Microsoft 365 · Intune · Gestão de Dispositivos · MDM · MAM · Endpoint Security · Entra ID
Intune e Gestão de Dispositivos no Microsoft 365 em 2026: Guia para Administradores PME?
✎ Duarte Spínola | 2026-07-14
A gestão de dispositivos móveis e fixos tornou-se o pilar central da segurança corporativa. Com o fim do suporte ao Windows 10 em Outubro de 2025 e a consolidação do Windows 11 como padrão empresarial, as PME que ainda dependem de GPOs locais e Active Directory tradicional ficam sem capacidade de impor políticas em dispositivos remotos, quiosques e equipamentos BYOD. O Microsoft Intune, incluído nas licenças Microsoft 365 Business Premium e E3/E5, é a plataforma de gestão unificada que substitui o GPO + SCCM por uma abordagem cloud-native baseada em MDM (Mobile Device Management) e MAM (Mobile Application Management). Este guia cobre o ciclo completo — desde o enrolment de dispositivos Windows, Android e iOS até às políticas de compliance, conditional access, deployment de aplicações, endpoint security, Windows updates, reporting via PowerShell e o Intune Suite — para que um administrador PME consiga operar um tenant M365 com confiança (Microsoft Learn — What is Intune).
O que é o Intune: MDM vs MAM
O Microsoft Intune é um serviço cloud-based de gestão de mobilidade e segurança de endpoints (UEM — Unified Endpoint Management) que faz parte do Microsoft Endpoint Manager. Em 2026, o Intune é a ferramenta de gestão de dispositivos recomendada pela Microsoft para todos os cenários corporativos, tendo absorvido completamente as funcionalidades do SCCM (Configuration Manager) através da co-gestão e da transição para a nuvem (Microsoft Learn — What is Intune).
Existem duas abordagens de gestão, frequentemente confundidas:
| Aspecto | MDM (Mobile Device Management) | MAM (Mobile Application Management) |
|---|---|---|
| Âmbito | Dispositivo completo | Apenas aplicações específicas |
| Enrolment | Dispositivo é inscrito no Intune | Sem enrolment do dispositivo |
| Aplicações geridas | Todas as apps instaladas via Intune | Apenas apps com Intune App SDK ouwrapped |
| Wipe | Full wipe ou selective wipe | Apenas wipe de dados corporativos nas apps geridas |
| Casos de uso | Dispositivos corporativos | BYOD, dispositivos pessoais |
| Plataformas | Windows, iOS/iPadOS, Android, macOS | iOS/iPadOS, Android |
| Requisito | Intune licence | Intune licence (sem enrolment) |
A distinção é crítica para PME: num cenário BYOD, o colaborador não quer que a empresa tenha controlo sobre o seu telemóvel pessoal. Com MAM, o Intune gere apenas o Outlook, Teams e OneDrive corporativos — os dados pessoais (fotos, WhatsApp, apps bancárias) permanecem intocáveis. Com MDM, o departamento de TI pode fazer wipe completo do dispositivo, o que é adequado para equipamentos corporativos mas inaceitável para dispositivos pessoais (Microsoft Learn — What is Intune: MAM).
Para uma PME típica com 20-50 utilizadores, a abordagem recomendada é: dispositivos corporativos Windows e portáteis da empresa usam MDM (enrolment completo); telemóveis pessoais dos colaboradores usam MAM (app protection policies sem enrolment); tablets partilhados usam MDM com quiosque.
Enrolment de Dispositivos Windows: Autopilot, BYOD e Corporate
O enrolment de dispositivos Windows no Intune tem três caminhos principais, cada um adequado a um cenário diferente (Microsoft Learn — Windows enrollment methods).
Windows Autopilot
O Autopilot é o método de aprovisionamento zero-touch para dispositivos corporativos. O hardware é registado no tenant através do hardware hash (fornecido pelo OEM ou importado pelo administrador) e, ao ligar o equipamento pela primeira vez, o dispositivo detecta que pertence à organização e executa o perfil Autopilot automaticamente (Microsoft Learn — Windows Autopilot enrollment).
Modos principais do Autopilot:
| Modo | Descrição | Caso de uso |
|---|---|---|
| Self-deploying | Dispositivo junta-se ao Entra ID e inscreve-se automaticamente sem interacção do utilizador | Quiosques, dispositivos partilhados, salas de reunião |
| User-driven | Utilador faz login com credenciais corporativas e o dispositivo configura-se | Portáteis corporativos individuais |
| Pre-provisioning | Técnico de TI configura o dispositivo na fábrica/staging; utilizador final completa o setup | Reduz tempo de setup no first-run |
Os perfis Autopilot definem: idioma/teclado inicial, nome do dispositivo (prefixo + número sequencial), tipo de junção (Entra ID Join ou Hybrid Entra ID Join), e a Enrollment Status Page (ESP) que mostra o progresso da configuração.
BYOD (Bring Your Own Device)
Em BYOD, o utilizador inscreve o seu dispositivo pessoal acedendo a https://portal.office.com ou através de Settings > Accounts > Access work or school > Connect. O dispositivo faz Entra ID Join (personal) e recebe as políticas MDM sem dar controlo total ao departamento de TI. O administrador pode fazer selective wipe (remover apenas dados corporativos) mas não full wipe (Microsoft Learn — Windows enrollment BYOD).
Corporate (Enrolment manual ou bulk)
Para dispositivos corporativos sem Autopilot (equipamentos já existentes), o enrolment pode ser feito manualmente (Settings > Accounts > Access work or school) ou em massa via bulk enrollment (ficheiro CSV com hashes de hardware importado). O método bulk é útil quando se compram 50+ dispositivos sem OEM registration e não se quer inscrever um a um (Microsoft Learn — Windows enrollment bulk).
Enrollment Status Page (ESP)
A ESP é fundamental para a experiência do utilizador durante o Autopilot. Define o que o utilizador vê antes de chegar ao desktop: aplicações obrigatórias que devem instalar antes do logon, tempo limite, e comportamento em caso de falha. Sem ESP bem configurada, o utilizador pode chegar ao desktop antes de as políticas de segurança estarem aplicadas — uma janela de vulnerabilidade (Microsoft Learn — Enrollment Status Page).
Enrolment de Dispositivos Android: Android Enterprise e Work Profile
A gestão de dispositivos Android no Intune passou por uma mudança significativa: o enrolment de administrador de dispositivo (legacy) foi descontinuado e a Microsoft recomenda exclusivamente o Android Enterprise para todos os cenários corporativos (Microsoft Learn — Android enrollment).
Android Enterprise — Work Profile
O work profile é o método recomendado para BYOD Android. Cria uma partição lógica no telemóvel: o perfil pessoal (fotos, apps pessoais, WhatsApp) fica isolado do perfil corporativo (Outlook, Teams, OneDrive geridos pelo Intune). O departamento de TI só consegue ver e gerir o perfil corporativo — os dados pessoais são invisíveis para o Intune (Microsoft Learn — Android enrollment work profile).
| Cenário Android | Método | Controlo TI |
|---|---|---|
| BYOD pessoal | Work Profile | Apenas perfil corporativo |
| Dispositivo corporativo dedicado | Dedicated devices (COSU) | Dispositivo completo, quiosque |
| Dispositivo corporativo pessoal | Fully Managed | Dispositivo completo + work profile |
| Sem enrolment | MAM (App Protection Policy) | Apenas apps geridas |
Requisitos para Android Enterprise
- Conta Google Play Managed (ligada ao Intune)
- Licença Intune atribuída ao utilizador
- Dispositivo com Android 8.0 ou superior (para work profile)
- Google Play Services activos
A configuração da Google Play Managed Console é feita uma única vez no Intune admin center (Devices > Android > Android Enterprise enrollment > Managed Google Play). A partir daí, as apps corporativas são aprovadas na Play Console e publicadas no Intune como managed apps.
Enrolment de Dispositivos iOS/iPadOS: Apple Business Manager e ADE
O enrolment de dispositivos Apple no Intune depende do Apple Business Manager (ABM) e do Automated Device Enrollment (ADE), anteriormente conhecido como Device Enrollment Program (DEP) (Microsoft Learn — iOS enrollment).
Apple Business Manager (ABM)
O ABM é o portal Apple onde as organizações compram dispositivos, gerem licenças de apps (VPP — Volume Purchase Program) e configuram o ADE. Para usar o Intune com iOS/iPadOS, é necessário:
- Registar a organização no Apple Business Manager (requer DUNS ou verificação legal)
- Adicionar o Intune como MDM Server no ABM (gera um token MDM)
- Atribuir dispositivos ao MDM Server Intune no ABM
- Sincronizar o token no Intune admin center
Uma vez atribuídos, os dispositivos iOS aparecem no Intune e podem receber perfis de enrolment ADE (Microsoft Learn — iOS enrollment ADE).
Automated Device Enrollment (ADE)
O ADE permite que dispositivos iOS/iPadOS e Mac sejam automaticamente inscritos no Intune na primeira activação. O utilizador liga o iPhone/iPad novo, liga-o à rede, e o dispositivo detecta que pertence à organização (via Apple Business Manager) e executa o enrolment sem interacção manual. Isto é equivalente ao Autopilot da Microsoft, mas no ecossistema Apple.
| Método iOS | Descrição | Caso de uso |
|---|---|---|
| ADE (supervised) | Enrolment automático, supervisão activada | Dispositivos corporativos |
| BYOD | Utilizador inscreve via Company Portal | Dispositivos pessoais |
| Apple Configurator | Enrolment manual via Mac com Configurator | Pequenas batches sem ADE |
A supervisão é importante: dispositivos supervised dão ao Intune capacidades adicionais como restringir FaceTime, impedir instalação de apps não autorizadas, forçar modo de quiosque (Single App Mode) e impedir a remoção do perfil de gestão. Dispositivos BYOD não são supervised.
Políticas de Compliance: BitLocker, Firewall, Antivírus e Versão de SO
As políticas de compliance (compliance policies) definem as regras que um dispositivo deve cumprir para ser considerado conforme. Se um dispositivo não cumpre, é marcado como non-compliant e pode ser bloqueado via Conditional Access — o utilizador perde acesso ao email, Teams e SharePoint até resolver a não-conformidade (Microsoft Learn — Device compliance).
Regras de compliance mais usadas para Windows
| Regra | Descrição | Valor recomendado PME |
|---|---|---|
| BitLocker | Disco encriptado com BitLocker | Obrigatório |
| Firewall | Windows Firewall activo | Obrigatório |
| Antivírus | Defender ou antivírus compatível activo | Obrigatório |
| Versão de SO | Versão mínima do Windows | 11 24H2 ou superior |
| Build máxima de SO | Bloquear builds desactualizadas | Definir com tolerância |
| Code integrity | Code integrity policy activa | Recomendado |
| Secure Boot | Secure Boot activo (UEFI) | Obrigatório |
| TPM | TPM 2.0 presente | Obrigatório |
| Defender SmartScreen | SmartScreen activo | Recomendado |
A política de compliance é atribuída a grupos de utilizadores ou grupos de dispositivos. Quando combinada com Conditional Access, o efeito é imediato: um portátil sem BitLocker fica marcado como non-compliant em minutos e o utilizador recebe um email de notificação com instruções de remediação via Company Portal (Microsoft Learn — Compliance policies).
Compliance para Android e iOS
Para Android work profile, as regras típicas incluem: versão mínima de Android, dispositivo sem root (jailbreak/root detection), debug USB desactivado, e Google Play integrity attestation. Para iOS: versão mínima de iOS, dispositivo sem jailbreak, e Managed Apple ID obrigatório em dispositivos supervised.
Conditional Access: Intune + Entra ID
O Conditional Access é a política que liga o estado de compliance do Intune ao acesso a aplicações cloud. Funciona em conjunto com o Entra ID (anteriormente Azure AD) e é onde a “marca” non-compliant do Intune se transforma num bloqueio real de acesso (Microsoft Learn — Conditional Access Intune).
Fluxo de Conditional Access
- Utilizador tenta aceder ao Exchange Online via Outlook
- Entra ID avalia as políticas de Conditional Access
- Verifica se o dispositivo está inscrito no Intune E compliance
- Se non-compliant: acesso negado ou acesso concedido em modo restrito (browser only)
- Utilizador é redirhado para o Company Portal para remediar
Políticas de Conditional Access recomendadas para PME
| Política | Aplica-se a | Condições | Controlo de acesso |
|---|---|---|---|
| Require compliant device | Todos os utilizadores | Exchange Online, SharePoint, Teams | Block if non-compliant |
| Require MFA | Todos os utilizadores | Qualquer app cloud | Require MFA |
| Block legacy auth | Todos os utilizadores | Exchange ActiveSync, IMAP, POP | Block |
| Require approved app | BYOD | Exchange Online | Approved client apps only |
| Location-based | Admins | Qualquer app | Block se fora de Portugal |
O Conditional Access sem Intune (apenas com Entra ID) verifica se o dispositivo está Entra ID Joined, mas não consegue verificar se tem BitLocker, antivírus ou versão de SO actualizada. É o Intune que fornece o sinal de compliance que o Entra ID consome. Esta integração é o motivo pelo qual as licenças M365 Business Premium (que incluem Intune) são significativamente mais seguras que M365 Business Standard (que não incluem Intune).
Configuration Profiles: Settings Catalog e Templates
Os configuration profiles são o equivalente moderno das GPOs (Group Policy Objects) do Active Directory. Em vez de um DC a empurrar GPO via SMB, o Intune envia perfis de configuração via MDM channel (OMA-DM) directamente ao dispositivo, quer esteja na rede corporativa ou em casa do colaborador (Microsoft Learn — Device profiles).
Settings Catalog
O Settings Catalog é a forma mais granular e completa de configurar Windows via Intune. Apresenta um catálogo navegável com milhares de settings CSP (Configuration Service Provider) organizados por categoria — Start menu, Edge, Windows Defender, OneDrive, Taskbar, etc. O administrador selecciona apenas os settings que precisa e define o valor (Microsoft Learn — Settings Catalog).
Vantagens do Settings Catalog sobre templates:
- Mais settings disponíveis (templates têm subconjunto)
- Pesquisa por nome de setting
- Adição incremental (não precisa de criar perfil novo para adicionar um setting)
- Suporta filtros ( Windows 11 only, build 24H2+)
Templates
O Intune oferece templates predefinidos para cenários comuns:
| Template | Função |
|---|---|
| Administrative Templates | GPOs tradicionais (ADMX) convertidas para Intune |
| Device restrictions | Restrições gerais (camera, USB, store) |
| Endpoint protection | BitLocker, Windows Defender, firewall |
| Configuração de email corporativo | |
| VPN | Perfis VPN (Always On, split tunnelling) |
| Wi-Fi | Perfis Wi-Fi corporativo com 802.1X |
| Custom | OMA-URI para settings não cobertos pelo catalog |
A recomendação para PME: usar Settings Catalog como abordagem padrão e templates apenas para cenários onde o template oferece validação de sintaxe útil (e.g. VPN com certificados). Criar um perfil de base (baseline) com Settings Catalog contendo: Windows Defender (real-time protection on, cloud-delivered protection on), BitLocker (encrypt OS drives), Windows Firewall (all profiles on), e Edge policies (sync disabled para BYOD, browser restrictions para corporativos) (Microsoft Learn — Device profile create).
Deployment de Aplicações: Win32, MSIX, Store Apps e Managed Apps
O Intune suporta múltiplos formatos de deployment de aplicações Windows. A escolha do formato afecta a experiência de instalação, o suporte para desinstalação, e a capacidade de gestão pós-instalação (Microsoft Learn — App management).
Win32 Apps
Win32 apps (.intunewin) são o formato mais flexível. Qualquer instalador (.exe, .msi, .bat, .ps1) pode ser empacotado com a ferramenta Intune Win32 App Packaging e publicado no Intune. Suporta:
- Comandos de instalação e desinstalação customizadas
- Requisitos (arquitectura, espaço mínimo, versão de SO, registry key check)
- Regras de detecção (file, registry, MSI product code, script)
- Dependências (app B só instala após app A)
- Supersedence (nova versão substitui versão antiga automaticamente)
- Contexto de instalação (System ou User)
Para uma PME, os casos típicos de Win32 apps são: ERP próprio, cliente VPN (e.g. FortiClient), leitor de PDFs enterprise, e aplicações legacy que não têm versão MSIX ou Store (Microsoft Learn — Win32 app management).
MSIX
MSIX é o formato de packaging moderno da Microsoft. Combina as vantagens do MSI (instalação ampla) com as do AppX (sandboxing, desinstalação limpa, auto-update). O Intune suporta deployment de MSIX com integração na Store. Para aplicações que já têm versão MSIX disponível, é preferível a Win32 — a desinstalação é mais limpa e não há resquícios no registry (Microsoft Learn — Apps add MSIX).
Store Apps (Microsoft Store)
Aplicações da Microsoft Store podem ser atribuídas via Intune com sincronização automática (offline ou online). Para apps como Microsoft To Do, Company Portal, ou ferramentas da Store, o deployment é trivial: seleccionar a app na Store ligada ao Intune e atribuir a um grupo. A app instala-se automaticamente sem interacção do utilizador (Microsoft Learn — Apps add Store).
Managed Apps (MAM)
Managed apps são aplicações com Intune App SDK integrado (ou wrapped com o Intune App Wrapping Tool) que podem ser geridas via App Protection Policies (APP) sem enrolment do dispositivo. Isto é a base do MAM. Outlook, Teams, OneDrive, Edge e centenas de apps de terceiros (Salesforce, ServiceNow, Adobe) já têm SDK integrado (Microsoft Learn — App protection policy).
Com APP pode-se:
- Exigir PIN para abrir o Outlook corporativo
- Impedir copiar/colar entre app gerida e app não gerida
- Impedir guardar ficheiros em local não gerido (ex: Dropbox pessoal)
- Exigir que o dispositivo não tenha jailbreak/root
- Fazer selective wipe dos dados corporativos na app
Tabela comparativa de formatos
| Formato | Controlo TI | Desinstalação limpa | Requisitos | Caso de uso |
|---|---|---|---|---|
| Win32 (.intunewin) | Total | Depende do instalador | Flexível | ERP, VPN, apps legacy |
| MSIX | Total | Sim (sandbox) | Windows 10 1709+ | Apps modernas |
| Store app | Total | Sim | Windows 10+ | Apps da Store |
| Managed app (MAM) | Apenas app | Selective wipe | Sem enrolment | BYOD |
| Office 365 ProPlus | Total via Intune | Sim | Win32 subsystem | Suite Office |
Endpoint Security: Encriptação de Disco, Firewall e Antivírus Defender
A secção Endpoint Security no Intune centraliza as políticas de segurança do dispositivo. Em vez de criar configuration profiles dispersos, o administrador encontra tudo num só local: disk encryption, firewall, antivirus, attack surface reduction, e EDR (Microsoft Learn — Endpoint security).
Disk Encryption (BitLocker)
O Intune pode activar BitLocker em dispositivos Windows 11 enrolados e armazenar a chave de recuperação no Entra ID automaticamente. A política define:
- Encriptar discos de OS (obrigatório)
- Encriptar discos de dados (recomendado)
- Método de encriptação (XTS-AES 128bit recomendado)
- Backup de chave de recuperação para Entra ID (obrigatório)
- PIN de arranque (opcional, aumenta segurança mas requer TPM+PIN)
Quando o BitLocker é activado via Intune, a chave de recuperação é guardada no Entra ID do tenant. Se um utilizador esquecer o PIN ou o disco for movido para outro equipamento, a chave pode ser recuperada pelo administrador no Intune admin center ou pelo próprio utilizador via https://myaccount.microsoft.com > Devices > Recovery key. Isto elimina o problema clássico do BitLocker sem gestão: discos encriptados cujas chaves se perdem quando o utilizador sai da empresa (Microsoft Learn — Encrypt devices). Para um aprofundamento do BitLocker no contexto empresarial, consulte o artigo BitLocker Enterprise com Intune no kbase.pt.
Firewall
O Intune gere as três perfis do Windows Firewall (Domain, Private, Public) com granularidade total. A política baseline recomendada para PME:
- Todos os perfis activos (Domain, Private, Public)
- Inbound blocked by default
- Outbound allowed by default
- Notificação ao utilizador em bloqueios
- Log de dropped packets activo
Antivírus (Microsoft Defender)
O Windows Defender Antivírus é gerido via Intune sem necessidade de agente adicional. As políticas do Defender incluem:
- Real-time protection (obrigatório)
- Cloud-delivered protection (obrigatório)
- Automatic sample submission (recomendado)
- Tamper protection (obrigatório — impede que malware desactive o Defender)
- Attack Surface Reduction (ASR) rules
- Exclusions (apenas com justificação documentada)
As ASR rules são particularmente importantes. Bloqueiam técnicas comuns de ataque (child process creation do Office, executáveis lançados de email, credential stealing via LSASS). A Microsoft recomenda começar em modo audit, analisar os impactos durante 30 dias, e depois mudar para block mode (Microsoft Learn — Endpoint security antivirus).
Windows Updates: Update Rings e Feature Updates
A gestão de Windows Updates via Intune substitui o WSUS e o SCCM para dispositivos geridos por cloud. O Intune integra-se com o Windows Update for Business (WUfB) e oferece dois tipos de políticas: Update Rings (quality updates) e Feature Updates (Microsoft Learn — Windows updates).
Update Rings
Update Rings controlam as actualizações mensais de qualidade (security patches, bug fixes). As definições principais:
| Parâmetro | Descrição | Valor recomendado PME |
|---|---|---|
| Servicing channel | Canal de atualizações | Semi-Annual Channel |
| Quality update deferral | Atraso em dias | 7 dias |
| Feature update deferral | Atraso em dias | 30 dias |
| Installation deadline | Prazo de instalação | 5 dias |
| Restart grace period | Janela de reinício | 2 dias |
| Active hours | Período de uso | 8h-20h |
A estratégia recomendada para PME é criar dois anéis:
- Pilot ring — grupo de TI (5% dos dispositivos), deferral 0 dias
- Broad ring — todos os outros, deferral 7 dias
Isto permite à equipa de TI detectar problemas nas actualizações antes que cheguem a todos os utilizadores (Microsoft Learn — Update rings policy).
Feature Updates
Feature Updates controlam as versões maiores do Windows (e.g. 24H2, 25H2). Com Feature Updates policy, o administrador define qual a versão máxima que os dispositivos podem receber e quando. Isto é crucial para PME que querem evitar que uma feature update nova chegue a todos os dispositivos sem testes (Microsoft Learn — Feature updates policy).
Por exemplo, se o Windows 11 25H2 for lançado em 2026, a política pode definir que os dispositivos ficam no 24H2 até que a TI aprove a mudança. Sem esta política, os dispositivos instalam a feature update mais recente automaticamente via WUfB, o que pode quebrar aplicações legacy.
Para um guia completo de migração de versões Windows 11, consulte o artigo Windows 11 24H2/25H2 Migration Checklist no kbase.pt.
Reporting, Monitoring e Gestão via PowerShell (Microsoft Graph SDK)
O Intune admin center oferece dashboards de reporting que cobrem dispositivos, compliance, configuração e aplicações. Os relatórios são acessíveis em Reports > Device management e incluem (Microsoft Learn — Intune reports):
| Relatório | Conteúdo |
|---|---|
| Device compliance | Dispositivos compliant vs non-compliant, por política |
| Device enrolment | Estado de enrolment, falhas, método |
| Configuration policies | Estado de aplicação de perfis, erros |
| App installation status | Apps instaladas, falhadas, em progresso |
| Non-compliant devices | Lista detalhada de dispositivos non-compliant |
| Endpoint security | Estado de BitLocker, Defender, firewall |
Para além dos dashboards, o Intune exporta dados para o Azure Monitor (Log Analytics) e suporta workbook customizados. Para PME, os relatórios nativos são suficientes; a integração com Log Analytics é relevante quando se quer correlacionar logs de Intune com Defender for Endpoint e Entra ID sign-in logs numa vista unificada.
As três áreas que merecem monitorização semanal: (1) dispositivos non-compliant (identificar padrões, como 10 dispositivos sem BitLocker após uma atualização), (2) falhas de enrolment (dispositivos que tentaram inscrever e falharam), e (3) falhas de instalação de apps (Win32 apps que falharam em mais de 5% dos dispositivos).
Para além do portal web, o Intune é totalmente gerível via PowerShell usando o módulo Microsoft Graph PowerShell SDK. Em 2026, o módulo AzureAD e MSOnline foram descontinuados e toda a gestão programática de Intune e Entra ID é feita via Microsoft Graph (Microsoft Learn — Connect-MgGraph).
Para além do portal web, o Intune é totalmente gerível via PowerShell usando o módulo Microsoft Graph PowerShell SDK. Em 2026, o módulo AzureAD e MSOnline foram descontinuados e toda a gestão programática de Intune e Entra ID é feita via Microsoft Graph (Microsoft Learn — Connect-MgGraph).
Ligação ao Microsoft Graph com permissões de Intune
Install-Module Microsoft.Graph -Scope CurrentUser -Force
# Ligar ao Graph com permissões de Intune
Connect-MgGraph -Scopes “DeviceManagementManagedDevices.Read.All”,
“DeviceManagementConfiguration.Read.All”,
“DeviceManagementApps.Read.All”
# Verificar a ligação e o contexto
Get-MgContext
O cmdlet Connect-MgGraph abre um browser para autenticação interactiva (device code flow em headless). As scopes definidas determinam o nível de acesso — para leitura de dispositivos e políticas, as scopes acima são suficientes. Para criar ou modificar políticas, substituir .Read.All por .ReadWrite.All.
Listar dispositivos geridos pelo Intune
Get-MgDeviceManagementManagedDevice -All |
Select-Object DeviceName, OperatingSystem, ComplianceState,
LastSyncDateTime, EnrolledDateTime, UserPrincipalName |
Format-Table -AutoSize
# Filtrar apenas dispositivos non-compliant
Get-MgDeviceManagementManagedDevice -All |
Where-Object { $_.ComplianceState -eq “noncompliant” } |
Select-Object DeviceName, OperatingSystem, UserPrincipalName,
LastSyncDateTime |
Format-Table -AutoSize
# Detalhes de um dispositivo específico
Get-MgDeviceManagementManagedDevice -ManagedDeviceId “xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx” |
Select-Object DeviceName, OperatingSystem, OSVersion, Model,
Manufacturer, SerialNumber, ComplianceState,
LastSyncDateTime, EnrolledDateTime, UserPrincipalName,
ManagementState, JailBroken
O cmdlet Get-MgDeviceManagementManagedDevice é o ponto de entrada para todo o reporting de dispositivos. O parâmetro -All é obrigatório para obter todos os resultados (o Graph pagina por defeito). O ComplianceState pode ser compliant, noncompliant, inGracePeriod ou unknown (Microsoft Learn — managedDevice Get).
Listar políticas de compliance
Get-MgDeviceManagementCompliancePolicy -All |
Select-Object DisplayName, Description,
LastModifiedDateTime, CreatedDateTime |
Format-Table -AutoSize
# Detalhes de uma política específica
Get-MgDeviceManagementCompliancePolicy -DeviceCompliancePolicyId “xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx” |
Select-Object DisplayName, Description, Assignments,
LastModifiedDateTime
# Contar dispositivos por estado de compliance (overview)
$devices = Get-MgDeviceManagementManagedDevice -All
$compliant = ($devices | Where-Object { $_.ComplianceState -eq “compliant” }).Count
$nonCompliant = ($devices | Where-Object { $_.ComplianceState -eq “noncompliant” }).Count
$inGrace = ($devices | Where-Object { $_.ComplianceState -eq “inGracePeriod” }).Count
$unknown = ($devices | Where-Object { $_.ComplianceState -eq “unknown” }).Count
Write-Output “Compliant: $compliant”
Write-Output “Non-compliant: $nonCompliant”
Write-Output “In grace period: $inGrace”
Write-Output “Unknown: $unknown”
Script: relatório de dispositivos não conformes
$nonCompliantDevices = Get-MgDeviceManagementManagedDevice -All |
Where-Object { $_.ComplianceState -eq “noncompliant” }
$report = foreach ($device in $nonCompliantDevices) {
[PSCustomObject]@{
DeviceName = $device.DeviceName
User = $device.UserPrincipalName
OS = $device.OperatingSystem
OSVersion = $device.OSVersion
LastSync = $device.LastSyncDateTime
EnrolledDate = $device.EnrolledDateTime
ManagementState = $device.ManagementState
}
}
# Exportar para CSV
$report | Export-Csv -Path “C:\Reports\Intune_NonCompliant_$(Get-Date -Format ‘yyyy-MM-dd’).csv” -NoTypeInformation -Encoding UTF8
Write-Output “Relatório gerado: $($report.Count) dispositivos non-compliant”
Este script pode ser agendado via Task Scheduler ou Azure Automation para gerar relatórios semanais. O formato CSV é compatível com Excel e permite à equipa de TI priorizar a remediação por utilizador ou por sistema operativo.
Troubleshooting de Enrolment: ESP, Logs de Diagnóstico e Erros Comuns
O enrolment de dispositivos é a fase onde mais problemas ocorrem. Identificar a causa rapidamente reduz o tempo de resolução e evita bilhetes de suporte repetidos.
Enrollment Status Page (ESP) — diagnóstico
A ESP mostra o progresso do enrolment em três fases: Device Setup (preparing), Account Setup (applying user policies), e Device Setup (apps). Quando uma fase falha, a ESP mostra o erro e permite recolher logs de diagnóstico. Para activar a recolha de logs na ESP:
- No Intune admin center, ir a Devices > Windows > Windows enrollment > Enrollment Status Page
- Editar o perfil ESP
- Activar “Allow users to collect diagnostic logs”
- Definir timeout (recomendado: 60 minutos)
Quando um utilizador encontra um erro na ESP, pode clicar em “Download logs” e enviar o ficheiro .zip à equipa de TI. O zip contém logs do MDM agent, do Windows Update, e do Autopilot (Microsoft Learn — Enrollment Status Page).
Erros de enrolment mais comuns em Windows
| Erro | Causa | Resolução |
|---|---|---|
| 0x80180014 | Dispositivo já inscrito noutro MDM | Desinscrever do MDM anterior: Settings > Accounts > Access work or school > Disconnect |
| 0x80180018 | TPM não presente ou não funcional | Verificar TPM no BIOS/UEFI; activar TPM 2.0 |
| 0x8018002b | Token de Autopilot expirado ou inválido | Reimportar hardware hash ou verificar atribuição no ABM/Intune |
| 0x80004005 | Erro genérico de rede durante enrolment | Verificar proxy, DNS, conectividade a *.manage.microsoft.com |
| 0x80180026 | Licença Intune em falta | Atribuir licença M365 Business Premium ou Intune ao utilizador |
| Enrolment looping | GPO conflito com MDM | Remover GPO de enrolment legacy antes de migrar para Intune |
Logs de diagnóstico Windows
Para recolher logs manualmente (sem ESP), usar o comando:
mdmdiagnosticstool.exe -area DeviceEnrollment -zip “C:\Temp\enrollment_logs.zip”
# Logs detalhados do Intune Management Extension (Win32 apps)
Get-WinEvent -LogName “Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Operational” |
Where-Object { $_.LevelDisplayName -eq “Error” } |
Select-Object TimeCreated, Id, Message |
Format-List
O mdmdiagnosticstool é uma ferramenta nativa do Windows que recolhe logs de todos os componentes MDM e exporta num zip. O parâmetro -area permite focar em: DeviceEnrollment, DeviceProvisioning, Autopilot, ou ALL.
Troubleshooting Android e iOS
Para Android: o Company Portal tem um ecrã de diagnóstico (Settings > Diagnostic logs within the Company Portal app). Os logs podem ser enviados por email directamente ao administrador.
Para iOS: ir a Settings > Company Portal > Diagnostic Logs. Os logs são exportados para o iCloud ou enviados por email. Dispositivos supervised com ADE podem ter logs recolhidos via Apple Configurator.
Intune Suite: Advanced Analytics, Remote Help e Endpoint Privilege Management
O Intune Suite é um conjunto de add-ons premium lançado em 2023 e consolidado em 2025-2026 que adiciona capacidades avançadas ao Intune base. Os add-ons são licenciados separadamente (por utilizador/mês) e incluem (Microsoft Learn — Intune add-ons):
Advanced Analytics
O Advanced Analytics expande o reporting nativo do Intune com:
- Device timeline — histórico completo de eventos por dispositivo (enrolment, compliance changes, app installs, reboots)
- Anomaly detection — detecção automática de padrões anómalos (e.g. pico de non-compliance após update)
- Device query — linguagem de query similar a KQL para interrogar dispositivos em tempo real (e.g. “todos os dispositivos com BitLocker suspendido”)
- Custom insights — dashboards customizados com alertas proactivos
Para PME com 50+ dispositivos, o Advanced Analytics reduz significativamente o tempo de troubleshooting. A capacidade de fazer query em tempo real (“quais dispositivos têm Defender desactivado?”) sem esperar pelo próximo sync é um diferencial importante (Microsoft Learn — Intune add-ons Advanced Analytics).
Remote Help
Remote Help é a ferramenta de assistência remota integrada no Intune. Substituto do Quick Assist com vantagens:
- Autenticação via Entra ID (sem partilha de códigos)
- Elevação de privilégios (request elevation) com auditoria
- Sessões ad-hoc ou agendadas
- Compatível com Windows 10/11
- Sem necessidade de instalar software adicional (built-in em Windows 11 22H2+)
Para PME sem ferramenta de suporte remoto (TeamViewer, AnyDesk), o Remote Help é uma alternativa sem custo adicional além da licença Intune Suite (Microsoft Learn — Intune add-ons Remote Help).
Endpoint Privilege Management (EPM)
O EPM permite que utilizadores standard executem aplicações específicas com privilégios elevados (admin) sem terem conta de administrador. Isto é a implementação Microsoft do conceito de “just enough access” ou least privilege administration (Microsoft Learn — Intune add-ons EPM).
Como funciona:
- Administrador cria uma política EPM no Intune que define quais aplicações podem ser elevadas
- Política é atribuída a grupos de utilizadores
- Utilizador standard tenta abrir a app (ex: instalador de software aprovado)
- Windows mostra prompt de elevação (com a política EPM, não requer credenciais de admin)
- Evento é registado para auditoria
O EPM resolve o problema clássico das PME: dar aos utilizadores contas standard (mais seguras) mas permitir que instalem software aprovado sem chamarem a TI. Sem EPM, a alternativa é dar conta de admin local (inseguro) ou instalar tudo via Intune (lento e inflexível).
Tabela de add-ons Intune Suite
| Add-on | Função | Valor para PME |
|---|---|---|
| Advanced Analytics | Reporting e query em tempo real | Alto (50+ dispositivos) |
| Remote Help | Suporte remoto integrado | Alto (substitui Quick Assist) |
| Endpoint Privilege Management | Elevação de privilégios sob política | Médio (reduz chamadas de suporte) |
| Tunnel for Mobile Access | VPN moderna para dispositivos geridos | Médio (substitui VPN legacy) |
| Microsoft Defender for Endpoint Plan 3 | EDR avançado | Alto (compliance NIS2) |
Checklist Pré-Produção
Antes de activar o Intune em produção num tenant M365 PME, confirmar os seguintes pontos:
- Licenças atribuídas — todos os utilizadores alvo têm M365 Business Premium ou Intune Plan 1/E3/E5:
Get-MgUserLicenseDetail -UserId <upn> | Select-Object ServicePlans - Entra ID Join configurado — MDM auto-enrollment activado em Entra ID > Mobility (MDM and MAM) > Microsoft Intune
- Grupos de segurança criados — grupos para “Pilot”, “Broad”, “BYOD” e “Corporate” definidos antes de atribuir políticas
- Perfil Autopilot testado — pelo menos um dispositivo com enrolment Autopilot completo em ambiente de teste antes de deploy em produção
- Política de compliance baseline — BitLocker obrigatório, firewall activo, antivírus activo, versão mínima de SO definida
- Conditional Access em modo report-only — testar políticas em modo “Report-only” durante 7 dias antes de activar enforcement
- Win32 app testada — pelo menos uma Win32 app empacotada e testada em dispositivo de staging com regras de detecção validadas
- ESP configurada — Enrollment Status Page com timeout definido e recolha de logs activada
- Backup de chaves BitLocker — verificar que chaves de recolha aparecem no Entra ID após teste de encriptação
- PowerShell testado —
Connect-MgGraphcom scopes de leitura eGet-MgDeviceManagementManagedDevicea retornar dados correctamente
Comandos que afectam o acesso de utilizadores (Conditional Access enforcement, políticas de compliance com bloqueio, feature updates com deadline curto) devem ser testados em staging e aplicados em janela de manutenção — configuração incorrecta pode causar bloqueio de acesso ao email para todos os utilizadores, dispositivos sem updates durante dias, ou enrolment loops que impedem o uso de equipamentos novos.
Artigos Relacionados
- M365 Admin: Centro, Funções e Licenças 2026 — Dia 1 da série de administração M365: centro de administração, funções administrativas e gestão de licenças
- M365 Gestão de Utilizadores, Grupos e Mailboxes 2026 — Dia 2 da série: criação de utilizadores, grupos de segurança, mailboxes partilhadas
- BitLocker Enterprise com Intune 2026 — Guia dedicado ao BitLocker no contexto Intune: encriptação, recuperação de chaves e boas práticas
- Browser Corporativo 2026: Edge e Chrome Enterprise — Gestão de browsers corporativos via Intune: perfis Edge, Chrome policies e quiosque
- Windows 11 24H2/25H2 Migration Checklist — Checklist de migração entre versões Windows 11 com Intune Feature Updates
