A regra-mestra: conte plataformas
Toda Compliance Policy, Configuration Profile e Enrollment Restriction no Intune é amarrada a uma plataforma na criação — e essa escolha não pode ser mudada depois. Você não pode criar "uma policy que vale para Windows e iOS"; tem que criar uma para cada plataforma.
O mapeamento SO → plataforma Intune
Esta é a tabela mais importante deste material. Decore-a:
| Sistema operacional | Plataforma no Intune (na criação da policy) | Agrupa ou separa? |
|---|---|---|
| WIN Windows 10 e Windows 11 | Windows 10 and later | 📦 Agrupa — Win 10 + Win 11 = 1 plataforma |
| MAC macOS | macOS | 📍 Separada — sempre por si só |
| IOS iOS e iPadOS | iOS/iPadOS | 📦 Agrupa — iPhone + iPad = 1 plataforma |
| AND Android Enterprise | Android Enterprise (com sub-modos) | ⚠️ Depende — ver abaixo |
| AND Android device administrator (legacy) | Android device administrator | 📍 Separada do Android Enterprise |
| LIN Linux (Ubuntu LTS) | Linux | 📍 Separada (funcionalidade limitada) |
← arraste a tabela para o lado para ver tudo
1) iOS + iPadOS = uma plataforma só. Não importa se o cenário lista um iPhone e um iPad — você cria uma policy de iOS/iPadOS, não duas. A Microsoft trata os dois como o mesmo SO no Intune.
2) Windows 10 e Windows 11 = uma plataforma só ("Windows 10 and later"). Notebook com Win 10 + desktop com Win 11 = uma policy.
Já macOS é sempre separada do iOS (são sistemas diferentes na lógica do Intune, mesmo sendo Apple).
Android — a exceção que precisa de atenção
Android tem mais nuance porque o Intune trata os modos de gerenciamento como contextos diferentes. Dependendo do tipo de policy:
| Tipo de objeto | Como Android se divide |
|---|---|
| Compliance Policy | Android Enterprise (Fully Managed/Dedicated/COPE) + Personally-Owned Work Profile + Android device administrator (legacy) = potencialmente 3 plataformas |
| Configuration Profile | Mesma divisão — escolhe o sub-modo ao criar |
| App Protection Policy (MAM) | Android é uma plataforma só — não se divide por modo de enrollment (porque MAM independe do enrollment) |
| Enrollment Restriction | Por modo de enrollment, não por plataforma |
Se a questão diz só "Android" sem detalhar o modo → assuma Android Enterprise (o moderno). Se diz "Android BYOD" ou "Personally-Owned Work Profile" → essa é uma plataforma separada do Fully Managed para Compliance/Config. Se menciona device administrator ou "legacy", é a terceira opção.
O seu cenário, resolvido
Para criar uma Compliance Policy básica que cubra todos esses dispositivos (sem sub-modos especiais de Android), você precisa de 4 policies:
- 1 policy Windows 10 and later — cobre o Windows
- 1 policy macOS — cobre o macOS
- 1 policy iOS/iPadOS — cobre tanto o iPhone quanto o iPad
- 1 policy Android Enterprise — cobre o Android
O iPhone e o iPad compartilham a mesma policy. A armadilha que pega muita gente é contar 5 (uma por SO listado) — mas iOS e iPadOS são a mesma plataforma no Intune.
Quando o número MUDA
O cenário acima dá 4, mas em alguns casos a resposta sobe:
- Android Enterprise + Work Profile BYOD juntos (Compliance ou Config) → Android vira 2 policies. Total: 5.
- Cenário inclui dispositivo "legacy" Android device administrator → mais uma policy. Total: 5 ou 6.
- Cenário menciona Linux → uma policy adicional. Total: 5.
- App Protection Policy (MAM): a regra muda — só iOS e Android, e Android é uma plataforma só. Para iPhone + iPad + Android = 2 policies.
"Compliance Policy" e "Configuration Profile" seguem a regra de plataforma. Mas "App Protection Policy" e "Conditional Access" são cross-platform: uma única policy cobre vários SOs (você escolhe quais na criação). Antes de contar, leia o tipo de objeto que a questão pede.
Compliance Policies por plataforma
Quando você clica em Devices → Compliance → Create Policy, o Intune pergunta logo a plataforma. Cada plataforma traz settings diferentes — porque os SOs têm capacidades diferentes. Saber quais settings existem em cada uma é o que a prova testa.
Plataformas disponíveis no momento da criação
| Opção no dropdown | Cobre | Profile types |
|---|---|---|
| WIN Windows 10 and later | Windows 10 e 11 (Pro, Enterprise, Education) | Windows 10/11 compliance policy |
| MAC macOS | macOS | macOS compliance policy |
| IOS iOS/iPadOS | iPhone + iPad — uma plataforma só | iOS/iPadOS compliance policy |
| AND Android Enterprise | Android moderno | Fully Managed, Dedicated, COPE / Personally-Owned Work Profile |
| AND Android device administrator | Android legacy | Android device administrator compliance policy |
| LIN Linux | Ubuntu LTS | Linux compliance policy |
Quais settings cada plataforma suporta
A tabela abaixo mostra os settings mais cobrados de compliance, com a disponibilidade por plataforma. Verde = disponível, laranja = parcial, vermelho = não disponível.
| Setting | Win | macOS | iOS/iPadOS | Android Enterprise |
|---|---|---|---|---|
| Versão mínima/máxima do SO | Sim | Sim | Sim | Sim |
| Exigir senha | Sim | Sim | Sim | Sim |
| Criptografia de storage | BitLocker | FileVault | Sim | Sim |
| Secure Boot | Sim | N/A | N/A | N/A |
| Code integrity / Boot integrity | Sim | N/A | N/A | N/A |
| Antivírus / Antispyware | Defender | N/A | N/A | N/A |
| Firewall | Sim | Sim | N/A | N/A |
| Sem jailbreak/root | N/A | N/A | Sim | Sim |
| Defender for Endpoint risk score | Sim | Sim | Sim | Sim |
| Threat scan no Play Protect | N/A | N/A | N/A | Sim |
| Restrict apps (lista de bloqueio) | Não direto | Não direto | Sim | Sim |
Settings que dependem do hardware/firmware do PC (Secure Boot, BitLocker, Defender) só aparecem no Windows. Firewall existe no Windows e macOS (são desktops). Jailbreak/root só faz sentido em móveis (iOS, Android). Defender for Endpoint risk é cross-platform — a Microsoft estendeu para todos.
Conta certa: cenários típicos
| Cenário | Compliance policies necessárias |
|---|---|
| Win 10 + Win 11 | 1 · Windows 10 and later cobre os dois |
| iPhone + iPad | 1 · iOS/iPadOS é uma plataforma só |
| Win + macOS | 2 · plataformas separadas |
| Win + macOS + iPhone + iPad | 3 · Win, macOS, iOS/iPadOS (iPhone+iPad juntos) |
| Win + macOS + iPhone + iPad + Android | 4 · + Android Enterprise |
| Tudo acima + Android BYOD Work Profile separado | 5 · Android vira 2 policies (Fully Managed + Work Profile) |
| Tudo + dispositivo Android legacy | 6 · + Android device administrator |
Se a questão diz "uma única política comum" para os dispositivos, é pegadinha — não existe policy de compliance comum no Intune. A resposta correta é o número de plataformas. Se diz "quantas no mínimo", conte plataformas. Se pede "uma por dispositivo", é tecnicamente incorreto pela lógica do Intune.
Configuration Profiles por plataforma
Configuration Profiles seguem a mesma regra das Compliance: você escolhe a plataforma na criação e ela define os settings disponíveis. Mas dentro de cada plataforma existem ainda vários "Profile types" — Settings Catalog, Templates, Custom OMA-URI (Windows) ou .mobileconfig (Apple).
Plataformas e seus profile types
| Plataforma | Profile types disponíveis |
|---|---|
| WIN Windows 10 and later | Settings Catalog · Templates (Device restrictions, Endpoint protection, etc.) · Administrative Templates (ADMX) · Custom (OMA-URI) |
| MAC macOS | Settings Catalog · Templates (Device restrictions, Endpoint protection, Wi-Fi, VPN, Certificates) · Custom (.mobileconfig) |
| IOS iOS/iPadOS | Settings Catalog · Templates · Custom (.mobileconfig) |
| AND Android Enterprise | Por sub-modo: Fully Managed/Dedicated/COPE · Personally-Owned Work Profile |
| AND Android device administrator (legacy) | Templates (subset reduzido) |
No Windows, "Custom" significa OMA-URI (caminho de configuração). No macOS e iOS, "Custom" significa upload de arquivo .mobileconfig exportado do Apple Configurator. Os formatos não se misturam — são mundos diferentes da Apple e da Microsoft.
Quantos Configuration Profiles para os mesmos cenários
Para o mínimo de configuração (um profile só por plataforma), a conta é igual à Compliance:
| Cenário | Config Profiles mínimos | Observação |
|---|---|---|
| Win + macOS + iPhone + iPad + Android | 4 | Win, macOS, iOS/iPadOS, Android Enterprise |
| Mesma frota + Wi-Fi corporativo com certificado | ~12 | Cada plataforma precisa de: Trusted certificate + SCEP/PKCS + Wi-Fi → 3 profiles × 4 plataformas |
| Só BitLocker no Windows + FileVault no macOS | 2 | Endpoint security → Disk encryption, mas ainda assim 1 policy por plataforma |
Quando o cenário menciona Wi-Fi com certificado ou VPN com cert, multiplique: cada plataforma precisa de até 3 profiles encadeados (Trusted root + SCEP/PKCS + o profile final). Em 4 plataformas, isso vira 12 profiles. As questões adoram essa multiplicação.
Enrollment por plataforma
Aqui a regra muda. Enrollment não é "1 por plataforma" como Compliance e Config. É por método, e uma mesma plataforma pode ter vários métodos (e portanto várias "configurações de enrollment").
Métodos de enrollment por plataforma
| Plataforma | Métodos disponíveis |
|---|---|
| WIN Windows | Autopilot (com Deployment Profiles) · Automatic enrollment via Entra ID join · Manual via Company Portal · GPO (Hybrid Join) · Co-management com ConfigMgr · Bulk enrollment com Provisioning Package |
| MAC macOS | Apple Automated Device Enrollment (ADE/DEP) · Company Portal (manual BYOD) · Direct enrollment |
| IOS iOS/iPadOS | ADE · Apple Configurator (setup assistant ou direct) · Company Portal · User enrollment (BYOD com Managed Apple ID) |
| AND Android Enterprise | Fully Managed (factory reset + afw#setup / QR / NFC) · Dedicated (QR / NFC / Zero-Touch) · COPE · Personally-Owned Work Profile (Company Portal) |
| LIN Linux | Microsoft Intune App no Ubuntu LTS — método único |
Configurações de enrollment que aparecem por método
Apple Automated Device Enrollment (ADE)
Para macOS e iOS/iPadOS comprados via Apple Business/School Manager. No Intune, você cria um Enrollment Program Token (ABM/ASM token) e, para cada token, define um ou mais Enrollment Profiles (Setup Assistant: skip pages, supervised mode, await final config, etc.). É comum ter profiles distintos para macOS e iOS, mesmo com o mesmo token.
Apple Configurator
Alternativa "manual" para iOS quando o dispositivo não foi comprado via ABM/ASM. Dois sub-métodos: Setup Assistant (com profile, fica supervised) e Direct enrollment (sem supervised, menos settings disponíveis).
Android Enterprise — quatro modos = quatro configurações
Cada um dos 4 modos do Android Enterprise tem o seu próprio "enrollment profile" (ou ausência dele, no caso de Work Profile). Você normalmente configura:
- 1 Fully Managed enrollment token + QR/NFC config
- 1 Dedicated (kiosk) enrollment profile
- 1 COPE enrollment profile
- 1 Work Profile (BYOD) — habilitado via Managed Google Play, sem profile específico
Windows Autopilot
O enrollment de Windows mais cobrado. Cada combinação de cenário pode pedir um Deployment Profile diferente — não é raro um tenant ter 3–5 Deployment Profiles (user-driven Entra Joined, self-deploying para kiosks, pre-provisioned, Hybrid, etc.). Cada um é uma configuração separada.
Enrollment Restrictions
Independentes dos métodos: definem quem pode inscrever e quantos devices por usuário. Existem dois tipos:
| Tipo | O que controla |
|---|---|
| Device platform restriction | Quais plataformas (Win, macOS, iOS, Android) podem se inscrever e se BYOD é permitido |
| Device limit restriction | Quantos devices por usuário (1 a 15) |
O Intune tem teto fixo de 15 devices/usuário. O Entra ID tem limite padrão de 50, configurável até ilimitado. Ambos precisam estar dentro do limite para o enrollment funcionar. Admins globais ficam isentos só do limite do Entra.
Cenários de enrollment · conta certa
| Cenário | Métodos de enrollment necessários |
|---|---|
| Frota Win corporativa nova via OEM | 1 · Autopilot user-driven |
| Frota Win corporativa + kiosks | 2 · Autopilot user-driven + Autopilot self-deploying |
| iPhone corporativo + iPad corporativo via ABM | 1 token + 2 profiles ADE (um iOS, um... outro iOS — ou um único se compartilhar settings) |
| Mac via ABM + iPhone BYOD | 2 métodos · ADE para macOS + Company Portal para iOS |
| Android corporativo + Android BYOD | 2 modos · Fully Managed + Personally-Owned Work Profile |
Entra ID join states · por plataforma
Os 3 estados — Entra Joined, Entra Hybrid Joined, Entra Registered — não estão disponíveis para todos os SOs. Conhecer o que cada plataforma suporta é essencial, porque a prova mistura cenários (ex.: "macOS Entra Hybrid Joined?" — não existe!).
Matriz de compatibilidade
| Plataforma | Entra Joined | Entra Hybrid Joined | Entra Registered |
|---|---|---|---|
| WIN Windows 10/11 (Pro+) | Sim | Sim | Sim (raro) |
| WIN Windows Home | Não | Não | Sim |
| MAC macOS | Não | Não | Sim · via Company Portal + Microsoft SSO Plug-in |
| IOS iOS / iPadOS | Não | Não | Sim · via Microsoft Authenticator |
| AND Android Enterprise | Não | Não | Sim · via Microsoft Authenticator / Company Portal |
| LIN Linux (Ubuntu LTS) | Não | Não | Sim · funcionalidade limitada |
Um Mac corporativo, um iPad corporativo ou um celular Android corporativo NÃO ficam "Entra Joined". Eles ficam Entra Registered (mesmo sendo da empresa), e o gerenciamento real acontece via Intune com policies de plataforma. A questão pode perguntar "que tipo de join um Mac corporativo faz?" — a resposta é Registered.
Como o Entra Registered se comporta em cada SO
Windows · Entra Registered (uso raro)
Para um PC Windows, Entra Registered é o estado menos comum. Tipicamente acontece quando um usuário faz "Connect to work or school account" sem fazer Entra ID join completo. O dispositivo aparece no Entra mas com gerenciamento limitado. Em corporativo, quase sempre se prefere Joined ou Hybrid Joined.
macOS · Entra Registered (o único estado possível)
O Mac fica Registered quando o usuário se inscreve no Intune via Company Portal ou ADE. A integração de identidade é fornecida pelo Microsoft Enterprise SSO Plug-in for Apple devices (você instala via Config Profile). Sem o plug-in, o macOS não consegue PRT-like SSO ao Microsoft 365.
Fluxo típico: ADE inscreve o Mac no Intune (corporate-owned, supervised) → o Intune empurra Config Profiles (settings + SSO extension) e Compliance → o usuário entra com a conta Entra ID via Company Portal/SSO extension → o Mac fica Entra Registered, gerenciado pelo Intune, com SSO ao Microsoft 365.
iOS/iPadOS · Entra Registered
O iPhone/iPad fica Registered durante a inscrição no Intune. O Microsoft Authenticator (e a integração via WS-Trust) cuida da identidade Entra ID. Em corporativos via ADE, o dispositivo é supervised, o que habilita mais settings de configuração — mas o join state continua sendo Registered.
Android · Entra Registered (com particularidades)
Em Fully Managed, Dedicated e COPE, o registro Entra acontece quando o usuário (ou o setup) autentica com a conta corporativa. O dispositivo aparece no Entra como Registered. Em Personally-Owned Work Profile (BYOD), é só o work profile que se associa ao Entra — o lado pessoal permanece independente. Em ambos os casos, a identidade vai via Microsoft Authenticator ou Company Portal.
SSO em Apple e Android · como o "PRT" se materializa
No Windows Joined/Hybrid, o Primary Refresh Token (PRT) fica no LSA do sistema — SSO transparente. Em outras plataformas não existe PRT no sentido técnico, mas há equivalentes:
| Plataforma | O que faz o papel do PRT |
|---|---|
| MAC macOS | Microsoft Enterprise SSO Plug-in (via Config Profile) |
| IOS iOS/iPadOS | Microsoft Enterprise SSO Plug-in via Microsoft Authenticator |
| AND Android | Microsoft Authenticator broker (token compartilhado entre apps) |
Quem pode se registrar/aderir
| Pergunta da prova | Resposta |
|---|---|
| Qualquer usuário pode fazer Entra ID join? | Depende do setting "Users may join devices to Microsoft Entra ID" (All / Selected / None) no Entra admin center → Devices → Device settings. |
| Qualquer usuário pode registrar um BYOD? | Depende de "Users may register their devices with Microsoft Entra ID" (All / None). Padrão: All. |
| Quem pode inscrever no Intune? | Quem tem licença Intune atribuída + está dentro da Enrollment Restriction de plataforma + dentro do device limit. |
| Macs precisam de licença Apple para se registrar? | Não para Entra Registered. Mas precisam de uma conta no Apple Business Manager se forem usar ADE. |
| Mac pessoal (BYOD) pode usar Conditional Access? | Sim — assim que registrado, vira sinal para o CA. |
O que muda em Compliance/Config conforme o join state
- Windows Entra Joined: Intune é a fonte primária. BitLocker recovery key sobe direto para o Entra.
- Windows Hybrid Joined: Group Policy on-prem coexiste com Intune. Pode dar conflito (GPO vs Intune) — a Microsoft recomenda escolher uma fonte por setting.
- macOS/iOS/Android Registered: só Intune. Não há GPO. Settings são empurrados via Config Profiles e validados pelo Apple MDM protocol (Apple) ou Android Management API (Android).
SO por SO · como o Intune trata cada um
WIN Windows 10/11
- Join states: Joined, Hybrid Joined, Registered (todos suportados; Joined é o moderno).
- Enrollment principal: Autopilot. Alternativas: GPO (Hybrid), Company Portal (manual), Co-management.
- Profile types: Settings Catalog (moderno) · Templates · ADMX · Custom OMA-URI.
- Criptografia: BitLocker em Endpoint security → Disk encryption. Recovery key vai para o Entra ID se Joined.
- Antivírus: Microsoft Defender (integrado, configurado via Endpoint security ou Settings Catalog).
- Settings exclusivos do Windows: Secure Boot, Code integrity, AppLocker, WDAC, Credential Guard, BitLocker, Group Policy.
- Atenção edição: Home não suporta Joined/Hybrid nem Intune MDM completo.
MAC macOS
- Join state: apenas Entra Registered. Não existe macOS "Entra Joined".
- Enrollment: ADE (corporativo via ABM/ASM) · Company Portal (BYOD) · Direct enrollment.
- Profile types: Settings Catalog (moderno) · Templates · Custom
.mobileconfig. - Criptografia: FileVault em Endpoint security → Disk encryption. Recovery key personal pode ir para o Intune.
- SSO ao Microsoft 365: via Microsoft Enterprise SSO Plug-in (instala-se via Config Profile, template "Single sign-on app extension").
- Settings comuns: Firewall, Gatekeeper, restrições de Apple Store/iCloud, Wi-Fi, VPN, certificados.
- Supervised vs não: Macs ADE entram como supervised — mais settings disponíveis. BYOD não é supervised.
- BitLocker (Win) = FileVault (macOS)
- Group Policy (Win) = Config Profiles + .mobileconfig (macOS)
- Windows Defender (Win) = Defender for Endpoint para macOS (add-on, mesma família mas distribuído como app)
- BitLocker Recovery via Entra (Win) = FileVault personal recovery key via Intune (macOS)
IOS iOS / iPadOS
- Join state: apenas Entra Registered.
- Enrollment: ADE (corp via ABM/ASM) · Apple Configurator (manual com profile/direct) · Company Portal · User enrollment (BYOD com Managed Apple ID).
- Profile types: Settings Catalog · Templates · Custom
.mobileconfig. - Supervised vs não: dispositivos via ADE ou Apple Configurator com setup assistant ficam supervised, e ganham settings avançados (single-app kiosk, restrições de iCloud, etc.). BYOD via Company Portal não fica supervised.
- Identidade: via Microsoft Authenticator (que carrega o broker token).
- Settings exclusivos da Apple móvel: Cellular, Per-app VPN, App configuration via Managed App Configuration.
No Intune, qualquer policy de "iOS/iPadOS" cobre tanto iPhone quanto iPad. Não existe "policy só de iPad" ou "policy só de iPhone". Você pode filtrar por device model ou por scope tag, mas a plataforma é a mesma.
AND Android
Android é o mais complexo porque tem 4 modos de Android Enterprise + o legacy. Cada modo é praticamente "uma plataforma" do ponto de vista de policies.
| Modo | Dono | Usuário | Caso típico |
|---|---|---|---|
| Fully Managed | Empresa | Sim | Celular corporativo, sem uso pessoal |
| Dedicated | Empresa | Não (anônimo) | Kiosks, terminais de leitura |
| COPE (Corporate-Owned WP) | Empresa | Sim + perfil pessoal | Celular corp. com uso pessoal permitido |
| Personally-Owned Work Profile | Usuário | Sim | BYOD — celular pessoal com app de trabalho |
| Android device administrator (legacy) | — | — | Apenas dispositivos antigos; Microsoft está aposentando |
- Join state: apenas Registered. Em Work Profile BYOD, só o work profile é "Registered".
- Pré-requisito: conexão Managed Google Play (uma vez, em Devices → Android → Enrollment → Managed Google Play).
- Apps: exclusivamente via Managed Google Play (não Play Store pública).
- Defender: existe versão para Android (apps maliciosos, web protection).
LIN Linux (Ubuntu LTS)
- Join state: apenas Entra Registered, via Microsoft Intune App no Ubuntu LTS (22.04+).
- Compliance: existe policy básica (versão do SO, criptografia, senha).
- Configuration Profile: via Settings Catalog para Linux (subset reduzido).
- Defender: Defender for Endpoint para Linux (server) é separado e tem cobertura mais limitada.
🧮 Calculadora de Políticas por Plataforma
Selecione os dispositivos do cenário e o tipo de policy. A calculadora mostra quantas policies você precisa criar e por quê, com a regra aplicada.
Marque os dispositivos presentes no ambiente. A calculadora agrupa por plataforma Intune automaticamente.
Quando se deparar com uma questão "X policies para N devices", recrie mentalmente esse cálculo: enumere as plataformas Intune presentes, ajuste para o tipo de objeto e some. A calculadora acima já reproduz toda a lógica.
Treino HOTSPOT · "Quantas policies?"
Cenários típicos da MD-102, com dispositivos misturados. Conte, escolha e confira.
Uma equipe tem: 1 MacBook, 1 notebook Windows 11, 1 celular Android (Fully Managed), 1 iPad e 1 iPhone. Você vai criar Compliance Policies básicas (versão mínima do SO + senha).
Frota com 50 Win 10, 30 Win 11 e 20 macOS. Cenário pede Compliance Policies.
A empresa tem celulares Android corporativos (Fully Managed) + BYOD Android (Personally-Owned Work Profile) + Windows + macOS. Cenário: Compliance Policies.
Você precisa criar App Protection Policies (MAM) para proteger o Outlook em: iPhones, iPads, Android Fully Managed e Android BYOD.
Frota com Windows + macOS + iOS/iPadOS + Android Enterprise (Fully Managed). Você precisa entregar Wi-Fi corporativo EAP-TLS (com certificado de cliente). Cada plataforma exige a cadeia: Trusted root + SCEP + Wi-Fi profile.
Cenários de join state. Diga o que cada dispositivo se torna no Entra ID:
- Que tipo de objeto a questão pede? (Compliance / Config / App Protection / Enrollment) — porque a regra muda.
- Liste os SOs presentes (não dispositivos).
- Aplique a regra: Win 10 + Win 11 = 1 · iPhone + iPad = 1 · macOS = 1 · Android (verificar se tem Fully Managed E Work Profile = 2).
- Se for App Protection: Android é uma plataforma só, ignore o modo. Se for Enrollment: conte métodos, não plataformas.
- Se houver Wi-Fi/VPN com cert: multiplique cadeia × plataformas.