MD-102 · Guia de Estudo

Este domínio é sobre como o Windows chega ao dispositivo do usuário: desde a escolha da edição certa do Windows 11, passando pelos métodos de ativação, até as ferramentas modernas de provisionamento. O Windows Autopilot é o método mais cobrado e tem uma aba dedicada só para ele.

1.1 · Edições do Windows 11 e licenciamento

O primeiro passo de qualquer implantação é escolher a edição certa. Cada edição tem capacidades e públicos diferentes:

← arraste a tabela para o lado para ver todas as colunas

Recursos importantes do Windows · o que cada edição suporta

Esta tabela é ouro puro para a prova. Pode aparecer uma questão como "preciso de Credential Guard — qual edição mínima?" e você precisa saber.

* BitLocker no Home é apenas "Device Encryption" limitado, sem controle via GPO/Intune.

O que cada recurso de segurança faz

• BitLocker: criptografa o disco inteiro. Protege os dados se o dispositivo for roubado.
• AppLocker: controla quais aplicativos podem ser executados (allowlist/blocklist por publisher, hash ou path).
• WDAC (Windows Defender Application Control): versão mais robusta do AppLocker, baseada em políticas de assinatura digital. Recomendado para zero trust.
• Credential Guard: usa virtualização para proteger credenciais (NTLM hash, Kerberos ticket) contra ataques como pass-the-hash. Requer TPM 2.0 e Secure Boot.
• SmartScreen: bloqueia downloads e sites maliciosos (todas as edições têm).
• Windows Sandbox: ambiente isolado descartável para testar apps suspeitas (Pro+).
• Memory Integrity (HVCI): proteção da memória do kernel via virtualização.
• Tamper Protection: impede que malware desative o Defender (todas).

Métodos de ativação do Windows

Existem quatro métodos de ativação que você precisa conhecer:

• MAK (Multiple Activation Key): uma chave única que ativa um número limitado de dispositivos. Cada ativação consome uma "unidade". Usado em ambientes pequenos ou desconectados.
• KMS (Key Management Service): servidor on-premises que ativa clientes na rede interna. Os clientes precisam contatar o KMS pelo menos uma vez a cada 180 dias para manter a ativação.
• ADBA (Active Directory-Based Activation): a ativação acontece automaticamente quando o dispositivo entra no domínio AD. Não precisa de servidor KMS dedicado.
• Subscription Activation: o dispositivo "sobe" de edição (Pro → Enterprise) automaticamente quando o usuário faz login com uma conta Entra ID licenciada com Windows 11 Enterprise E3/E5. É o método moderno e o mais cobrado na prova.

1.2 · Métodos de implantação do Windows

Existem várias formas de instalar o Windows num dispositivo, da mais moderna (cloud-first) à mais tradicional (on-premises):

Windows Autopilot (cloud-first, moderno)

Permite que dispositivos novos saiam direto do fornecedor para o usuário final, com tudo configurado automaticamente no primeiro boot. É o método mais cobrado da prova.

Provisioning Packages (Windows Configuration Designer)

Arquivos .ppkg criados na ferramenta Windows Configuration Designer. Podem ser aplicados por pen USB, e-mail, compartilhamento de rede ou diretamente durante o OOBE (Out-of-Box Experience). Úteis para configurar Wi-Fi, certificados, políticas e até para fazer Entra ID join em massa, sem precisar de Intune. Bons para cenários offline ou redes com limitação.

Configuration Manager (antigo SCCM)

Solução on-premises da Microsoft para implantação em larga escala. Suporta task sequences para criar a imagem dos dispositivos, OSD (Operating System Deployment) com PXE boot e integração com o Intune via co-management.

MDT e WDS (legacy)

Ferramentas tradicionais para criar e implantar imagens via rede usando PXE boot. Ainda existem, mas são consideradas legacy. A Microsoft recomenda fortemente migrar para o Autopilot.

1.3 · Caminhos de upgrade e updates

Existem três formas principais de mover entre versões do Windows:

• In-place upgrade: atualiza mantendo apps, arquivos e configurações. Suportado de Windows 10 → 11 (se o hardware cumprir os requisitos).
• Wipe-and-load: apaga tudo e instala uma imagem nova. Usado em refresh de hardware antigo.
• Side-by-side migration: migração entre dois dispositivos (substituição de hardware).

Feature Updates vs Quality Updates

1.4 · Windows 365 e Azure Virtual Desktop

São serviços de Cloud PC: em vez de o Windows rodar no notebook físico, ele roda numa máquina virtual na nuvem que o usuário acessa remotamente.

O gerenciamento do Windows 365 (tipos de Cloud PC e Provisioning Policies) está detalhado no Domínio 3.

Este domínio cobre como o dispositivo "se apresenta" ao Entra ID e como garantir que ele cumpre regras de segurança antes de acessar recursos corporativos. Aqui está a parte que mais confunde: os tipos de join (device states).

2.1 · Os 3 device states no Entra ID

Esta é provavelmente a área mais cobrada da prova. Quando um dispositivo "aparece" no Entra ID, ele pode estar em um de três estados:

1. Microsoft Entra Joined (Entra Joined)
2. Microsoft Entra Hybrid Joined (Hybrid Joined)
3. Microsoft Entra Registered (também chamado Workplace Join)

🔷 Entra Joined

O dispositivo é "cidadão" do Entra ID, sem conexão com Active Directory on-premises. O usuário faz login no Windows com a conta Entra ID corporativa (nome@empresa.com).

• Quem se autentica: a conta de trabalho Entra ID
• Dono do dispositivo: a organização (corporate-owned)
• SO: Windows 10/11 Pro, Enterprise, Education (Home não suporta)
• Recebe Primary Refresh Token (PRT) no login → SSO automático para Microsoft 365 e apps SaaS
• Gerenciamento: Microsoft Intune (MDM completo)
• Caso de uso: ambiente cloud-first, empresas modernas, startups, organizações sem dependência forte de apps legacy on-premises

🔶 Entra Hybrid Joined

O dispositivo está "em duas casas" ao mesmo tempo: ingressado no AD on-premises e registrado no Entra ID. É o estado-ponte para empresas que ainda têm AD on-prem mas querem benefícios do Entra (SSO cloud, Conditional Access, Intune).

• Quem se autentica: a conta AD (sincronizada com o Entra ID via Entra Connect ou Entra Cloud Sync)
• Dono do dispositivo: a organização
• SO: apenas Windows (10/11 Pro, Enterprise, Education)
• Precisa de linha de visão para um Domain Controller on-premises (um problema para usuários remotos!)
• Suporta Kerberos/NTLM para apps legacy on-premises (file shares, apps internas)
• Group Policy (GPO) continua funcionando
• Caso de uso: empresas em transição, apps legacy que dependem de AD, file shares Kerberos

🟡 Entra Registered (Workplace Join)

O dispositivo é pessoal — pertence ao usuário, não à organização. O usuário apenas "registra" o dispositivo para acessar recursos da empresa (e-mail, Teams, etc.) sem perder o controle do próprio dispositivo.

• Quem se autentica: conta pessoal + uma conta de trabalho adicional para apps específicas
• Dono do dispositivo: o usuário (BYOD)
• SO: ⭐ Windows 10/11, macOS, iOS, iPadOS, Android, Linux — é o único estado que suporta tudo
• Gerenciamento: normalmente MAM (Mobile Application Management), não MDM completo. A empresa controla só os apps corporativos, não o dispositivo inteiro.
• SSO: mais limitado — funciona para apps cloud específicas
• Caso de uso: BYOD, celulares pessoais acessando e-mail corporativo, contractors

📊 Tabela comparativa completa

← arraste a tabela para o lado para ver todas as colunas

2.2 · Entra ID join e enrollment automático

Para que um dispositivo Windows que faz Entra ID join seja inscrito automaticamente no Intune, é preciso ligar o Automatic MDM enrollment:

Entra admin center → Mobility (MDM and WIP) → Microsoft Intune → defina o MDM user scope como All (ou para um grupo). Sem isso, o dispositivo se associa ao Entra mas nunca se inscreve no Intune — é o erro de configuração mais comum.

2.3 · Company Portal

O Company Portal é o app pelo qual o usuário final interage com o Intune: instala apps opcionais, vê o status de compliance do dispositivo e executa ações self-service.

Em Intune admin center → Tenant administration → Customization você pode personalizar logo e cores, nome da empresa, contatos de suporte, mensagem de boas-vindas, apps em destaque e quais ações o usuário pode executar (renomear dispositivo, retire, etc.).

2.4 · Autenticação no dispositivo

Windows Hello for Business (WHfB)

Substitui senhas por biometria (digital, reconhecimento facial) ou PIN. Importante: o PIN do WHfB não é uma senha — está ligado ao TPM do dispositivo e nunca sai do hardware.

• Cloud trust (recomendado): usa Entra ID Kerberos. Não precisa de PKI on-premises.
• Hybrid certificate trust: usa certificados emitidos por uma CA on-premises.
• Hybrid key trust: usa chaves no TPM; requer configuração de Kerberos.

FIDO2 / Passkeys

Chaves de segurança físicas (USB, NFC) ou passkeys armazenadas em dispositivos. Permitem login passwordless completo.

Multi-Factor Authentication (MFA)

Combina algo que você sabe (senha) + algo que você tem (celular, token) + algo que você é (biometria). Configurado no Conditional Access ou via Security Defaults.

2.5 · Compliance Policies

Uma Compliance Policy no Intune define quais regras um dispositivo deve cumprir para ser considerado "compliant". Exemplos: versão mínima do SO, BitLocker ativado, Secure Boot, antivírus em dia, sem jailbreak/root, senha com complexidade mínima, risk score baixo no Defender for Endpoint.

Actions for noncompliance

Quando um dispositivo fica non-compliant, você pode encadear ações: marcar como noncompliant (na hora ou após X dias de tolerância), enviar e-mail ao usuário, enviar push notification, bloquear o dispositivo remotamente ou fazer retire (remoção dos dados corporativos).

2.6 · Conditional Access (CA)

É o "porteiro" do Entra ID. Uma política de CA tem dois lados: as condições (quando a política se aplica) e os controles (o que exigir).

Report-only mode

Antes de ligar uma política em produção, coloque-a em Report-only. Ela é avaliada a cada sign-in mas não é aplicada — só registra no log o que teria acontecido. Excelente para testar sem quebrar nada.

2.7 · Intune RBAC e Scope Tags

Em organizações grandes você quer separar quem pode gerenciar o quê. O Intune tem três conceitos:

• Roles: "School Administrator", "Help Desk Operator", "Policy and Profile Manager", etc.
• Scope Tags: etiquetas que limitam quais recursos um admin enxerga. Ex.: a scope tag "Lisbon" faz o admin ver só os dispositivos do escritório de Lisboa.
• Assignments: a quem o role/scope é atribuído.

Este é o maior domínio e onde você precisa focar mais. Cobre tudo o que acontece depois de o dispositivo estar inscrito no Intune: configuração, segurança, updates, monitoramento, Defender, Windows 365 e BitLocker. O Windows Autopilot tem aba própria.

3.1 · Enrollment de dispositivos

O enrollment é o processo pelo qual um dispositivo "entra" no Intune para ser gerenciado. Cada SO tem o seu método:

🔍 Android Enterprise · os 4 modos

Android é a plataforma mais complexa do Intune porque tem 4 cenários completamente diferentes, cada um com fluxo de enrollment, capacidades e casos de uso próprios.

• Fully Managed: dispositivo 100% da empresa, sem espaço pessoal. Inscreve via factory reset → afw#setup / QR code / NFC. Apps só via Managed Google Play. Para celulares corporativos atribuídos individualmente.
• Dedicated: uso único, sem usuário atribuído. Funciona como kiosk (single-app ou multi-app). Inscreve via QR code / NFC / Zero-Touch. Para terminais de inventário, leitores de código, máquinas de pedido.
• COPE (Corporate-Owned Work Profile): dispositivo da empresa, mas com uso pessoal permitido. Tem dois perfis separados. O admin só vê o lado profissional e pode dar wipe no aparelho todo ou só no work profile. Para gestores e comerciais.
• Work Profile (BYOD): dispositivo do usuário; a empresa cria só um work profile isolado. O admin não vê apps, fotos ou contatos pessoais. Só o work profile pode ser apagado (retire). Para funcionários usando o celular pessoal para e-mail/Teams.

← arraste a tabela para o lado para ver todas as colunas

3.2 · Configuration Profiles

Os Configuration Profiles entregam configurações aos dispositivos (Wi-Fi, VPN, restrições, certificados, etc.). Os principais tipos:

• Settings Catalog: o método moderno e recomendado. Milhares de configurações granulares, pesquisáveis e sempre atualizadas.
• Templates: grupos prontos por categoria (Device restrictions, Endpoint protection, VPN, Wi-Fi, etc.). Estão sendo gradualmente substituídos pelo Settings Catalog.
• Administrative Templates (ADMX): equivalente cloud das GPOs ADMX clássicas.
• Custom (OMA-URI): só para configurações muito específicas que ainda não estão no Settings Catalog.

Security Baselines

São conjuntos pré-configurados de configurações recomendadas pela Microsoft (baseline para Windows, Defender for Endpoint, Edge). Aplicam dezenas de boas práticas de segurança de uma vez, em vez de você configurar cada item manualmente.

3.3 · Remote Actions

Ações que você executa remotamente sobre um dispositivo no Intune. As mais cobradas são as de "limpeza":

Outras ações úteis: Sync, Restart, Remote lock, Reset passcode, Locate device, Rename, Collect diagnostics e Quick/Full scan (Defender).

3.4 · Microsoft Defender for Endpoint (MDE)

É a plataforma EDR (Endpoint Detection and Response) da Microsoft, muito além de um antivírus tradicional. Componentes principais:

• Next-gen antivirus: proteção em tempo real, cloud-delivered protection.
• EDR: detecta comportamentos suspeitos, não apenas malware conhecido.
• Attack Surface Reduction (ASR): bloqueia técnicas comuns de ataque (macros, scripts, comportamento de ransomware).
• Threat & Vulnerability Management (TVM): identifica vulnerabilidades nos dispositivos.
• Automated Investigation and Remediation (AIR): resposta automática a incidentes.

Conditional Access baseado em risco

O MDE atribui um Machine Risk Score a cada dispositivo (Low, Medium, High). Você integra isso numa Compliance Policy (ex.: "Medium ou superior = non-compliant"), e o Conditional Access exige device compliant. O resultado é um ciclo de defesa automático: Defender → Compliance → Conditional Access.

3.5 · Microsoft Intune Suite

O Intune Suite é um pacote de capacidades avançadas além do Plan 1 (que vem no Microsoft 365 E3/E5). A prova adora cobrar qual plano inclui o quê.

• Remote Help: suporte remoto cloud-based. O técnico solicita uma sessão, o usuário aceita. Não é Remote Desktop nem precisa de VPN.
• Endpoint Privilege Management (EPM): elevação de privilégio temporária (just-in-time) para usuários sem direitos de admin. Apoia zero trust.
• Enterprise App Management (EAM): catálogo curado de apps de terceiros com deploy e patch automatizados (mais de 900 apps).
• Cloud PKI: emissão de certificados direto no Intune, sem PKI on-premises.

3.6 · Microsoft Tunnel

O Microsoft Tunnel é um gateway VPN gerenciado pelo Intune que permite a dispositivos móveis (iOS/iPadOS e Android) acessar recursos on-premises com segurança, usando autenticação moderna e Conditional Access — sem VPN de terceiros.

Roda num servidor Linux (container Docker ou Podman), na rede corporativa ou no Azure. O Microsoft Defender for Endpoint age como client VPN no dispositivo (é obrigatório). A autenticação passa pelo Entra ID, e o Conditional Access pode exigir device compliant.

Tunnel para MAM (dispositivos não inscritos)

É a versão mais cobrada, junto com cenários BYOD. O Tunnel clássico só funciona em dispositivos MDM-enrolled; o Tunnel para MAM estende o acesso VPN para dentro do app, sem precisar de enrollment.

3.7 · Windows Autopatch e Update Rings

Windows Autopatch é o serviço gerenciado pela Microsoft que automatiza por completo a aplicação de updates: cria os rings, monitora o sucesso e faz rollback automático em caso de problema. Cobre Windows, Microsoft 365 Apps, Edge e Teams. Requer Windows 11 Enterprise E3/E5.

Quando você quer controlar manualmente, usa Update Rings (Windows Update for Business): grupos de dispositivos com deferral period (quantos dias adiar), deadline (prazo para instalar) e grace period. O padrão é organizar em anéis progressivos — pilotos primeiro, produção depois.

3.8 · BitLocker e criptografia

O BitLocker criptografa o disco inteiro. Pelo Intune, é configurado em Endpoint security → Disk encryption e pode ser ativado de forma silenciosa (sem interação do usuário) usando o TPM.

• Recovery key (Entra Joined): guardada automaticamente no Entra ID quando o BitLocker é ativado via Intune. Acessível em Entra admin center → Devices → o dispositivo → BitLocker keys.
• Recovery key (Hybrid Joined): pode ir para o AD on-premises ou para o Entra, dependendo da configuração.
• Requisitos: TPM 2.0 recomendado; pode-se exigir startup PIN para camada extra.

3.9 · Endpoint Analytics

O Endpoint Analytics dá insights sobre a experiência do usuário: tempo de boot/logon (startup performance), confiabilidade de apps (app reliability) e um Work-from-anywhere score. Inclui as Proactive Remediations: pacotes de scripts (detecção + correção) que rodam automaticamente nos dispositivos para resolver problemas conhecidos antes de o usuário reclamar.

3.10 · Windows 365 · gerenciamento

O conceito de Windows 365 e a comparação com o AVD estão no Domínio 1. Aqui é só a parte de gerenciamento.

Tipos de Cloud PC

• Windows 365 Business: para empresas pequenas (até 300 Cloud PCs), setup simplificado, sem necessidade de Intune/Azure.
• Windows 365 Enterprise: para empresas maiores, integrado ao Intune e ao Entra ID, gerenciado como qualquer outro endpoint. Suporta Provisioning Policies.
• Windows 365 Frontline: para trabalhadores em turnos — várias pessoas compartilham um conjunto de licenças (uso não simultâneo).

Provisioning Policies

No Windows 365 Enterprise, a Provisioning Policy define como os Cloud PCs são criados: imagem (galeria ou custom), região, tipo de join (Entra Joined), rede e o grupo de usuários que recebe os Cloud PCs. É o equivalente do "deployment profile" para Cloud PCs.

3.11 · Compliance · cenários avançados

O básico de Compliance Policies está no Domínio 2. Aqui estão os detalhes que a prova cobra em questões HOTSPOT: grace period, múltiplas políticas e limites de dispositivos.

Grace period (tolerância) na prática

Quando uma Compliance Policy detecta não conformidade, a ação "Mark device noncompliant" tem schedule padrão de 0 dias (imediato). Mas você pode configurar dias de tolerância:

Múltiplas políticas no mesmo dispositivo

Quando um dispositivo recebe duas ou mais Compliance Policies, a regra é: a mais restritiva ganha. Exemplo: se a Policy 1 exige BitLocker (grace 5 dias) e a Policy 2 exige Firewall (grace 0 dias), e o dispositivo está sem Firewall → é marcado non-compliant imediatamente (por causa da Policy 2 com schedule 0), mesmo que a Policy 1 tenha grace de 5 dias.

Actions for noncompliance — sequência encadeável

Limites de dispositivos · Entra ID vs Intune

São dois sistemas independentes de limite:

O que é o Autopilot

O Windows Autopilot permite que um dispositivo novo saia direto do fornecedor para o usuário e se configure sozinho no primeiro boot — sem o time de TI tocar na máquina, sem criar imagem. O dispositivo já é conhecido pelo serviço Autopilot (via hardware hash), então quando o usuário liga e conecta à internet, o Entra join, o enrollment no Intune e a instalação de apps acontecem automaticamente.

O fluxo, em ordem

1. O hardware hash do dispositivo é registrado no serviço Autopilot (pelo OEM ou manualmente).
2. Você cria um Deployment Profile e atribui ao grupo de dispositivos.
3. O usuário liga o dispositivo e conecta à rede no OOBE.
4. O Autopilot reconhece o dispositivo e aplica o perfil → Entra ID join.
5. Enrollment automático no Intune (graças ao Automatic MDM enrollment).
6. A Enrollment Status Page (ESP) aplica políticas e instala os apps obrigatórios.
7. O dispositivo é entregue pronto para uso.

Hardware hash

O hardware hash é uma identificação única gerada a partir de elementos físicos do dispositivo (TPM, motherboard, CPU, NICs). É como o Autopilot "reconhece" cada máquina. Formas de obtê-lo:

• Direto do OEM (Dell, HP, Lenovo): o fornecedor registra o hash no seu tenant na hora da compra. É o cenário ideal em escala.
• Manualmente via PowerShell: com o script Get-WindowsAutopilotInfo, gerando um CSV que você importa no Intune.
• Via Configuration Manager: coleta o hash de dispositivos já gerenciados.

Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Os 5 modos clássicos (Autopilot v1)

← arraste a tabela para o lado para ver todas as colunas

Autopilot v2 · Device Preparation

Em 2024 a Microsoft lançou uma versão simplificada: Autopilot Device Preparation (Autopilot v2). Diferenças:

• ⭐ Não precisa pré-registrar hardware hash — o dispositivo é identificado dinamicamente pelo sign-in.
• Suporta apenas User-driven e Automatic (para Windows 365).
• Suporta apenas Entra Joined (sem Hybrid).
• Reporting em near real-time. Mais simples, porém menos flexível.

Enrollment Status Page (ESP)

É a página que o usuário vê durante o setup do Autopilot. Mostra o progresso e bloqueia o uso do dispositivo até as políticas e os apps obrigatórios estarem instalados. Configurações importantes:

• Show app and profile configuration progress: mostra ou esconde o ESP.
• Block device use until all apps and profiles are installed: impede o uso até terminar.
• Block device use until these required apps are installed: permite escolher Selected em vez de All — recomendado!
• Allow users to reset device if installation error occurs: dá a opção de recomeçar.
• Show error when installation takes longer than: timeout (padrão 60 min).

Deployment Profile · campos principais

• Deployment mode: User-driven ou Self-deploying.
• Join to Microsoft Entra ID as: Entra joined ou Entra hybrid joined.
• Skip privacy settings, EULA, account setup.
• User account type: Standard (recomendado) ou Administrator.
• Apply device name template: ex.: LAB-%RAND:5% gera "LAB-A3F9B".
• Allow pre-provisioned deployment: Yes/No.
• Language (Region): só funciona com Ethernet (Wi-Fi exige input do usuário).

md C:\HWID
Set-Location C:\HWID
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted -Force
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

(device.devicePhysicalIds -any (_ -contains "[ZTDId]"))

É o menor domínio em peso, mas importante: o trabalho real de um endpoint admin é fazer chegar apps aos dispositivos de forma confiável. Cobre tipos de app, métodos de deployment e proteção de dados.

4.1 · Tipos de aplicativo no Intune

Win32 Content Prep Tool

Ferramenta gratuita que converte instaladores (.exe, .msi + arquivos de configuração) em pacotes .intunewin:

IntuneWinAppUtil.exe -c <source folder> -s <setup file> -o <output folder>

4.2 · Assignments (atribuições)

Ao atribuir um app a um grupo, você escolhe o intent:

• Required: instala automaticamente, sem opção do usuário.
• Available for enrolled devices: aparece no Company Portal para instalação opcional.
• Uninstall: remove o app dos dispositivos que o tenham.
• Available with or without enrollment: para apps em dispositivos sem MDM (apenas iOS/Android).

4.3 · App Protection Policies (APP / MAM)

São políticas que protegem dados corporativos dentro dos apps, mesmo em dispositivos não gerenciados. É um dos temas mais importantes do domínio e aparece muito em cenários de BYOD.

Data Protection Framework · 3 níveis

As configurações de uma App Protection Policy se dividem em três grupos: Data Protection (copiar/colar, "salvar como", backup), Access Requirements (PIN, credenciais, biometria) e Conditional Launch (bloquear se houver jailbreak/root, exigir versão mínima, wipe após X dias offline).

Selective wipe (app wipe)

Uma das maiores vantagens das App Protection Policies: você remove apenas os dados corporativos de um app, sem tocar nos dados pessoais. Feito em Intune → Apps → App selective wipe. Ideal quando um funcionário BYOD sai da empresa — o iPhone pessoal dele perde só os dados corporativos.

4.4 · App Configuration Policies

Permitem pré-configurar apps para o usuário não ter que configurar manualmente. Ex.: definir a conta corporativa no Outlook iOS, a homepage do Edge, ou o Defender como client do Tunnel para MAM. Dois métodos de entrega:

4.5 · Microsoft 365 Apps for Enterprise

É o pacote Office empresarial (Word, Excel, PowerPoint, Outlook, Teams, etc.) implantado e gerenciado via Intune. Configurações ao adicionar: update channel, architecture (64-bit recomendado), apps incluídos, idioma e Shared Computer Activation.

Update channels

Shared Computer Activation

Permite que vários usuários usem o Office no mesmo dispositivo compartilhado, cada um ativando com a própria conta. Desenhado para AVD, RDS e kiosks. Sem isso, instalar o Office num PC compartilhado violaria o licenciamento.

🎯 Mapeamento MeasureUp ↔ este material

O MeasureUp organiza as questões em 4 áreas funcionais (o que você faz como Endpoint Admin), enquanto este material segue a estrutura conceitual dos domínios Microsoft (o que você precisa saber). Por isso há sobreposição. Use esta tabela para escolher os módulos ao selecionar uma área no MeasureUp:

📚 Microsoft Learn (oficial e gratuito)

• Learning paths MD-102: learn.microsoft.com/training/courses/md-102t00
• Skills outline (estrutura oficial): aka.ms/MD-102-study-guide
• Intune docs: learn.microsoft.com/intune
• Autopilot docs: learn.microsoft.com/autopilot

🧪 Ambiente de lab

• Microsoft 365 Developer Program: developer.microsoft.com/microsoft-365/dev-program — 25 licenças E5 gratuitas e renováveis, com Intune incluído.
• Azure free account: US$ 200 de crédito para testar Windows 365 e AVD.

📝 Simulados

• MeasureUp: simulado oficial Microsoft. Caro, mas o mais próximo do real.
• ExamTopics: questões reais comentadas pela comunidade (confira as respostas, há erros).
• Whizlabs / Pluralsight: bons cursos com simulados incluídos.

⏱️ Plano sugerido · próximas 6 semanas