenciador de Configurações.

Administradores Locais

Se existir apenas um grupo de utilizadores que necessite de acesso de administrador local a todos os dispositivos Windows associados Microsoft Entra, pode adicioná-los ao Administrador Local do Dispositivo Associado Microsoft Entra.

Você pode ter um requisito para que a assistência técnica de TI ou outra equipe de suporte tenha direitos de administrador local em um grupo selecionado de dispositivos. Pode cumprir este requisito com os seguintes Fornecedores de Serviços de Configuração (CSPs).

Para obter mais informações, aceda a Como gerir o grupo de administradores locais em dispositivos associados Microsoft Entra

Política de Grupo para Migração de Configuração do MDM

Há várias opções para criar a configuração do dispositivo ao considerar uma migração da Política de Grupo para o gerenciamento de dispositivos nativos de nuvem:

  • Comece do zero e aplique as configurações personalizadas conforme necessário.
  • Revise as Políticas de Grupo existentes e aplique as configurações necessárias. Você pode usar ferramentas para ajudar, como a Análise de Política de Grupo.
  • Use a Análise de Política de Grupo para criar perfis de Configuração de Dispositivo diretamente para configurações com suporte.

A transição para um ponto de extremidade nativo de nuvem do Windows representa uma oportunidade de revisar os requisitos de computação do usuário final e estabelecer uma nova configuração para o futuro. Sempre que possível, comece com um conjunto mínimo de políticas. Tente evitar o encaminhamento de configurações desnecessárias ou herdadas de um ambiente ingressado no domínio ou de sistemas operacionais mais antigos, como Windows 7 ou Windows XP.

Para começar do zero, revise seus requisitos atuais e implemente um conjunto mínimo de configurações para atender a esses requisitos. Os requisitos podem incluir configurações de segurança obrigatórias ou regulamentares, e configurações para aprimorar a experiência do usuário final. A empresa cria uma lista de requisitos, não o TI. Todas as configurações devem ser documentadas, compreendidas e devem servir a uma finalidade.

Migrar configurações de Políticas de Grupo existentes para MDM (Microsoft Intune) não é a abordagem preferencial. Quando você faz a transição para o Windows nativo da nuvem, a intenção não deve ser a de remover e alterar as configurações de política de grupo existentes. Em vez disso, considere o público-alvo e quais configurações eles exigem. É demorado e provavelmente impraticável examinar cada configuração de política de grupo em seu ambiente para determinar sua relevância e compatibilidade com um dispositivo gerenciado moderno. Evite tentar avaliar cada política de grupo e configurações individuais. Em vez disso, concentre-se em avaliar as políticas comuns que abrangem a maioria dos dispositivos e cenários.

Em vez disso, identifique as configurações de política de grupo obrigatórias e examine essas configurações em relação às configurações de MDM disponíveis. As lacunas representariam bloqueadores que podem impedir que você avance com um dispositivo nativo de nuvem, se não forem resolvidas. Ferramentas como a Análise de Política de Grupo podem ser usadas para analisar as configurações de políticas de grupo e determinar se elas podem ser migradas para políticas de MDM ou não.

Scripts

Você pode usar scripts do PowerShell para as configurações ou personalizações que você precisa configurar fora dos perfis de configuração internas. Para obter mais informações, confira Adicionar scripts do PowerShell a dispositivos Windows no Microsoft Intune.

Mapeamento de Unidades de Rede e Impressoras

Os cenários nativos de nuvem não têm solução interna para unidades de rede mapeadas. Em vez disso, recomendamos que os utilizadores migrem para o Teams, SharePoint e OneDrive. Se necessário, considere o uso de scripts se a migração não for possível.

Para armazenamento pessoal, na Etapa 8 – Definir configurações para uma experiência otimizada do Microsoft 365, configuramos a movimentação de Pasta Conhecida do OneDrive. Para obter mais informações, confira Redirecionar Pastas Conhecidas.

Para o armazenamento de documentos, os usuários também podem se beneficiar da integração do SharePoint com o Explorador de Arquivos, bem como da capacidade de sincronizar bibliotecas localmente, conforme referenciado aqui: Sincronizar arquivos do SharePoint e do Teams com seu computador.

Se você usar modelos de documentos corporativos do Office, que normalmente estão em servidores internos, considere o equivalente baseado em nuvem mais recente que permite que os usuários acessem os modelos de qualquer lugar.

Para soluções de impressão, considere a Impressão Universal. Para obter mais informações, confira:

Aplicativos

O Intune dá suporte à implantação de vários tipos de aplicativos diferentes do Windows.

Se você tiver aplicativos que usam MSI, EXE ou instaladores de scripts, você poderá implantar todas esses aplicativos usando o Gerenciamento de aplicativos Win32 no Microsoft Intune. Encapsular estes instaladores no formato Win32 oferece mais flexibilidade e benefícios que incluem notificações, otimização da entrega, dependências, regras de detecção e suporte para a Página de Status de Registro no Windows Autopilot.

Observação

Para evitar conflitos durante a instalação, recomendamos que você use exclusivamente os aplicativos de linha de negócios do Windows ou os recursos de aplicativos Win32. Se tiver aplicações empacotadas como .msi ou .exe, estas podem ser convertidas em aplicações Win32 (.intunewin) com a Ferramenta de Preparação de Conteúdos do Microsoft Win32 disponível no GitHub.

Seguinte: Fase 5 – Dimensionar a implementação com o Windows Autopilot

Fase 5 – Dimensionar a implementação com o Windows Autopilot

Provou que o nativo da cloud funciona num dispositivo. Esta fase aborda como passar de um dispositivo de teste para a sua frota de produção – como os dispositivos são registados, como os agrupa por persona, como prepara a implementação e como processa os PCs existentes que já gere.

Registar dispositivos em escala

Na Fase 1, carregou manualmente um hash de hardware. Tudo bem para um laboratório, mas não dimensiona. As opções prontas para produção são:

Origem do registo Como funciona Melhor para
OEM ou parceiro de hardware Os dispositivos são enviados a partir do fornecedor já registado no seu inquilino (Dell, HP, Lenovo, Microsoft, Surface, entre outros). Novo aprovisionamento de hardware – o estado de destino recomendado.
Revendedor ou CSP Um parceiro da Microsoft regista dispositivos em seu nome. Cadeias de abastecimento indiretas ou mistas.
Carregamento de hash manual (CSV) O mesmo Get-WindowsAutopilotInfo fluxo da Fase 1, Passo 3, carregado em massa como um CSV. Pilotos, dispositivos de laboratório, pequenos lotes, dispositivos existentes a serem integrados.
Conector do Intune/inscrição direta Os caminhos de registo mais recentes surgiram no centro de administração. Cenários de inscrição específicos – veja a Descrição geral do registo do Autopilot.

Para obter detalhes completos, veja Registar dispositivos Autopilot.

Dica

Sempre que comprar novo hardware do Windows, peça ao revendedor ou ao OEM para registar dispositivos no seu ID de inquilino Microsoft Entra no momento da compra. Esta abordagem é o padrão de longo prazo de menor atrito e elimina a necessidade de recolher um hash manualmente.

Utilizar Etiquetas de Grupo para personas

Já utilizou a CloudNative etiqueta de grupo na Fase 1 para impulsionar um grupo dinâmico. O mesmo padrão dimensiona-se para múltiplas personas de dispositivo. Defina uma etiqueta de grupo por persona, um grupo de Microsoft Entra dinâmico por etiqueta e um perfil de implementação do Autopilot e uma Página de Estado de Inscrição por grupo.

Persona Etiqueta de grupo sugerida Perfil do Autopilot Tipo de conta de usuário
Assistente de conhecimento KnowledgeWorker Orientada pelo utilizador Standard utilizador
Programador/utilizador avançado Developer Orientada pelo utilizador Administrador
Quiosque ou dispositivo partilhado Kiosk Implementação automática N/D
Pré-aprovisionado (luva branca) PreProvisioned Pré-provisionado Standard utilizador

Este padrão mantém a configuração, as aplicações e as políticas de segurança isoladas por persona e evita exceções pontuais em todo o seu inquilino.

Implementar em anéis

Não se implemente em toda a frota de uma só vez. Utilize o mesmo conceito de cadência que utiliza para o Windows Atualizações:

Anel Espectadores Objetivo
Piloto Equipa de TI e um pequeno grupo de voluntários Valide o aprovisionamento e a política ponto a ponto.
Pioneiros ~5% dos utilizadores, distribuídos por departamentos Detetar problemas específicos de pessoas e aplicações.
Amplas A frota restante, testada por região ou departamento Implementação de produção.

Utilize filtros de atribuição para anéis de destino em vez de criar grupos duplicados para cada política. Monitorize cada anel com a secção Monitorizar os pontos finais do Windows nativos da cloud antes de promover para o seguinte.

Processar dispositivos existentes

Para PCs Windows que já gere, a Microsoft recomenda a mudança para o Autopilot na próxima atualização de hardware em vez de voltar a aprovisionar toda a sua frota atualmente. O Windows nativo da cloud obtém todas as vantagens de uma limpo início do OOBE e os ciclos de atualização permitem-lhe fazer a transição natural com uma interrupção mínima do utilizador.

Se não puder esperar pela atualização, estão disponíveis dois caminhos:

  • Registe-se e reponha-se no local. Recolha o hash de um dispositivo existente, registe-o no Autopilot e, em seguida, reponha o PC. O dispositivo regressa através do OOBE como um ponto final nativo da cloud. Consulte Adicionar dispositivos existentes ao Windows Autopilot.
  • Reimage ao atualizar. Apenas o hardware novo ou atualizado é inscrito como nativo da cloud. Os dispositivos existentes mantêm a gestão atual até atingirem o fim de vida.

Cuidado

Não registe dispositivos geridos ativamente por Microsoft Configuration Manager sem um plano de cogestão. Decida se o dispositivo será gerido pela cloud, cogerido ou permanecer no Gerenciador de Configurações antes de o registar no Autopilot. Para obter mais informações, consulte Cogestão para dispositivos Windows.

Saiba mais

Se o Windows Autopilot não for o ideal para o seu cenário, consulte Intune métodos de inscrição para dispositivos Windows para obter alternativas.

Seguinte: Monitorizar os pontos finais do Windows nativos da cloud

Monitorizar os pontos finais do Windows nativos da cloud

Depois de os pontos finais do Windows nativos da cloud serem aprovisionados e configurados, utilize as vistas de monitorização no centro de administração do Microsoft Intune para confirmar as políticas, os scripts e as aplicações implementados com êxito e para detetar problemas mais cedo. A monitorização é uma tarefa operacional em curso, não um passo de configuração única.

O que monitorar No centro de administração O que rever Mais informações
Script status Dispositivos>Por plataforma>Windows>Gerir dispositivos>Scripts e remediações>Scripts de plataforma Selecionar um script >Dispositivo status
Instalação de aplicações status Aplicações>Windows>Aplicações do Windows Selecione uma aplicação Instalação do dispositivo > status ou Instalação do utilizador status Resolver problemas de instalações de aplicações
Linhas de base de segurança Monitorizar linhas de base de segurança no Intune
Encriptação de disco (BitLocker) Segurança de pontos finais>Encriptação de disco Selecione a política BitLocker Instalação do dispositivo> status. Chaves de recuperação: Dispositivos>Windows> selecione um dispositivo >Chaves de recuperação
Windows Update anéis Dispositivos>Gerir atualizações>Windows 10 e atualizações posteriores>Anéis de atualização Selecionar uma cadência >status dispositivo Relatórios para anéis de atualização
Conformidade Dispositivos>Conformidade Selecione a política para ver os resultados da atribuição, os dispositivos não conformes e as falhas por definição Monitorizar políticas de conformidade
Análise de ponto de extremidade Relatórios>Análise de pontos finais Desempenho de arranque, fiabilidade de aplicações e remediações proativas em toda a sua frota Descrição geral da análise de pontos finais · Intune relatórios

Siga as diretrizes de pontos de extremidade nativos de nuvem

  1. Visão geral: o que são pontos de extremidade nativos de nuvem?
  2. 🡺 Tutorial: Configurar pontos finais do Windows nativos da cloud com Microsoft Intune (Está aqui)
  3. Conceito: associação Microsoft Entra vs. associação a Microsoft Entra híbrida
  4. Conceito: pontos de extremidade nativos de nuvem e recursos locais
  5. Guia de planejamento de alto nível
  6. Problemas conhecidos e informações importantes

Perguntas frequentes

O que é um ponto final do Windows nativo da cloud?

Um ponto final do Windows nativo da cloud é um dispositivo Windows que está Microsoft Entra associado e inscrito no Microsoft Intune , sem dependência de Active Directory local, Política de Grupo ou controladores de domínio. Toda a configuração, segurança e implementação de aplicações é gerida a partir da cloud com o Microsoft Intune e o Windows Autopilot.

Qual é a diferença entre a associação de Microsoft Entra híbrido e nativo da cloud?

Um dispositivo associado a Microsoft Entra híbrido está associado a Active Directory local e Microsoft Entra. Ainda depende dos controladores de domínio para autenticação e Política de Grupo para configuração. Um dispositivo nativo da cloud (apenas Microsoft Entra associado) não tem nenhuma dependência no local — identidade, política e aplicações são todas provenientes da cloud. Para obter uma comparação detalhada, veja Microsoft Entra associado vs. Associado a Microsoft Entra híbrido.

Preciso de Windows 11 para pontos finais nativos da cloud?

Não. O Windows nativo da cloud funciona com o Windows 10 22H2 ou posterior. A Microsoft recomenda Windows 11 para obter a melhor experiência com o Windows Autopilot, Windows Hello para Empresas e funcionalidades de segurança modernas.

Posso mover dispositivos existentes associados a um domínio para nativos da cloud?

Sim, mas a Microsoft recomenda fazê-lo na próxima atualização de hardware em vez de aprovisionar novamente toda a frota. O Windows nativo da cloud obtém todos os benefícios de um início limpo OOBE. Para dispositivos que mal pode esperar para atualizar, consulte Processar dispositivos existentes na Fase 5.

O Windows nativo da cloud funciona com recursos no local, como partilhas de ficheiros e impressoras?

Sim, com algum planeamento. Os dispositivos nativos da cloud podem aceder a recursos no local através de VPN ou através de Microsoft Entra proxy de aplicações. Para armazenamento de ficheiros, a Microsoft recomenda a migração para o OneDrive e o SharePoint. Para imprimir, considere Impressão Universal. Veja Pontos finais nativos da cloud e recursos no local para obter orientações detalhadas.

Recursos online úteis

  • Last updated on