Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Enquanto administrador de segurança, utilize Intune políticas de segurança de ponto final para configurar e gerir as definições de segurança nos seus dispositivos geridos. As políticas de segurança de pontos finais são perfis de segurança criados para fins que se focam em cenários de segurança de dispositivos específicos, proporcionando uma abordagem simplificada para implementar e gerir controlos de segurança em toda a sua organização.
Em comparação com a gestão das definições de segurança através de políticas de configuração de dispositivos, as políticas de segurança de pontos finais oferecem várias vantagens principais:
- Gestão de segurança focada: cada tipo de política destina-se a áreas de segurança específicas (antivírus, firewall, encriptação de disco, etc.) sem a complexidade de perfis de configuração de dispositivos mais amplos.
- Abordagem de segurança inicial: políticas concebidas especificamente para cenários de segurança em vez de gestão geral de dispositivos.
- Organizado por função de segurança: agrupado por carga de trabalho de segurança (antivírus, firewall, etc.) em vez de misturado com definições gerais de gestão de dispositivos.
- Monitorização abrangente: relatórios incorporados e deteção de conflitos para garantir que as políticas de segurança são implementadas com êxito.
Compreender a integração da política de segurança de pontos finais
Ao implementar políticas de segurança de ponto final juntamente com outros tipos de política Intune, planeie a sua abordagem para minimizar os conflitos de configuração. Todos os Intune tipos de política são tratados como origens iguais das definições de configuração do dispositivo, o que significa que os conflitos ocorrem quando um dispositivo recebe configurações diferentes para a mesma definição de várias políticas.
Cenários de conflito comuns:
- As linhas de base de segurança podem definir valores não predefinidos para que as definições estejam em conformidade com as configurações recomendadas, enquanto as políticas de segurança e configuração de dispositivos de ponto final normalmente são predefinidas para Não configurado . Misturar estas abordagens pode criar conflitos (resolve conflitos).
- Políticas de configuração de dispositivos que gerem as mesmas definições que as políticas de segurança de pontos finais (resolve conflitos).
- Várias políticas de segurança de ponto final que definem valores diferentes para a mesma definição (gerir conflitos).
Quando ocorrem conflitos, as definições afetadas podem não ser aplicadas corretamente. Planeie a sua arquitetura de política e utilize a documentação de orientação associada para identificar e resolve conflitos.
Tipos de política de segurança de ponto final disponíveis
Aceder a políticas de segurança de pontos finais a partir da Segurança > de ponto finalGerir no centro de administração do Microsoft Intune.
- Objetivo: proteger identidades e contas de utilizador através de métodos de autenticação modernos
- Suporte da plataforma: Windows
- Perfis disponíveis: Proteção de conta, Solução de palavra-passe de administrador local (LapS do Windows), Associação a grupos de utilizadores locais
- Caso de utilização: Implementar a autenticação sem palavra-passe e a proteção de credenciais
- Objetivo: Configurar e gerir definições de proteção antivírus
- Suporte da plataforma: Windows, macOS, Linux
- Perfis disponíveis: controlos de Atualização do Defender, Antivírus Microsoft Defender, exclusões do Antivírus Microsoft Defender, experiência de Segurança do Windows, antivírus de segurança do Ponto Final do macOS
- Caso de utilização: gerir centralmente Microsoft Defender políticas antivírus em dispositivos Windows
Controlo de Aplicações para Empresas
- Objetivo: controlar as aplicações que podem ser executadas em dispositivos Windows com o Controlo de Aplicações do Windows Defender (WDAC)
- Suporte da plataforma: Windows
- Perfis disponíveis: Controlo de Aplicações do Windows Defender (WDAC)
- Caso de utilização: Implementar a lista de permissões de aplicações e controlar a execução de software
Redução de superfície de ataque
- Objetivo: Reduzir potenciais vetores de ataque e vulnerabilidades do sistema
- Suporte da plataforma: Windows
- Perfis disponíveis: Isolamento de aplicações e browsers, Regras de redução da superfície de ataque, Controlo de dispositivos, Proteção contra exploits, Controlo de aplicações
- Caso de utilização: proteger dispositivos contra métodos e técnicas de ataque comuns
- Requisitos: Microsoft Defender Antivírus tem de ser a solução antivírus principal
- Objetivo: Gerir métodos de encriptação incorporados para proteção de dados
- Suporte da plataforma: Windows, macOS
- Perfis disponíveis: BitLocker, Encriptação de Dados Pessoais (PDE), MacOS FileVault
- Caso de utilização: garantir a proteção de dados inativos com tecnologias de encriptação nativas
Detecção e resposta de ponto de extremidade
- Objetivo: Configurar a integração e integração do Microsoft Defender para Ponto de Extremidade
- Suporte da plataforma: Windows, macOS, Linux
- Perfis disponíveis: Deteção e resposta de pontos finais (para integração e configuração)
- Caso de utilização: Ativar capacidades avançadas de deteção de ameaças e resposta
- Requisitos: Microsoft Defender para Ponto de Extremidade licenciamento e ligação de inquilino
- Objetivo: Configurar a proteção de firewall incorporada
- Suporte da plataforma: Windows, macOS
- Perfis disponíveis: Firewall do Windows, regras da Firewall do Windows, Firewall do macOS
- Caso de utilização: Controlar o acesso à rede e implementar a segmentação de rede
Funcionalidades de gestão melhoradas
As políticas de segurança de pontos finais incluem as seguintes capacidades de gestão para além da implementação de políticas básicas:
Grupos de definições reutilizáveis: crie configurações padronizadas que podem ser partilhadas em várias políticas, reduzindo a sobrecarga administrativa e garantindo consistência. Suportado por:
- Firewall>Perfil de regras da Firewall do Windows (plataforma Windows)
- Redução da superfície de ataque>Perfil de controlo de dispositivos (plataforma Windows)
Gestão de definições de segurança através do portal do Microsoft Defender: quando os dispositivos têm Microsoft Defender para Ponto de Extremidade mas não estão inscritos no Intune, pode utilizar políticas de segurança de ponto final selecionadas (Antivírus, Redução da Superfície de Ataque, EDR) diretamente no portal do Defender. Isto fornece:
- Gestão de segurança alargada para dispositivos que não estão inscritos com Intune no seu ambiente.
- Experiência de gestão de políticas unificada através do portal do Defender.
- Controlos de segurança consistentes em dispositivos inscritos e não inscritos.
Controlo de acesso baseado em funções para segurança de pontos finais
A gestão de políticas de segurança de pontos finais requer permissões de controlo de acesso baseado em funções (RBAC) adequadas Intune. Compreender o modelo de permissão RBAC atual é essencial para uma atribuição de funções adequada e acesso de gestão de políticas.
Observação
Intune está a transitar da utilização da permissão de linhas de base de Segurança unificadas para todas as cargas de trabalho de segurança de pontos finais para permissões granulares para tipos de política individuais. Esta transição fornece um controlo de acesso mais preciso, mas resulta em diferentes requisitos de permissão entre tipos de políticas.
Permissões RBAC necessárias
As políticas de segurança de pontos finais utilizam permissões granulares para cargas de trabalho específicas ou a permissão Linhas de base de segurança. A permissão necessária varia de acordo com o tipo de política:
Permissões granulares (acesso específico da política):
- Controlo de aplicações para Empresas – Políticas e relatórios de controlo de aplicações
- Redução da superfície de ataque – a maioria das políticas de redução da superfície de ataque. (Veja a seguinte nota importante)
- Deteção e resposta de pontos finais – Políticas e relatórios EDR
Permissão de linhas de base de segurança (acesso unificado):
- Políticas antivírus (todos os perfis)
- Políticas de proteção de contas
- Políticas de encriptação de discos
- Políticas de firewall
- Alguns Perfis de redução da superfície de ataque : isolamento de aplicações e browsers, proteção Web, Proteção contra exploits, Acesso controlado a pastas
Importante
Para políticas de redução da superfície de ataque, marcar os requisitos de perfil específicos. Alguns perfis utilizam a permissão granular Redução da superfície de ataque , enquanto outros necessitam da permissão Linhas de base de segurança .
Para obter requisitos detalhados específicos do perfil, veja Considerações sobre funções personalizadas.
Importante
A permissão granular do Antivírus para políticas de segurança de pontos finais pode estar temporariamente visível em alguns Inquilinos. Esta permissão não é lançada e não é suportada para utilização. As configurações da permissão Antivírus são ignoradas por Intune. Quando o Antivírus ficar disponível para ser utilizado como uma permissão granular, anuncie bem a sua disponibilidade no artigo Novidades no Microsoft Intune.
Funções RBAC incorporadas
As seguintes Intune funções incorporadas fornecem acesso a cargas de trabalho de segurança de pontos finais:
- Endpoint Security Manager – capacidades de gestão completas em todas as políticas de segurança de pontos finais.
- Operador do Suporte Técnico – tarefas operacionais limitadas e acesso de leitura.
- Operador Só de Leitura – acesso só de visualização a políticas e relatórios.
Considerações sobre funções personalizadas
Acesso a relatórios: o direito Ver Relatórios para Configurações de dispositivos também fornece acesso a relatórios de política de segurança de pontos finais.
Integração do portal do Defender: a gestão de definições de segurança através do portal do Defender utiliza o mesmo Intune permissões RBAC.
Aprovação multi Administração: as modificações de funções podem exigir a aprovação de administrador duplo consoante as definições de governação da sua organização.
Criar políticas de segurança de ponto final
Siga este fluxo de trabalho geral para criar políticas de segurança de ponto final:
Navegue para a criação de políticas:
- Entre no Centro de administração do Microsoft Intune.
- Aceda a Segurança do ponto final> selecione o tipo > de política pretendido Criar Política.
Configurar noções básicas da política:
- Plataforma: escolha a plataforma do dispositivo de destino (as opções variam consoante o tipo de política).
- Perfil: selecione a partir dos perfis disponíveis para a plataforma escolhida.
- Selecione Criar para continuar.
Configuração de política completa:
- Noções básicas: forneça um nome descritivo e uma descrição opcional para o perfil.
- Definições de configuração: expanda cada grupo de definições e configure as definições que pretende gerir com este perfil. Quando terminar de configurar as definições, selecione Seguinte.
- Etiquetas de âmbito: selecione Selecionar etiquetas de âmbito para abrir o painel Selecionar etiquetas para atribuir etiquetas de âmbito ao perfil (opcional).
- Atribuições: selecione os grupos para receber este perfil. Veja Atribuir perfis de utilizador e de dispositivo.
- Rever + criar: reveja a configuração e selecione Criar quando estiver pronto. Em seguida, o novo perfil é apresentado na lista de políticas.
Gestão de políticas avançada
Políticas duplicadas
A duplicação de políticas simplifica a implementação ao permitir-lhe copiar configurações existentes e modificá-las para diferentes cenários, em vez de recriar políticas complexas do zero.
Casos de utilização comuns para a duplicação de políticas:
- Implementação do ambiente: copie as políticas de produção para ambientes de teste ou teste.
- Variações de grupo: crie políticas semelhantes para diferentes grupos de utilizadores (por exemplo, executivos vs. utilizadores gerais com requisitos de segurança ligeiramente diferentes).
- Personalização regional: adapte políticas para diferentes localizações geográficas com diferentes requisitos de conformidade.
- Implementações incrementais: crie várias versões da mesma política para implementações faseadas.
Fluxo de trabalho de duplicação:
- Localize a política de origem na lista de políticas.
- Selecione as reticências (...) >Duplicar.
- Forneça um novo nome descritivo e guarde.
- Edite a política duplicada para personalizar as definições do seu caso de utilização específico.
- Configurar novas atribuições de grupo para o cenário de destino.
Observação
As políticas duplicadas retêm todas as definições de configuração e etiquetas de âmbito da política original, mas não herdam atribuições. Tem de configurar novas atribuições e, normalmente, modificar algumas definições para corresponder ao seu cenário de destino.
Modificar políticas existentes
Atualize as políticas através da vista Propriedades:
- Selecione a política a modificar.
- Selecione Editar para cada secção que necessite de alterações (Noções básicas, Atribuições, Etiquetas de âmbito, Definições de configuração).
- Guarde as alterações após editar uma secção antes de avançar para a seguinte.
Gerir conflitos de políticas
Impedir e resolve conflitos de políticas através do planeamento e monitorização estratégicos:
Estratégias de prevenção:
- Planeie a arquitetura da política antes da implementação e documente os tipos de política que gerem definições específicas.
- Utilize abordagens de configuração consistentes entre tipos de política.
- Aplique linhas de base de segurança como origens de configuração primárias, quando apropriado.
Compreender os limites da política:
- Sobreposição de definições: muitas definições geridas por políticas de segurança de ponto final também estão disponíveis em políticas de configuração de dispositivos e linhas de base de segurança.
- Prioridade igual: todos os tipos de política têm precedência igual quando Intune avalia a configuração do dispositivo.
- Comportamento de conflito: quando várias políticas configuram a mesma definição com valores diferentes, a definição pode não ser aplicada e ser sinalizada como em conflito.
Fluxo de trabalho de resolução de problemas de conflitos:
- Identificar conflitos: monitorize os relatórios de implementação de políticas relativamente a sinalizadores de status de erros ou conflitos.
- Verificar definições: verifique que tipos de política visam a mesma definição em várias políticas.
- Reveja por definição status: utilize relatórios ao nível do dispositivo para identificar que políticas estão a ser aplicadas.
- Verificar linhas de base: determine se as linhas de base de segurança estão a definir valores não predefinidos que entrem em conflito com outras políticas.
- Aplicar resolução: utilize orientações específicas de políticas para resolve conflitos sistematicamente.
Recursos de resolução: resolver problemas de políticas e perfis no Intune e Monitorizar linhas de base de segurança.
Integração com o Microsoft Defender para Ponto de Extremidade
Muitas políticas de segurança de pontos finais têm uma integração profunda com Microsoft Defender para Ponto de Extremidade, desde o melhoramento opcional à integração essencial. Compreender estas relações é essencial para uma implementação bem-sucedida.
Dependências do Defender específicas da política
Deteção e Resposta de Pontos Finais (EDR):
- Requer integração: ligação de inquilino do Defender para Endpoint com Intune.
- Pacotes de inclusão: utiliza configurações de inclusão específicas do Defender para cada plataforma.
- Funcionalidade principal: fornece capacidades de resposta e deteção de ataques em tempo real.
Antivírus:
- Gestão entre plataformas: os dispositivos Windows utilizam o Antivírus Microsoft Defender incorporado, enquanto os dispositivos macOS utilizam Microsoft Defender para Ponto de Extremidade.
- Proteção contra adulteração: disponível no Windows e macOS com licenças do Defender para Endpoint P1 ou superior.
Redução da Superfície de Ataque:
- Requisitos: Microsoft Defender o Antivírus tem de ser a solução antivírus principal.
- Regras ASR: as regras de redução da superfície de ataque são funcionalidades nativas Microsoft Defender Antivírus que se integram com o Defender para Endpoint.
- Controlo do dispositivo: as políticas avançadas de controlo de dispositivos utilizam as capacidades de monitorização periférica do Defender.
Controlo de Aplicações:
- Instaladores geridos: integração com os mecanismos de confiança e etiquetagem de aplicações do Defender.
- Imposição de política: utiliza a infraestrutura do Defender para decisões de controlo de aplicações.
Benefícios de integração do Defender
- Postura de segurança unificada: visibilidade centralizada entre políticas de segurança de ponto final e deteção de ameaças.
- Relatórios avançados: dados combinados de conformidade de dispositivos e informações sobre ameaças.
- Gestão entre plataformas: implementação consistente de políticas de segurança no Windows, macOS e Linux através do agente do Defender.
- Gestão de definições de segurança: faça a gestão de políticas de segurança de pontos finais selecionadas (Antivírus, Redução da Superfície de Ataque, EDR) em dispositivos não inscritos através do portal do Defender. Veja Microsoft Defender para Ponto de Extremidade gestão de definições de segurança.
Pré-requisitos para a integração do Defender
- Licenciamento: Microsoft Defender para Ponto de Extremidade licença P1 ou superior.
- Ligação de inquilino: ligação serviço a serviço entre os inquilinos do Intune e do Defender para Endpoint.
- Implementação do agente: Agente do Defender para Endpoint instalado em dispositivos de destino (necessário para alguns tipos de política).
-
Conectividade de rede: acesso do dispositivo a
*.dm.microsoft.compontos finais para gestão de definições de segurança do Defender e comunicação de políticas.
Próximas etapas
- Explorar a Descrição geral da segurança do Ponto Final
- Reveja as linhas de base de segurança para obter configurações de segurança abrangentes
- Saiba mais sobre grupos de definições reutilizáveis
- Configurar a integração de Microsoft Defender para Ponto de Extremidade
- Compreender as estratégias de proteção de dispositivos