Neste artigo vou mostrar como habilitar o registro automático de dispositivos Windows no Microsoft Intune.
Microsoft Intune é uma ferramenta de gerenciamento de ponto de extremidade baseado em nuvem, que possui o objetivo de ajudar as organizações a gerenciarem dispositivos moveis (Android, iOS, iPadOS), computadores notebooks e desktops (Windows, macOS, Linux e ChromeOS), implementando políticas para controlar o acesso dos usuários a recursos organizacionais, controlar a instalação de aplicativos, atualizações etc.
Para um aprofundamento sobre o que é o Intune, recomendo a leitura da documentação oficial da Microsoft.
É um sistema baseado em certificado que configura a participação do dispositivo ou usuário no Intune.
Mais especificamente, ele permite que os administradores configurem dispositivos por meio de perfis de dispositivo do Intune,
Avalia a conformidade dos dispositivos registrados com os padrões da empresa, como padrões de segurança.
Executa inventario de hardware e software.
Implanta aplicativos para dispositivos registrados.
Bloqueia a instalação de aplicativos.
Por exemplo, se um dispositivo for considerado em não conformidade com os padrões da empresa, realiza operações remotas de bloqueio e limpeza remota do dispositivo.
E uma variedade de outras funções.
O Intune possui 2 tipos de registros:
Registro Manual
Registro Automático
Registro Manual:
O usuário ingressa o dispositivo através das Configurações do Windows;
O usuário ingressa o dispositivo através do Portal da empresa (Aplicativo ou Website);
Registro Automático:
O dispositivo é ingressado através do Autopilot;
O dispositivo é ingressado através de GPO pelo Hybrid Azure AD Join;
O dispositivo é ingressado através do co-gerenciamento do Configuration Manager;
O dispositivo é ingressado através do Bulk enrollment (utilizando o Windows Configuration Design – WDC);
O que acontece no registro do dispositivo
Quando um dispositivo é registrado no Intune, no sistema do usuário, um ou mais certificados são instalados.
Algumas ações recorrentes são definidas na lista de tarefas agendadas.
Várias entradas são configuradas no registro.
É possível ver novas entradas nas configurações de Contas do dispositivo (Configurações, Contas).
É possível visualizar o dispositivo na página todos os dispositivos no centro de administração do Intune, e no portal do Azure.
Políticas e perfis criados no Intune serão enviados para o sistema.
Uma licença do Intune é marcada como em uso.
Certificados em um dispositivo Azure AD Join
Quando o dispositivo é registrado no Azure AD e no Intune são instalados 2 certificados em Computador Local, Pessoal, Certificados em CERTLM.MSC.
O certificado do registro Azure AD Join é identificado como MS-Organization-Access
O certificado do registro de Intune é identificado como Microsoft Intune MDM Device CA.
Quando um dispositivo é registrado no Azure AD e não ingressado no Azure AD como em um cenário BYOD ao invés do cenário de dispositivos de propriedade corporativa, os certificados serão exibidos em usuário local ao invés de computador local.
Usuário atual, Pessoal, Certificados em CERTMGR.MSC.
Quando um dispositivo é ingressado no Azure AD ou registrado no Azure AD, ele pode ser ingressado no Intune para gerenciamento.
Abaixo o exemplo das contas de um dispositivo que pertence a um domínio do Active Directory, e que também foi registrado no Azure AD e ingressado no Intune, é possível visualizar que o dispositivo está conectado em CloudMTI como MDM.
Abaixo o exemplo das contas de um dispositivo ingressado no Azure AD, a designação MDM da CloudMTI não é visualizado mais.
Mas acessando o link de gerenciar sua conta, é possível ver no site Minha conta (em https://myaccount.microsoft.com) que o dispositivo é gerenciado pelo Intune.
No lado da nuvem, é possível visualizar os dispositivos que foram registrados através do centro de administração do Intune, na coluna gerenciado por, e também a coluna de propriedade que indica se o dispositivo é BYOD registrado no Azure AD, ou se é um dispositivo de propriedade corporativa ingressado no Azure AD.
É possível também visualizar os dispositivos através do portal do Azure, dispositivos, todos os dispositivos e visualizar a lista de dispositivos junto com seu tipo de ingresso, registrado ou ingressado, proprietário, e o status do MDM, se os dispositivos estão sendo gerenciados pelo Intune.
Preparação para registro
Para preparar a organização para estar pronta para registrar dispositivos no Intune, é preciso definir a autoridade MDM para o Intune ao invés de Configuration Manager, um procedimento realizado apenas uma vez através do portal do Azure (geralmente essa configuração já vem configurada por padrão).
Configurações de restrições de registro, como por exemplo, por plataforma de dispositivo ou por grupo, é possível configurar no centro de administração do Intune, registro de dispositivo (Device enrollment > Enroll devices), onde é possível definir restrições como tipo de dispositivo e quantos dispositivos cada usuário pode registrar.
Utilizando um dos métodos de registro automático, é possível limitar o escopo do registro do Intune a determinados grupos de usuários do Azure AD utilizando o portal do Azure.
Como o Intune é uma assinatura paga cujo custo é calculado por usuário, é necessário habilitar a licença do Intune aos usuários através do portal do Azure.
Abaixo uma imagem da página do portal do Intune exibindo que a autoridade MDM foi configurada para o Microsoft Intune. Essa página pode ser acessada em Administração de locatários, Status de locatário.
Restrições de dispositivos são uteis porque reduzem a probabilidade de inscrições indesejadas que podem consumir licenças e criar dor de cabeça no gerenciamento dos dispositivos.
É possível criar restrições por plataforma acessando Restrições da plataforma de dispositivo de registro.
É possível limitar o registro das plataformas Android, Windows, MacOS e iOS.
No centro de administração do Microsoft Intune, acessar Dispositivos, Registrar dispositivos.
Em Restrições da plataforma de dispositivos de registro já contêm uma configuração de restrição padrão do Intune.
Essa configuração padrão permite o registro de dispositivos corporativos e pessoais para todos os usuários.
Dica/Recomendação
Para ter um controle maior e não permitir que qualquer usuário registre qualquer dispositivo no Intune. Em meus projetos eu costumo bloquear o registro de dispositivos pessoais na configuração padrão e criar nova restrição para permitir o registro de dispositivos pessoais apenas para usuários específicos.
Criar um grupo para os usuários que poderão registrar dispositivos pessoais. Esse grupo pode ser direto no Azure ou no Active Directory local sincronizado com o Azure.
Adicionar ao grupo os usuários que terão permissão para registrar dispositivos pessoais.
Criar uma nova restrição.
Definir um nome para a restrição.
Configurar para permitir registro MDM e dispositivos pessoais.
Avançar com as configurações padrões.
Atribuir a criação da restrição ao grupo criado.
Finalizar a criação da restrição.
Repetir a configuração para as outras plataformas.
Acessando Restrições de limite de dispositivo de registro, é possível limitar o número de dispositivos que qualquer usuário tem permissão de ingressar no Intune. E também é possível cria novas restrições e aplicar a grupos específicos.
Para configurar o Azure AD para que os dispositivos possam ingressar automaticamente no Azure AD e ingressar no Intune, é necessário ter uma licença do Azure AD Premium e uma licença do Intune.
Este recurso de registro automático será aplicado tanto para dispositivos ingressados, quanto dispositivos registrados.
É possível configurar esse registro automático do Intune através do portal do Azure ou através do Centro de administração do Intune (Intune Admin Center: Devices > Enroll devices > Windows enrollment > Automatic enrollment).
A configuração de interesse é o escopo dos usuários do MDM e podemos defini-la como nenhum, alguns por grupo, ou todos.
Para registrar automaticamente membros de determinados grupos do Azure AD no Intune, é selecionado a opção alguns e então especificar os grupos que podem ser grupos de usuários ao invés de grupos de dispositivos. Essa opção é a mais recomendada.
Vamos criar o grupo que será utilizado para habilitar o registro do Intune.
Esse grupo pode ser um grupo de segurança no Active Directory local e sincronizado com o Azure, pode ser um grupo com a licença do Intune habilitada, pode ser um grupo dinâmico no Azure, pegando como critério usuários que tenham a licença do Intune habilitada etc.
Neste exemplo vamos utilizar um grupo dinâmico do Azure que possui como membros usuários que tenham a licença do Intune habilitada. No centro de administração do Intune, acessar Grupos e clicar em Novo Grupo.
Tipo de Grupo: Segurança
Nome do grupo: gs-intune_users
Descrição do grupo: *Opcional
As funções do Microsoft Entra podem ser atribuídas ao grupo: Não
Tipo de associação: Usuário Dinâmico
Em Membros de usuário dinâmico clicar em Adicionar consulta dinâmica.
Clicar em Editar.
Para todos os planos que contêm o Intune, utilizar a sintaxe:
Para testar a sintaxe, clicar em Validar Regras, adicionar um usuário que possui a licença do Intune habilitada e validar, se o status aparecer o símbolo verde, é porque a sintaxe está funcionando corretamente e os usuários serão adicionados ao grupo automaticamente.
Clicando em Exibir detalhes é possível validar quais foram as regras exatas que o usuário deu match.
Após configurar a consulta dinâmica, clicar em Criar para criar o grupo.
Após criar o grupo já é possível visualizar que membros foram adicionados automaticamente.
Configurar registro automático
No centro de administração do Intune, acessar Dispositivos, Windows.
Acessar Windows registro, Registro Automático.
Na página de configuração de registro automático, em configuração do escopo dos usuários MDM e MAM na parte superior, as opções Nenhum, Alguns e Todos.
Selecionando a opção Alguns, é habilitado a opção de seleção dos grupos de usuários do Azure AD para os quais serão habilitados o registro automático de dispositivos no Intune, quando eles ingressarem ou registrarem o dispositivo no Azure AD. Vamos adicionar o grupo criado na opção MDM e no MAM.
Se for configurado escopos de usuários sobrepostos para ambos, gerenciamento de dispositivos moveis (MDM) e gerenciamento de aplicativos moveis (MAM), o usuário com dispositivo BYOD será registrado no MAM, mas não MDM. E um usuário com dispositivo corporativo ingressado no Azure AD será registrado no MDM.
Com isso finalizamos a configuração do registro automático de dispositivos.
