Skip to main content

Featured

Monitoramento do Secure Boot via Intune Remediations: controle proativo de conformidade

  A Microsoft trouxe uma abordagem prática para monitorar o estado do Secure Boot em dispositivos Windows utilizando o Microsoft Intune , com base em scripts de remediação. Essa solução permite identificar e corrigir automaticamente problemas relacionados a certificados de Secure Boot, algo cada vez mais crítico para a segurança dos endpoints. O Secure Boot é um recurso fundamental do Windows 11 que garante que apenas softwares confiáveis sejam carregados durante a inicialização. Problemas com certificados de Secure Boot podem causar  falhas de boot, vulnerabilidades de segurança e  incompatibilidade com atualizações críticas . Por isso, monitorar esse estado de forma contínua se torna essencial em ambientes corporativos. O que a solução entrega A Microsoft propõe o uso de Remediations no Intune para verificar o estado dos certificados de Secure Boot, identificar dispositivos fora de conformidade e aplicar correções automaticamente quando necess...
Post a Comment
Read more

Atualização do Entra ID: Atributos de Extensão para dispositivos via PowerShell e Grupos Dinâmicos


O Microsoft Entra ID (anterior Azure AD) apresenta um conjunto de atributos personalizados — chamados extension attributes 1-15 — nos objetos de dispositivo. Esses campos livres são extremamente úteis para adicionar metadados como ambiente (produção, desenvolvimento), departamento ou proprietário, possibilitando automações sofisticadas de segurança, políticas e gestão com base em marcação customizada.

O que são e para que servem?

Os extension attributes são campos de texto expostos através da propriedade extensionAttributes na Microsoft Graph e podem serem usados em diversas tarefas:

  • Criação de grupos dinâmicos com base no valor desses atributos (ex: dispositivos com tag “MDE” entram automaticamente em um grupo específico).

  • Aplicação de políticas direcionadas: Defender for Endpoint, Acesso Condicional ou configurações via Intune podem ser atribuídas conforme essa marcação.

Como atualizar via PowerShell e Graph API

Um script facilitador foi publicado pela Microsoft com o seguinte fluxo:

  1. Crie um app registration no Entra ID, concedendo permissão Device.ReadWrite.All e dê consentimento de administrador.

  2. Gere um token via OAuth com tenantId, clientId e clientSecret.

  3. Leia um arquivo Excel ou CSV contendo nomes de dispositivos.

  4. Para cada dispositivo:

    • Recupere seu ID via Graph API (busca por display name).

    • Envie um PATCH para /devices/{deviceId}, atribuindo um valor ao extensionAttributeX, por exemplo "MDE".

  5. Após confirmar nas respostas que alterações foram aplicadas, os dispositivos recebem a marcação desejada.

Criando grupos dinâmicos com atributos customizados

Com os dispositivos marcados, você pode configurar um grupo de segurança dinâmico no portal do Entra ID:

  • Tipo de grupo: Security, com Dynamic Device membership.

  • Exemplo de regra para inclusão automática:

(device.extensionAttributes.extensionAttribute6 -eq "MDE")

Dispositivos com esse atributo igual a “MDE” serão automaticamente incluídos no grupo. A partir daí, você pode direcionar políticas de segurança específicas ou configurações do Intune de forma dinâmica e precisa.

Por que isso faz diferença?

  • Automação escalável: permite gerenciar alterações em massa via script e relatórios.

  • Precisão nas políticas: políticas passam a ser aplicadas somente a segmentos desejados (por exemplo, apenas dispositivos de produção ou de um departamento específico).

  • Integração com CA e MDE: torna possível impor segmentação sofisticada dentro de cenários de segurança ou compliance.

Boas práticas

  • Testes controlados: valide o script em ambiente de homologação antes de aplicar em produção

  • Licenciamento: grupos dinâmicos exigem licenças Entra ID P1 ou Intune for Education 

  • Monitoramento das carvões: audite logs de execução do script e alterações em dispositivos

  • Visualização adicional: use o portal ou Get-MgDevice com additionalProperties para verificar os valores configurados 


Para mais: Update Entra ID Device Extension Attributes via PowerShell & Create Dynamic Security Groups. | Microsoft Community Hub

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments

Post a Comment