O Microsoft Intune é a solução de gestão de dispositivos (MDM) incluída no Microsoft 365 Business Premium e E3/E5. Permite gerir PCs Windows, Macs, iPhones e Androids a partir de um portal web — sem precisar de servidor físico, sem Active Directory on-premises, sem VPN para gestão. Para PME que querem controlo sobre os dispositivos da organização sem a complexidade de uma infra tradicional, o Intune é a resposta.
Este artigo cobre os cenários mais comuns em PME: como enrolar dispositivos Windows, como configurar políticas básicas de segurança (BitLocker, senha de ecrã, restrições de aplicações) e como usar o Intune em conjunto com Entra ID sem substituir uma infra AD existente.
Neste artigo
- O que o Intune faz — capacidades essenciais para PME
- Modelos de adesão — AD Join, Entra Join e Hybrid
- Enrolar dispositivos Windows no Intune
- Políticas de compliance — requisitos mínimos de segurança
- Configurar BitLocker via Intune
- Políticas de configuração — restrições e definições
- Windows Autopilot — provisioning zero-touch
- Acções remotas — wipe, lock, reset password
- Intune em PME sem Active Directory on-premises
1. O que o Intune faz — capacidades essenciais para PME
| Capacidade | O que permite fazer | Relevância PME |
|---|---|---|
| Enrolment de dispositivos | Registar PCs, Macs, iOS e Android na gestão centralizada | Alta — visibilidade total dos dispositivos da organização |
| Políticas de compliance | Definir requisitos mínimos (BitLocker, senha, antivírus activo) e bloquear acesso M365 em dispositivos não conformes | Alta — base de segurança NIS2 |
| Configuração remota | Aplicar definições de Windows (Wi-Fi, VPN, restrições, proxy) sem GPO ou visita ao PC | Alta — especialmente para trabalho remoto |
| Distribuição de aplicações | Instalar, actualizar e remover aplicações em todos os dispositivos remotamente | Média — útil mas requer configuração inicial |
| BitLocker centralizado | Activar e guardar chaves de recuperação BitLocker na cloud — não perdes o acesso ao PC | Alta — obrigatório para RGPD e NIS2 |
| Wipe remoto | Apagar remotamente um dispositivo perdido ou roubado | Alta — protecção de dados em caso de furto |
ℹ Intune está incluído no Business Premium
O Intune Plan 1 está incluído no Microsoft 365 Business Premium ($22/mês). Se a organização já tem Business Premium, o Intune está disponível sem custo adicional — basta activá-lo em intune.microsoft.com. Verificar em admin.microsoft.com → Billing → Licences → confirmar que a licença inclui “Microsoft Intune”.
2. Modelos de adesão — AD Join, Entra Join e Hybrid
| Modelo | O PC está ligado a… | Gestão via | Ideal para |
|---|---|---|---|
| AD Join (tradicional) | Active Directory on-premises | GPO + SCCM/WSUS | Organizações com infra on-premises estabelecida e IT com experiência AD |
| Entra ID Join (cloud-only) | Microsoft Entra ID (cloud) | Intune | PME sem servidor on-premises — a melhor opção para novas implementações |
| Hybrid Entra Join | AD on-premises E Entra ID | GPO + Intune (dual) | Organizações em transição — têm AD mas querem começar a usar Intune |
3. Enrolar dispositivos Windows no Intune
Método A — Entra ID Join durante o setup inicial do Windows (OOBE)
Ideal para PCs novos — o utilizador associa o PC à organização durante o primeiro arranque:
- No ecrã “Configurar para uma organização” do Windows Setup, introduzir o email corporativo (
[email protected]) - Autenticar com as credenciais M365 (password + MFA)
- O Windows associa-se ao Entra ID e enrola automaticamente no Intune (se o MDM auto-enrolment estiver activado)
- Após alguns minutos, as políticas do Intune começam a aplicar-se automaticamente
Método B — Enrolment de PC já em uso (sem formatar)
- No PC: Definições Windows → Contas → Aceder a profiss. ou escola → Ligar
- Clicar em “Aderir a este dispositivo ao Azure Active Directory” (para Entra Join) ou “Adicionar uma conta profissional ou escolar” (para registo MDM sem join)
- Introduzir email corporativo e autenticar
- O enrolment Intune ocorre automaticamente nos minutos seguintes
Activar MDM auto-enrolment no portal Intune
Caminho: intune.microsoft.com → Devices → Enrollment → Windows → Automatic Enrollment
- MDM user scope: seleccionar All (todos os utilizadores) ou Some (grupo específico)
- MAM user scope: configurar se queres gerir aplicações em dispositivos pessoais (BYOD)
- Guardar — o auto-enrolment fica activo imediatamente
4. Políticas de compliance — requisitos mínimos de segurança
Uma política de compliance define os requisitos que um dispositivo tem de cumprir para ser considerado “em conformidade”. Em conjunto com o Conditional Access do Entra ID, dispositivos não conformes podem ter o acesso ao Microsoft 365 bloqueado.
Caminho: intune.microsoft.com → Devices → Compliance policies → Create policy → Windows 10 and later
| Definição de compliance | Valor recomendado | Impacto |
|---|---|---|
| Require BitLocker | Require | Dispositivos sem BitLocker ficam não conformes — acesso M365 bloqueado |
| Require Secure Boot | Require | Exige arranque seguro (hardware moderno) |
| Minimum OS version | Windows 11 22H2 ou superior | Bloqueia acesso de sistemas com Windows desactualizado |
| Antivirus | Required | Exige antivírus activo e actualizado (Windows Defender ou terceiro) |
| Password required | Required | Exige PIN ou password de ecrã de bloqueio |
| Mark device noncompliant after (days) | 1 dia | Período de graça antes de bloquear — 1 dia dá tempo para o utilizador corrigir |
5. Configurar BitLocker via Intune
O BitLocker via Intune cifra o disco automaticamente e guarda a chave de recuperação no portal Intune/Entra ID — nunca se perde a chave numa folha de papel. Em caso de falha de autenticação, o helpdesk consegue aceder à chave em segundos.
Caminho: intune.microsoft.com → Endpoint security → Disk encryption → Create policy → Windows 10 and later → BitLocker
| Definição | Valor recomendado |
|---|---|
| Require device encryption | Yes |
| BitLocker OS drive settings — Encryption method | AES-CBC 256-bit |
| Save BitLocker recovery information to Azure AD | Required — before BitLocker is enabled |
| Warning for other disk encryption | Block (impede que o utilizador veja o aviso de encriptação — silencioso) |
Como obter a chave de recuperação BitLocker de um utilizador:
Caminho: intune.microsoft.com → Devices → [nome do dispositivo] → Recovery keys
A chave de 48 dígitos aparece imediatamente. O helpdesk pode fornecer ao utilizador sem precisar de deslocação física ao PC.
6. Políticas de configuração — restrições e definições
Caminho: intune.microsoft.com → Devices → Configuration → Create → New policy → Windows 10 and later
| Política | Template | O que configura |
|---|---|---|
| Password de ecrã de bloqueio | Device restrictions → Password | Comprimento mínimo, complexidade, timeout de bloqueio (recomendado: 5 min), máx. tentativas falhadas |
| Atualização automática do Windows | Update rings for Windows 10 and later | Janela de instalação de updates, adiamento de feature updates, restart agendado |
| Configuração de Wi-Fi empresarial | Wi-Fi | SSID, tipo de segurança, certificado — os dispositivos ligam automaticamente à rede da empresa |
| Restrições de dispositivo | Device restrictions | Bloquear câmara, gravação de ecrã, USB storage, App Store, etc. |
| Windows Defender / Antivírus | Endpoint security → Antivirus | Activar protecção em tempo real, scan agendado, exclusões — integra com Defender for Business |
7. Windows Autopilot — provisioning zero-touch
O Windows Autopilot permite enviar um PC novo directamente do fornecedor para o utilizador final — sem o IT precisar de o tocar. O utilizador liga o PC, introduz o email e password corporativos, e o Windows configura-se automaticamente com todas as políticas e aplicações definidas no Intune.
- Registar o hardware ID do PC no Intune (obtido com o fabricante/revendedor ou extraído com PowerShell)
- Criar um perfil Autopilot: intune.microsoft.com → Devices → Enrollment → Windows Autopilot → Deployment Profiles
- Configurar: User-driven, Entra ID Join, nome do dispositivo, OOBE simplificado
- Atribuir o perfil ao dispositivo ou grupo de dispositivos
- Enviar o PC ao utilizador — no primeiro arranque entra em modo Autopilot e configura-se automaticamente
# Extrair hardware ID para registo Autopilot (executar no PC a registar) Install-Script -Name Get-WindowsAutopilotInfo -Force Get-WindowsAutopilotInfo -OutputFile C:\temp\AutopilotHWID.csv # O ficheiro CSV pode ser importado directamente em: # intune.microsoft.com → Devices → Enrollment → Windows Autopilot → Devices → Import
8. Acções remotas — wipe, lock, reset password
Caminho: intune.microsoft.com → Devices → All devices → [dispositivo] → …
| Acção | O que faz | Quando usar |
|---|---|---|
| Wipe | Repõe o Windows de fábrica — apaga todos os dados | PC perdido ou roubado, colaborador que saiu e reteve o PC |
| Retire | Remove o dispositivo da gestão Intune mas mantém os dados pessoais | BYOD — remover gestão sem apagar dados pessoais do utilizador |
| Lock | Bloqueia o ecrã do dispositivo remotamente | PC esquecido desbloqueado sem supervisão |
| Sync | Força o dispositivo a fazer check-in e aplicar políticas imediatamente | Após alterar uma política — verificar se foi aplicada sem esperar o próximo ciclo |
| Collect diagnostics | Recolhe logs do dispositivo para o portal Intune | Diagnóstico remoto de problemas sem acesso físico ao PC |
9. Intune em PME sem Active Directory on-premises
A dúvida mais comum em PME: “Precisamos de servidor para usar o Intune?” A resposta é não. O Intune funciona completamente sem Active Directory on-premises. Em vez disso, usa o Entra ID (cloud) como directório. Para PME que estão a começar ou que querem eliminar o servidor de AD, este é o caminho recomendado.
| Funcionalidade AD tradicional | Equivalente cloud-only |
|---|---|
| Domain Join (domínio Windows) | Entra ID Join |
| Group Policy Objects (GPO) | Intune Configuration Profiles |
| Contas de utilizador AD | Contas Entra ID (M365) |
| Software deployment (SCCM/GPO) | Intune App deployment |
| WSUS (gestão de updates) | Intune Update Rings + Windows Update for Business |
| Pastas partilhadas em servidor de ficheiros | SharePoint Online + OneDrive (nem tudo migra facilmente — avaliar caso a caso) |
Artigos relacionados no kbase.pt
