• Artigo

Políticas de Conformidade no Configuration Manager

 

Aplica-se A: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

As informações deste tópico aplicam-se apenas ao System Center 2012 Configuration Manager SP1 ou posterior e ao System Center 2012 R2 Configuration Manager ou posterior.

As políticas de conformidade do Gestor de configuração definem as regras e as definições que um dispositivo tem de cumprir para ser considerado conforme com as políticas de acesso condicional. Também pode utilizar as políticas de conformidade para monitorizar e resolver problemas de conformidade com dispositivos independentemente do acesso condicional.

System_CAPS_importantImportante

As políticas de conformidade só se aplicam aos dispositivos geridos pelo Microsoft Intune.

Estas regras incluem:

  • PINs e palavras-passe

  • Encriptação

  • Se o dispositivo está desbloqueado por jailbrake ou rooting

  • Se o e-mail no dispositivo é gerido por uma política do Intune

  • Versão mínima de SO obrigatória - normalmente, depende das políticas de conformidade da empresa e requisitos de segurança. Ajuda a evitar o acesso aos dispositivos que poderão ter vulnerabilidades de segurança por estarem a utilizar uma versão mais antiga do SO.

  • Versão do SO máxima permitida - pode optar por não suportar a versão mais recente do SO disponível antes dos testes ou por outros motivos. Pode optar por bloquear dispositivos que tenham uma versão posterior à especificada. O dispositivo só conseguirá aceder aos recursos de empresa depois de a política ser alterada.

Nota

Para utilizar as regras de Versão Mínima ou Máxima do SO, tem de utilizar a Extensão de acesso condicional mais recente para o System Center 2012 R2 Configuration Manager SP1.

Nota

  • Em PCs Windows, versão 8.1 do Sistema Operativo Windows é reportada como 6.3 em vez de 8.1. Se a regra de versão do SO estiver definida como Windows 8.1 para o Windows, o dispositivo será reportado como não conforme mesmo que tenha o sistema operativo Windows 8.1. Certifique-se de que define a versão reportada correta do Windows para as regras de SO Mínimo e Máximo. O número de versão tem de corresponder à versão devolvida pelo comando winver.

    Os dispositivos Windows Phone não têm este problema; a versão é reportada como 8.1 conforme esperado.

  • Nos PCs Windows com o sistema operativo Windows 10, a versão deve ser definida como "10.0" + o número de Compilação do SO devolvido pelo comando winver. Por exemplo, poderia ser semelhante a 10.0.10586.

    CA_Win10OSversion

    O Windows 10 Mobile não tem este problema.

As políticas de conformidade são implementas em coleções de utilizadores. Quando uma política de conformidade é implementada num utilizador, todos os dispositivos do utilizador são verificados relativamente à conformidade.

A tabela seguinte lista os tipos de dispositivos suportados pelas políticas de conformidade e como são geridas as definições não conformes quando as políticas são utilizadas com uma política de acesso condicional.

Tipo de dispositivo

Configuração do PIN ou da palavra-passe

Encriptação do dispositivo

Dispositivo desbloqueado por jailbreak ou obtenção de controlo de raiz

Perfil de e-mail

Versão mínima do SO

Versão máxima do SO

Windows 8.1 e posterior

Corrigido

N/D

N/D

N/D

Em quarentena

Em quarentena

Windows Phone 8.1 e posterior

Corrigido

Corrigido

N/D

N/D

Em quarentena

Em quarentena

iOS 6.0 e posterior

Corrigido

Corrigido (ao definir um PIN)

Em quarentena (não é uma definição)

Em quarentena

Em quarentena

Em quarentena

Android 4.0 e posterior

Em quarentena

Em quarentena

Em quarentena (não é uma definição)

N/D

Em quarentena

Em quarentena

Samsung KNOX Standard 4.0 e posterior

Em quarentena

Em quarentena

Em quarentena (não é uma definição)

N/D

Em quarentena

Em quarentena

Corrigido = a conformidade é imposta pelo sistema operativo do dispositivo (por exemplo, o utilizador é forçado a definir um PIN). Nunca se dá o caso de a definição não ser conforme.

Em quarentena = o sistema operativo do dispositivo não impõe a conformidade (por exemplo, os dispositivos Android não forçam o utilizador a encriptar o dispositivo). Neste caso:

  • O dispositivo será bloqueado se for aplicada uma política de acesso condicional ao utilizador.

  • O portal da empresa ou o portal Web notificará o utilizador sobre eventuais problemas de conformidade.

Passo 1: Criar uma política de conformidade

  1. Na consola do Gestor de configuração, clique em Ativos e Conformidade.

  2. Na área de trabalho Ativos e Conformidade, expanda Definições de Conformidade e clique em Políticas de Conformidade.

  3. No separador Home Page, no grupo Criar, clique em Criar Política de Conformidade.

  4. Na página Geral do Assistente para Criar Política de Conformidade, especifique as seguintes informações:

    Definição

    Mais informações

    Nome

    Introduza um nome exclusivo para a política de conformidade. Pode utilizar até 256 carateres.

    Descrição

    Introduza uma descrição que apresente uma perspetiva geral do perfil VPN e que ajude a identificá-lo na consola do Gestor de configuração. Pode utilizar até 256 carateres.

    Gravidade de não conformidade para relatórios

    Especifica o nível de gravidade comunicado se esta política de compatibilidade for avaliada como incompatível. Os níveis de gravidade disponíveis são os seguintes:

    • Nenhum Os dispositivos que não cumpram esta regra de compatibilidade não comunicam uma gravidade de falha para os relatórios do Gestor de configuração.

    • Informações Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Informações para os relatórios do Gestor de configuração.

    • Aviso Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Aviso para os relatórios do Gestor de configuração.

    • Crítico Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Crítica para os relatórios do Gestor de configuração.

    • Crítico com evento Os dispositivos que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha de Crítica para os relatórios do Gestor de configuração. Este nível de gravidade é também registado como um evento do Windows no registo de eventos da aplicação.

  5. Na página Plataformas Suportadas, selecione as plataformas de dispositivos nas quais esta política de conformidade será avaliada ou clique em Selecionar tudo para escolher todas as plataformas de dispositivos.

  6. Na página Regras, pode definir uma ou mais regras que definem a configuração que os dispositivos têm de ter para serem avaliados como conformes. A tabela seguinte mostra as regras disponíveis. Quando cria uma política de conformidade, algumas regras são ativadas por predefinição, mas pode editá-las ou eliminá-las.

    Nome da regra

    Mais informações

    Plataformas suportadas

    Exigir definições de palavra-passe em dispositivos móveis

    Requer que os utilizadores introduzam uma palavra-passe antes de poderem aceder ao respetivo dispositivo.

    (Ativado por predefinição)

    • Windows Phone 8 e posterior

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    Permitir palavras-passe simples

    Permitir aos utilizadores criar palavras-passe simples, como «1234» ou «1111».

    (Desativado por predefinição)

    • Windows Phone 8 e posterior

    • iOS 6 e posterior

    Comprimento mínimo da palavra-passe1

    Especifica o número mínimo de dígitos ou carateres que a palavra-passe do utilizador deve ter.

    (6 por predefinição)

    • Windows Phone 8 e posterior

    • Windows 8,1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    Encriptação de ficheiros em dispositivo móvel

    Requer que o dispositivo seja encriptado para se ligar aos recursos.

    Os dispositivos que executam o Windows Phone 8 são encriptados automaticamente.

    System_CAPS_importantImportante

    Os dispositivos que executam o iOS são encriptados quando configura a definição Exigir definições de palavra-passe em dispositivos móveis.

    (Ativado por predefinição)

    • Windows Phone 8 e posterior

    • Windows 8,1

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    O dispositivo não deve ser desbloqueado por jailbreak ou obtenção de controlo de raiz

    Se estiver ativado, os dispositivos desbloqueados por jailbreak (iOS) ou por obtenção de controlo de raiz (Android) não estarão em conformidade.

    (Desativado por predefinição)

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    O perfil de e-mail tem de ser gerido pelo Intune

    Se esta opção estiver definida como Sim, o dispositivo tem de utilizar o perfil de e-mail implementado no dispositivo. O dispositivo é considerado não conforme nas seguintes situações:

    • O perfil de e-mail também tem de ser implementado no mesmo grupo de utilizadores como grupo de utilizadores visado pela política de conformidade; caso contrário, os dispositivos dos utilizadores serão considerados não conformes.

    • O dispositivo será considerado como não conforme se o utilizador tiver configurado uma conta de e-mail no dispositivo que corresponda ao perfil de e-mail do Intune implementado no dispositivo.

    • O Intune não pode substituir o perfil aprovisionado pelo utilizador, pelo que não o consegue gerir. Para garantir a conformidade, o utilizador tem de remover as definições de e-mail existentes e o Intune poderá, então, instalar o perfil de e-mail gerido.

    Para detalhes sobres os perfis de e-mail, consulte Ativar acesso ao e-mail empresarial utilizando perfis de e-mail com o Microsoft Intune.

    (Desativado por predefinição)

    • iOS 6 e posterior

    Perfil de e-mail

    Se a opção Conta de e-mail tem de ser gerida pelo Intune estiver selecionada, clique em Selecionar para escolher o perfil de e-mail através do qual os dispositivos têm de ser geridos. O perfil de e-mail tem de estar presente no dispositivo.

    • iOS 6 e posterior

    SO Mínimo obrigatório

    Quando um dispositivo não cumpre o requisito de versão mínima do SO, será reportado como não conforme. Será apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo para poder aceder aos recursos de empresa.

    • Windows Phone 8 e posterior

    • Windows 8,1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    Versão máxima de SO permitida

    Quando um dispositivo está a utilizar uma versão do SO posterior à especificada na regra, o acesso aos recursos da empresa é bloqueado e é pedido ao utilizador que contacte o administrador de TI. Até a regra ser alterada para permitir a versão do SO, este dispositivo não pode ser utilizado no acesso aos recursos da empresa.

    • Windows Phone 8 e posterior

    • Windows 8,1

    • iOS 6 e posterior

    • Android 4.0 e posterior

    • Samsung KNOX Standard 4.0 e posterior

    1 Para dispositivos que executam o Windows e estão protegidos com uma Conta Microsoft, a política de conformidade não será avaliada corretamente se o Comprimento mínimo da palavra-passe for maior que oito carateres ou se o Número mínimo de conjuntos de carateres for maior que dois.

  7. Na página Resumo do assistente, reveja as definições efetuadas e conclua o assistente.

A nova política é apresentada no nó Políticas de Conformidade da área de trabalho Ativos e Conformidade.

Implementar uma política de conformidade

  1. Na consola do Gestor de configuração, clique em Ativos e Conformidade.

  2. Na área de trabalho Ativos e Conformidade, expanda Definições de Conformidade e clique em Políticas de Conformidade.

  3. No separador Home Page, no grupo Implementação, clique em Implementar.

  4. Na caixa de diálogo Implementar Política de Conformidade, clique em Procurar para selecionar a coleção de utilizadores na qual a política será implementada.

    Além disso, pode selecionar opções de geração de alertas quando a política não está em conformidade, bem como configurar a agenda com base na qual a política será avaliada em termos de conformidade.

  5. Quando tiver terminado, clique em OK.

Monitorizar a política de conformidade

Para ver os resultados de conformidade na consola do Configuration Manager

  1. Na consola do Gestor de configuração, clique em Monitorização.

  2. Na área de trabalho Monitorização, clique em Implementações.

  3. Na lista Implementações, selecione a implementação de política de conformidade cujas informações de conformidade pretende rever.

  4. Poderá rever as informações de resumo sobre a conformidade da implementação da política na página principal. Para ver informações mais detalhadas, selecione a implementação e, no separador Home Page, no grupo Implementação, clique em Ver Estado para abrir a página Estado da Implementação.

    A página Estado da Implementação contém os seguintes separadores:

    - **Conforme:** apresenta a conformidade da política com base no número de ativos afetados. Pode clicar numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos conformes com esta regra. O painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos conformes com a política. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar informações adicionais.

- **Erro**: apresenta uma lista de todos os erros da implementação da política selecionada com base no número de ativos afetados. Pode fazer duplo clique numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos que geraram erros com esta regra. Quando seleciona um utilizador ou dispositivo, o painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos que são afetados pelo problema selecionado. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar informações adicionais sobre o problema.

- **Não conforme:** apresenta uma lista de todas as regras de não conformidade na política com base no número de ativos afetados. Pode clicar numa regra para criar um nó temporário sob o nó **Utilizadores** ou **Dispositivos** na área de trabalho **Ativos e Conformidade** que contém todos os utilizadores ou dispositivos não conformes com esta regra. Quando seleciona um utilizador ou dispositivo, o painel **Detalhes do Ativo** apresenta os utilizadores ou os dispositivos que são afetados pelo problema selecionado. Faça duplo clique num utilizador ou num dispositivo na lista para visualizar mais informações sobre o problema.

- **Desconhecido:** apresenta uma lista de todos os utilizadores e dispositivos que não reportaram conformidade para a implementação da política selecionada, juntamente com o estado atual do cliente dos dispositivos.

Próximos Passos

Agora, pode utilizar a política de conformidade com políticas de acesso condicional para controlar o acesso aos serviços da sua organização.