Políticas de Conformidade para iOS/iPadOS no Microsoft Intune — guia prático
Índice
1) Visão geral
Políticas de Conformidade de dispositivo no Intune definem os critérios mínimos para considerar um dispositivo saudável. No iOS/iPadOS, elas sinalizam atributos como versão mínima do sistema, jailbreak, requisitos de senha/bloqueio de tela e status do dispositivo. A partir disso, o Azure AD (Entra ID) pode exigir conformidade para liberar acesso a apps e dados corporativos via Acesso Condicional.
2) Pré‑requisitos
- Dispositivos iOS/iPadOS registrados no Intune (MDM). Para BYOD, use registro pelo Intune Company Portal.
- Permissões: pelo menos Intune Policy Administrator ou equivalentes.
- Licenças: Microsoft Intune (incluído no Microsoft 365 E3/E5, Business Premium, ou Intune Suite/Plan).
3) Criar política de conformidade
- No portal Intune → Devices → Compliance policies → Policies → Create policy.
- Plataforma: iOS/iPadOS.
- Defina as opções conforme sua baseline (veja recomendações abaixo).
- Em Actions for noncompliance, configure notificações e prazos.
- Conclua e faça a atribuição aos grupos alvo.
4) Configurações recomendadas (baseline)
| Categoria | Recomendação | Observações |
|---|---|---|
| Versão mínima do OS | iOS/iPadOS 16.x ou superior | Ajuste conforme suporte de apps. Evite versões fora de suporte. |
| Jailbreak | Bloquear (marcar como não conforme) | Critério essencial de integridade. |
| Senha/Bloqueio | Exigir senha/PIN com 6 dígitos | Permitir Face/Touch ID; exigir bloqueio automático ≤ 5 min. |
| Criptografia | Exigir armazenamento criptografado | Atendido quando há código de acesso configurado. |
| Versão do app Company Portal | Exigir versão atualizada | Minimiza falhas de avaliação. |
| Dispositivo gerenciado | Exigir MDM (Intune) | Para BYOD com MAM, use políticas de app em vez de conformidade. |
Dica: combine conformidade com políticas de Device Restriction e Configuration profiles (Wi‑Fi, certificados, e‑mail) para experiência completa.
5) Ações para dispositivos não conformes
- Mark device noncompliant imediatamente.
- Send email to end user com orientação e links de autoajuda.
- Schedule device compliance (prazo) antes de bloquear com acesso condicional.
- Opcional: notificação via Push (Company Portal) e automação com Logic Apps/Graph para casos críticos.
6) Atribuição e filtros
Atribua a Grupos do Entra ID (dinâmicos por sistema/plataforma) e use Filters para refinar (ex.: somente iPads, apenas dispositivos corporativos, modelo específico).
7) Relatórios e troubleshooting
- Em Devices → Monitor → Compliance, acompanhe status por política/dispositivo.
- Abra o dispositivo → Device compliance para ver Last check-in, erros e motivos.
- No dispositivo do usuário, peça para abrir o Company Portal e tocar em Check status.
- Use Device diagnostics para coletar logs e validar avaliações.
8) Integração com Acesso Condicional
- No portal do Entra ID → Security → Conditional Access → Policies → New policy.
- Usuários/grupos: os mesmos da sua política de conformidade (ou subset).
- Aplicativos: Microsoft 365 (Exchange, SharePoint, Teams) e apps críticos.
- Condições → Device: selecione Require device to be marked as compliant.
- Habilite a política (comece em Report-only para validar impacto).