Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Intune utiliza grupos de segurança de Microsoft Entra ID para várias necessidades organizacionais. Estas necessidades incluem o agrupamento de utilizadores ou dispositivos por localização geográfica, departamento, características de hardware e muito mais. Para suportar a utilização de grupos Entra pelo Intune, o centro de administração do Intune inclui a interface de utilizador do Entra Groups com todas as funcionalidades. Todos os grupos que aparecem no Entra e novos grupos que um administrador do Intune possa criar estão visíveis no Intune, no Entra e noutros produtos que partilham a interface de utilizador do Entra Groups, como o Microsoft 365.
Os administradores do Intune utilizam grupos bem definidos ao implementar políticas, implementar aplicações e atribuir permissões de outros utilizadores administrativos para que possam ajudar a administrar diferentes aspetos da subscrição do Intune.
Este artigo centra-se na utilização do centro de administração do Intune para criar grupos para utilização com o Intune, incluindo detalhes sobre as permissões necessárias para gerir e utilizar esses grupos no centro de administração.
Pode saber mais sobre Microsoft Entra grupos na documentação do Entra.
Controlos de acesso baseados em funções para trabalhar com grupos
Por predefinição, todas as contas de utilizador Microsoft Entra têm permissões para criar e configurar novos grupos sem que lhe seja atribuída uma função de controlo de acesso baseado em funções (RBAC) Entra. Estas permissões expandem-se para utilizar o nó Grupos no centro de administração do Intune.
Apenas o utilizador que criou o grupo, os utilizadores atribuídos como Proprietário e os utilizadores com permissões RBAC de Entra suficientes para gerir grupos Entra podem editar as propriedades de um grupo. Outros utilizadores sem direitos de edição de um grupo podem ver a respetiva associação e, se administrar o Intune, podem atribuir políticas, aplicações e atribuições de funções do Intune ao grupo.
O seguinte Microsoft Entra função RBAC incorporada é a função incorporada com menos privilégios que inclui permissões suficientes para editar e gerir grupos Entra criados por outros utilizadores:
- Administrador de Grupos – esta função fornece permissões suficientes para adicionar e editar grupos a partir dos centros de administração do Microsoft Intune, Microsoft Entra e Microsoft 365.
Quando trabalha com o RBAC, a Microsoft recomenda seguir o princípio das permissões mínimas ao utilizar apenas contas que tenham as permissões mínimas necessárias para uma tarefa e limitar a utilização e atribuição de funções administrativas privilegiadas, como o Administrador do Intune.
Para saber mais sobre Microsoft Entra grupos e acesso a grupos, veja Saiba mais sobre grupos e direitos de acesso na documentação do Entra.
Requisitos dos grupos que utiliza com o Intune
Os administradores do Intune devem estar cientes dos seguintes aspetos de Microsoft Entra grupos ao criar novos grupos ou ao atribuí-los para implementação de políticas ou funções administrativas.
Segurança – os grupos que utiliza com o Intune têm de ser grupos que estão ativados para segurança. Normalmente, isto requer que o tipo de grupo de grupos seja definido como Segurança quando o grupo é criado. Um grupo de segurança suporta utilizadores e dispositivos como membros.
Por predefinição, os grupos do Microsoft 365 no Microsoft Entra não têm segurança ativada, suportam apenas utilizadores como membros e não são suportados pelo Intune. Embora possa utilizar o Microsoft Graph PowerShell para criar grupos do Microsoft 365 com capacidade de segurança que o Intune suporta, como os grupos predefinidos do Microsoft 365, só podem incluir utilizadores e não dispositivos.
Associação – o Intune suporta associações a grupos Atribuídos e Dinâmicos . Escolha o tipo de associação com base na forma como planeia gerir a associação a grupos , manual ou automaticamente com base nas regras. Por exemplo, para atribuir uma função RBAC do Intune incorporada, como o Endpoint Security Manager, a utilizadores administrativos, utilize um grupo com membros atribuídos manualmente para limitar quem recebe essa função com privilégios. Por outro lado, para implementar um conjunto predefinido de políticas de configuração de dispositivos em todos os dispositivos Windows 11, pode utilizar um grupo que adiciona dinamicamente membros com base numa versão do sistema operativo de dispositivos. A utilização de um grupo dinâmico pode ajudá-lo a garantir que os dispositivos inscritos com o Intune recebem automaticamente a política predefinida pretendida sem que o dispositivo tenha de ser adicionado manualmente a um grupo.
Todos os utilizadores e todos os grupos de dispositivos do Intune
Além dos grupos de Microsoft Entra que pode criar e utilizar com o Intune, o Intune inclui dois grupos virtuais que só estão disponíveis no contexto do Intune e no centro de administração do Intune:
- Todos os utilizadores – este grupo inclui automaticamente todos os utilizadores que têm uma licença do Intune.
- Todos os dispositivos – este grupo inclui automaticamente cada dispositivo que se inscreve no Intune.
Estes grupos virtuais fornecem uma forma fácil de direcionar todos os utilizadores ou dispositivos aplicáveis com as políticas e atribuições do Intune que devem ser amplamente aplicadas.
Por exemplo, pode implementar uma política de conformidade do Intune no grupo de todos os dispositivos para estabelecer um nível mínimo de requisitos de conformidade que todos os dispositivos na sua organização têm de cumprir. Mais tarde, pode implementar mais requisitos em grupos específicos do Entra para aplicar requisitos adicionais que possa ter para grupos específicos de dispositivos ou utilizadores.
Dica
Considere a utilização de Filtros para grupos no Intune. Pode utilizar Filtros no Intune ao atribuir aplicações, políticas e perfis no Microsoft Intune a grandes grupos, como Todos os utilizadores e Todos os dispositivos. Os filtros podem ajudá-lo a controlar dinamicamente que dispositivos ou utilizadores recebem a implementação. Para obter informações sobre como utilizar Filtros, consulte:
Adicionar grupos ao Intune
Quando cria um grupo no centro de administração do Microsoft Intune, está, na verdade, a criar um grupo no Microsoft Entra ID. O procedimento seguinte fornece orientações básicas para a criação de grupos no centro de administração do Intune. Para obter informações mais detalhadas, consulte os seguintes artigos de Microsoft Entra:
- Gerir grupos de Microsoft Entra e associação a grupos
- Criar um grupo básico e adicionar membros com Microsoft Entra ID
- Regras de associação dinâmica para grupos no Microsoft Entra ID
Para criar grupos no centro de administração do Microsoft Intune:
Inicie sessão no centro de administração do Microsoft Intune e, em seguida, selecione Grupos>Novo grupo:
O painel Novo Grupo é aberto, que é a mesma interface que se encontra no Microsoft Entra:
Configure as seguintes opções para o Novo Grupo:
Defina Tipo de grupo como Segurança.
Em Nome do grupo, especifique um nome significativo que identifique claramente o grupo. Este nome é visível para os utilizadores que trabalham com grupos no centro de administração.
Em Descrição do grupo, que é opcional, especifique outros detalhes sobre o grupo, como a utilização pretendida.
Em Tipo de associação, selecione uma das seguintes opções:
Atribuído – com este tipo de associação, terá de adicionar manualmente utilizadores ao grupo, o que pode ser feito agora ou mais tarde após a criação do grupo.
Para adicionar utilizadores neste momento, localize e selecione Sem membros selecionados para abrir o painel Adicionar membros .
No painel, utilize o separador Utilizadores ou Dispositivos , onde pode selecionar a caixa de verificação junto a cada objeto que pretende adicionar a este grupo.
Também pode selecionar o separador Grupos se pretender aninhar um grupo neste grupo. Um grupo que inclui um grupo como membro é conhecido como um grupo principal. Tenha cuidado ao aninhar grupos, uma vez que as relações de associação podem não ser claras para os administradores que mais tarde utilizam o grupo principal para uma atribuição. Todas as alterações de associação efetuadas a um grupo aninhado são aplicadas automaticamente à associação efetiva do grupo principal.
Importante
Evite criar grupos que incluam utilizadores e dispositivos, uma vez que tal pode levar a conflitos de políticas e comportamentos imprevisíveis durante as implementações do Intune.
Dica
Para criar grupos de dispositivos, pode utilizar categorias de dispositivos para associar automaticamente dispositivos a um grupo no momento em que se inscrevem no Intune.
Utilizador Dinâmico – com este tipo de associação, selecione Adicionar consulta dinâmica e, em seguida, configure as regras de associação dinâmica. Para obter orientações, veja Gerir regras para grupos de associação dinâmicos no Microsoft Entra ID.
Importante
Para utilizar grupos de UtilizadorEs Dinâmicos, tem de ter uma licença Microsoft Entra ID P1 para cada utilizador que seja membro do grupo dinâmico.
Dispositivo Dinâmico – com este tipo de associação, selecione Adicionar consulta dinâmica e, em seguida, configure as regras de associação dinâmica. Para obter orientações, veja Gerir regras para grupos de associação dinâmicos no Microsoft Entra ID.
Dica
Não é necessária nenhuma licença de Entra ID específica para membros de grupos de dispositivos dinâmicos.
A configuração proprietários é opcional. Por predefinição, o utilizador que cria um grupo é um proprietário. Para adicionar outros proprietários, selecione Sem proprietários selecionados e, em seguida, o separador Utilizadores , onde pode selecionar um ou mais utilizadores para adicionar como proprietários deste grupo.
Selecione Criar para adicionar o novo grupo. Seu grupo é mostrado na lista.
Editar um grupo
Enquanto administrador do Intune, pode editar grupos, como alterar os membros do grupo, o proprietário e as propriedades.
Utilize os seguintes passos para editar um grupo existente:
- Entre no Centro de administração do Microsoft Intune.
- Selecione Grupos>Todos os grupos>selecione o nome de um grupo a editar.
- No grupo de menus Gerir , selecione uma área do grupo a editar, como Propriedades, Membros ou Proprietários. O Intune apresenta a interface de utilizador relacionada com essa opção de configuração.
Excluir um grupo
Enquanto administrador do Intune, pode eliminar grupos que já não são necessários.
Utilize os seguintes passos para eliminar um grupo existente:
- Entre no Centro de administração do Microsoft Intune.
- Selecione Grupos>Todos os grupos.
- Selecione a caixa de verificação para cada grupo que pretende eliminar e, em seguida, selecione Eliminar das opções na parte superior da vista Todos os Grupos . Em alternativa, pode selecionar o nome de um grupo para abrir a página Descrição Geral de um único grupo e, em seguida, selecionar Eliminar* na parte superior dessa vista.
Dica
Depois de um grupo ser eliminado, poderá demorar algum tempo até aparecer na lista Grupos eliminados .