Importante: Algumas imagens deste post foram generalizadas por um agente de IA para retirar elementos que possam identificar nomes ou informações confidenciais.
- Área de tecnologia principal: Security | Intune
- Áreas de tecnologia adicionais: Cloud and Datacenter Management (Group Policy, System Center)
Recentemente, trabalhei na implementação de uma solução para aplicar um papel de parede corporativo na tela de bloqueio de dispositivos Windows gerenciados pelo Microsoft Intune. O principal objetivo era estabelecer um método que oferecesse controle centralizado, baixo acoplamento a serviços externos e previsibilidade no comportamento dos dispositivos, especialmente em cenários corporativos com requisitos de segurança e compliance mais rigorosos.
Durante a avaliação das opções disponíveis no Intune, ficou claro que abordagens baseadas exclusivamente em URLs externas (como SharePoint ou outros repositórios autenticados) podem introduzir limitações técnicas e riscos de segurança. Diante disso, optei por uma estratégia baseada em aplicativos Win32 combinados com scripts PowerShell.
Por que utilizar aplicativos Win32 no Intune?
No contexto do Microsoft Intune, um aplicativo Win32 nada mais é do que um pacote customizado (geralmente no formato .intunewin) que permite distribuir arquivos, scripts e lógicas de instalação para dispositivos Windows. Esse modelo é amplamente utilizado para cenários que exigem maior flexibilidade, como:
- Cópia de arquivos para caminhos específicos do sistema
- Execução de scripts PowerShell com privilégios de sistema
- Criação de regras de detecção e remediação
- Independência de conectividade contínua com serviços externos
De forma simplificada, o Win32 funciona como um “container controlado”, no qual encapsulamos a imagem de tela de bloqueio e um script responsável por copiá-la localmente no dispositivo e aplicar as configurações necessárias no Windows.
Benefícios da abordagem adotada
Ao utilizar aplicativos Win32 e PowerShell, foi possível:
- Distribuir a imagem diretamente para o dispositivo, eliminando a dependência de URLs públicas ou autenticadas
- Garantir que a tela de bloqueio fosse aplicada de maneira consistente, mesmo em cenários offline
- Facilitar futuras atualizações ou remoções do papel de parede por meio do próprio Intune
- Alinhar a solução às boas práticas de segurança e gerenciamento de endpoints
Essa abordagem se mostrou especialmente adequada para ambientes corporativos que buscam padronização visual, controle administrativo e redução de superfícies de risco, sem abrir mão da simplicidade operacional.
Avaliando as Soluções Nativas do Intune
Ao iniciar a análise sobre como implementar o papel de parede da tela de bloqueio, o primeiro caminho avaliado foi o uso das funcionalidades nativas do Microsoft Intune para gerenciamento de configurações, em especial o Catálogo de Configurações. Essa abordagem tem como principal vantagem o fato de não exigir desenvolvimento ou scripts, tornando-se atraente à primeira vista. No entanto, durante a avaliação técnica, alguns desafios importantes ficaram evidentes.
Um dos principais pontos está relacionado à localização de armazenamento da imagem. Esse método depende de um repositório externo acessível via URL — como o Azure Blob Storage — ou exige que a imagem já esteja presente localmente no dispositivo antes da aplicação da política. Em ambos os casos, o controle do ciclo de vida da imagem acaba sendo um fator crítico.
No cenário em que se opta pelo uso do Azure Blob Storage, surgem novas dependências operacionais. A imagem pode precisar ser atualizada com frequência, o que normalmente demanda interação com a equipe responsável pelo ambiente Azure. Além disso, o próprio Windows acaba armazenando a URL do blob no registro do sistema para fins de aplicação da política, o que pode não ser desejável em ambientes com requisitos mais rigorosos de segurança ou auditoria.
Por outro lado, ao considerar o uso de armazenamento local, o desafio passa a ser o controle da ordem das ações. É fundamental garantir que a imagem seja copiada para o dispositivo antes da aplicação da configuração de tela de bloqueio. Quando essa lógica depende simultaneamente do Catálogo de Configurações e de mecanismos externos de cópia, o gerenciamento das dependências pode se tornar complexo e menos previsível.
Após avaliar essas limitações, optei por seguir um caminho alternativo que proporcionasse maior controle operacional e redução de dependências externas. A solução adotada foi baseada exclusivamente em aplicativos Win32, utilizando scripts para orquestrar todas as etapas do processo. Essa abordagem permitiu tratar a cópia da imagem, a aplicação da configuração e possíveis ajustes futuros de forma direta, previsível e muito mais fácil de gerenciar dentro do próprio Intune.
Para montar essa configuração, você precisará acessar seu portal do Microsoft Intune em https://intune.microsoft.com/
Também vai precisar das permissões aderentes e um ambiente de testes (nunca aplique as configurações de um post em um ambiente produtivo diretamente).
Utilizando Aplicativos Win32 com Scripts PowerShell
A solução implementada baseia-se no uso de um aplicativo Win32 empacotado com scripts PowerShell e a imagem de tela de bloqueio, que é copiada diretamente para o armazenamento local do dispositivo. Essa abordagem se mostrou altamente eficaz em cenários corporativos que exigem controle total do processo de implantação, padronização visual e facilidade de manutenção.
Esse modelo atende de forma consistente aos seguintes cenários:
- Aplicação do papel de parede da tela de bloqueio em novos dispositivos
- Atualização do papel de parede tanto em dispositivos novos quanto existentes
- Remoção controlada do papel de parede quando ele não for mais necessário
Ao centralizar toda a lógica dentro de um pacote Win32, o processo deixa de depender de serviços externos, URLs públicas ou sincronizações indiretas, tornando-se mais previsível e alinhado às boas práticas de gerenciamento de endpoints.
Modelo de script: powershell/Install-LockScreenWallpaper.ps1 at main · edupopov/powershell
Estrutura do Pacote Win32
- Detection-LockScreenWallpaper.txt
- Install-LockScreenWallpaper.ps1
- Install-LockScreenWallpaper.bat
- LockScreen-Wallpaper-Default.jpg
- Uninstall-LockScreenWallpaper.ps1
- Uninstall-LockScreenWallpaper.bat
O pacote Win32 é composto por alguns componentes‑chave, cada um com uma função bem definida dentro do fluxo de implantação da tela de bloqueio:
Imagem da tela de bloqueio
LockScreen-Wallpaper-Default.jpg
Arquivo de imagem padrão que será aplicado como papel de parede da tela de bloqueio nos dispositivos Windows.
Script de instalação
Install-LockScreenWallpaper.ps1
Script PowerShell responsável por:
- Criar a estrutura de diretórios necessária no dispositivo
- Copiar a imagem da tela de bloqueio para o local correto do sistema
- Configurar as chaves de registro utilizadas pelo Windows para definir a imagem da tela de bloqueio
O script pode ser facilmente ajustado para personalizar caminhos, nomes de arquivos ou comportamentos conforme a necessidade do ambiente.
Script de desinstalação
Uninstall-LockScreenWallpaper.ps1
Script PowerShell utilizado no processo de remoção, responsável por excluir o arquivo de imagem e limpar as configurações de registro associadas à tela de bloqueio.
Arquivos batch de execução
Install-LockScreenWallpaper.bat
Arquivo batch utilizado para acionar o script de instalação. Embora seja possível executar o script PowerShell diretamente, o uso de um arquivo .bat facilita a padronização da execução no contexto do Intune.
Uninstall-LockScreenWallpaper.bat
Arquivo batch responsável por executar o script de desinstalação.
Regra de detecção
Detection-LockScreenWallpaper.txt
Arquivo que define a regra de detecção do Microsoft Intune, normalmente baseada na existência de uma chave de registro ou do arquivo de imagem, indicando que o papel de parede da tela de bloqueio foi configurado com sucesso.
Essa estrutura garante controle total sobre o ciclo de vida da configuração, facilitando a aplicação, atualização e remoção da tela de bloqueio de forma segura, previsível e centralizada em ambientes corporativos gerenciados pelo Intune.
Visão Geral das Etapas Executadas pelo Script
O script Install-LockscreenWallpaper.ps1 executa uma sequência bem definida de ações, garantindo rastreabilidade e facilidade de troubleshooting:
1. Configuração de Log
O script inicializa uma função de logging que registra todas as ações com carimbo de data/hora e status (informação, sucesso ou erro), permitindo acompanhamento detalhado da execução.
2. Definição dos Diretórios de Script e Log
O próprio caminho do script é identificado dinamicamente, e o diretório de logs é validado ou criado, caso não exista. Todas as ações realizadas são registradas.
3. Verificação e Criação das Chaves de Registro
- O script valida a existência da chave:
- HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
Caso a chave não exista, ela é criada automaticamente e o resultado é registrado no log.
4. Definição das Variáveis da Imagem
São definidos o caminho de destino da imagem da tela de bloqueio e o nome do arquivo que será utilizado pelo sistema.
5. Limpeza de Arquivos Antigos
Arquivos antigos presentes no diretório de destino são removidos, garantindo que apenas a imagem atual esteja disponível, evitando conflitos ou comportamentos inesperados.
6. Criação do Diretório de Destino (se necessário)
O script verifica se o diretório de destino existe e o cria caso necessário, registrando a ação.
7. Cópia da Nova Imagem
A nova imagem de tela de bloqueio é copiada do diretório do pacote para o local final no dispositivo.
8. Atualização das Configurações de Registro
O script atualiza as seguintes chaves:
- LockScreenImagePath – Caminho local da imagem
- LockScreenImageUrl – Caminho ou URL da imagem
- LockScreenImageStatus – Valor utilizado para ativar a imagem
9. Registro de Todas as Ações
Cada etapa do processo é registrada no log, fornecendo total visibilidade e facilitando a análise em caso de falhas ou necessidades de ajuste.
Benefícios da Abordagem
Essa abordagem garante:
- Controle completo da ordem das ações
- Independência de repositórios externos
- Maior previsibilidade no processo de implantação
- Facilidade de manutenção e auditoria
- Aderência às boas práticas de segurança e gestão de dispositivos
Atualização do Papel de Parede da Tela de Bloqueio
Uma das grandes vantagens da abordagem baseada em aplicativos Win32 é a simplicidade no processo de atualização do conteúdo da tela de bloqueio. Sempre que houver a necessidade de alterar o papel de parede — por exemplo, substituir o arquivo de imagem por uma nova versão — o procedimento é direto e altamente controlável.
De forma geral, o processo de atualização envolve apenas três etapas principais:
Atualização do script de instalação
Ajuste o scriptInstall-LockscreenWallpaper.ps1para refletir o novo nome (ou caminho) do arquivo de imagem que será distribuído. Essa alteração garante que o script copie corretamente a nova imagem e atualize as chaves de registro correspondentes.Reempacotamento do aplicativo Win32
Após a alteração do script e da imagem, o pacote Win32 deve ser reempacotado no formato.intunewine redistribuído por meio do Microsoft Intune, reutilizando o aplicativo existente ou publicando uma nova versão.Revisão do método de detecção
Caso seja criado um novo aplicativo Win32 — ou se o nome do arquivo da imagem for alterado — é fundamental revisar a regra de detecção. Ela deve apontar para o novo nome do arquivo ou para a chave de registro atualizada, garantindo que o Intune consiga identificar corretamente quando a implantação foi concluída com sucesso.
Essa estratégia permite atualizar o papel de parede da tela de bloqueio de forma centralizada, segura e previsível, sem necessidade de alterar políticas, URLs externas ou fluxos complexos de sincronização.
A seguir, algumas capturas de tela do aplicativo Win32 no Microsoft Intune são apresentadas para fins de referência e contextualização do processo de implantação.
Abaixo está um passo a passo bem didático, “bem mastigado” mesmo, pensando em quem está começando no Intune e quer aplicar tela de bloqueio personalizada usando Win32 com segurança e previsibilidade.
Vou entender que você tem este cenário para o passo-a-passo:
- Windows 10/11 (Pro ou Enterprise)
- Microsoft Intune (Endpoint Manager)
- Aplicativo Win32 (.intunewin) com os arquivos que você padronizou
Visão geral do que vamos fazer
- Preparar os arquivos localmente
- Gerar o pacote
.intunewin - Criar o aplicativo Win32 no Intune
- Configurar comandos de instalação e desinstalação
- Definir regra de detecção
- Atribuir o app aos dispositivos
- Validar o funcionamento
No final, o Intune: copia a imagem para o dispositivo
- aplica a tela de bloqueio
- bloqueia alterações futuras (se combinado com política)
Preparar os arquivos localmente
Crie uma pasta no seu computador, por exemplo:
- Detection-LockScreenWallpaper.txt
- Install-LockScreenWallpaper.ps1
- Install-LockScreenWallpaper.bat
- LockScreen-Wallpaper-Default.jpg
- Uninstall-LockScreenWallpaper.ps1
- Uninstall-LockScreenWallpaper.bat
Dica importante
- Todos os arquivos devem estar no mesmo nível de diretório
- Evite espaços e acentos nos nomes
Gerar o pacote .intunewin
Pré‑requisito
Baixe a ferramenta oficial:
- IntuneWinAppUtil.exe
Passo a passo
- Coloque o
IntuneWinAppUtil.exena mesma pasta - Abra o Prompt de Comando
- Execute:
- Responda às perguntas:
| Pergunta | Resposta |
|---|---|
| Pasta de origem | Caminho da pasta LockScreen-Win32 |
| Arquivo de instalação | Install-LockScreenWallpaper.bat |
| Pasta de saída | (pode ser a própria pasta) |
| Catálogo | N |
.intunewin
Criar o aplicativo Win32 no Intune
- Acesse: Intune admin center
- Vá em:
Apps → Windows → Add - Selecione:
- App type:
Windows app (Win32)
- Envie o arquivo
.intunewin gerado
Informações do aplicativo
Preencha algo simples e claro:
- Name:
Lock Screen – Corporate Wallpaper - Description:
Aplica papel de parede corporativo na tela de bloqueio - Publisher:
IT
Clique em Next
Configurar instalação e desinstalação
Aba Program
Preencha assim:
Install command
- Install-LockScreenWallpaper.bat
Uninstall command
- Uninstall-LockScreenWallpaper.bat
Install behavior
- System
Clique em Next
Requisitos (Requirements)
Configure o básico:
- Operating system architecture:
64-bit - Minimum OS version:
Windows 10 20H2 (ou conforme seu ambiente)
Clique em Next
Regra de detecção (ponto mais importante)
Aqui o Intune vai “saber” se o app já foi instalado.
Tipo de regra
Registry
Exemplo recomendado
- Key path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
- Value Name: LockScreenImagePath
- Detection method:
Value exists
Isso garante que:
- O app só é considerado instalado se a tela de bloqueio estiver configurada
Clique em Next
Dependências e Supersedence
Para iniciantes:
- Ignore essas telas
- Clique em Next sem configurar nada
Atribuição do aplicativo
Aba Assignments
Recomendação inicial:
- Required
- Grupo de dispositivos de teste (ex.:
WIN-TEST-LAB)
Comece sempre com grupo pequeno
Clique em Next → Create
O aplicativo está criado
Validar se funcionou
No dispositivo:
- Forçar sincronização:
- Settings → Accounts → Access work or school → Sync
- Aguarde alguns minutos
- Bloqueie a tela (
Win + L)
A imagem deve aparecer como tela de bloqueio