Partilhar via

Exigir conformidade do dispositivo com o Acesso Condicional

O Microsoft Intune e o Microsoft Entra trabalham em conjunto para proteger a sua organização através de políticas de conformidade de dispositivos e Acesso Condicional. As políticas de conformidade de dispositivos garantem que os dispositivos do usuário atendam aos requisitos mínimos de configuração. Os requisitos podem ser aplicados quando os usuários acessam serviços protegidos com políticas de Acesso Condicional.

Algumas organizações podem não estar prontas para exigir a conformidade do dispositivo para todos os usuários. Em vez disso, essas organizações podem optar por implantar as seguintes políticas:

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Eles geralmente são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas destinadas a entidades de serviço.

Implementação de modelos

As organizações podem implantar essa política seguindo as etapas descritas abaixo ou usando os modelos de Acesso Condicional.

Criar uma política de Acesso Condicional

As etapas a seguir ajudam a criar uma política de Acesso Condicional para exigir que os dispositivos que acessam recursos sejam marcados como compatíveis com as políticas de conformidade do Intune da sua organização.

Aviso

Sem uma política de conformidade criada no Microsoft Intune, esta política de Acesso Condicional não funcionará como pretendido. Crie uma política de conformidade primeiro e certifique-se de ter pelo menos um dispositivo compatível antes de prosseguir.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir:
      1. Selecione Utilizadores e grupos
        1. Escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
        2. Se você usar soluções de identidade híbrida, como o Microsoft Entra Connect ou o Microsoft Entra Connect Cloud Sync, selecione funções de diretórioe, em seguida, selecione Contas de Sincronização de Diretórios
  6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
  7. Em Controles de acesso>Conceder.
    1. Selecione Exigir que o dispositivo seja marcado como compatível.
    2. Selecione Selecionar.
  8. Confirme as suas configurações e defina Habilitar política como Apenas relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Nota

Pode inscrever os seus novos dispositivos no Intune mesmo que selecione Exigir que o dispositivo seja marcado como compatível para Todos os utilizadores e Todos os recursos (anteriormente "Todas as aplicações na nuvem") utilizando os passos anteriores. O controlo Exigir que o dispositivo seja marcado como compatível não bloqueia o registo do Intune.

Da mesma forma, Exigir que o dispositivo seja marcado como compatível não bloqueia o acesso do aplicativo Microsoft Authenticator ao escopo UserAuthenticationMethod.Read. O autenticador precisa acessar o escopo UserAuthenticationMethod.Read durante o registro do autenticador para determinar quais credenciais um usuário pode configurar. O autenticador precisa de acesso a UserAuthenticationMethod.ReadWrite para registrar credenciais, o que não ignora a verificação Exigir que o dispositivo seja marcado como compatível .

Comportamento conhecido

No iOS, Android, macOS e alguns navegadores da Web que não são da Microsoft, o Microsoft Entra ID identifica o dispositivo usando um certificado de cliente que é provisionado quando o dispositivo é registrado com o Microsoft Entra ID. Quando um usuário entra pela primeira vez através do navegador, o usuário é solicitado a selecionar o certificado. O utilizador final tem de selecionar este certificado antes de poder continuar a utilizar o navegador.

Cenários B2B

Para organizações com as quais você tem um relacionamento e confia, você pode confiar em suas declarações de conformidade de dispositivo. Para definir essa configuração, consulte o artigo Gerenciar configurações de acesso entre locatários para colaboração B2B.

Ativação da subscrição

As organizações que usam o recurso de Ativação de Assinatura para permitir que os utilizadores façam um "upgrade" de uma versão do Windows para outra, talvez queiram excluir a Windows Store for Business, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f da política de conformidade de dispositivos.

Conteúdos relacionados

  • Last updated on