Criar políticas de segurança do dispositivo no Mobilidade básica e segurança

Você pode usar Mobilidade básica e segurança para criar políticas de dispositivo que ajudam a proteger as informações da sua organização no Microsoft 365 contra acesso não autorizado. Você pode aplicar políticas a qualquer dispositivo móvel em sua organização em que o usuário do dispositivo tenha uma licença 365 Microsoft aplicável e tenha registrado o dispositivo no Mobilidade básica e segurança.

Antes de começar

Importante

Antes de criar uma política de dispositivo móvel, você deve ativar e configurar Mobilidade básica e segurança. Para obter mais informações, consulte Visão geral do Mobilidade básica e segurança.

  • Saiba mais sobre os dispositivos, aplicativos de dispositivo móvel e as configurações de segurança que Mobilidade básica e segurança dá suporte. Consulte Recursos de Mobilidade básica e segurança.
  • Crie grupos de segurança que incluam Microsoft 365 usuários para os quais você deseja implantar políticas para e para usuários que talvez você queira excluir do acesso bloqueado ao Microsoft 365. Recomendamos que antes de implantar uma nova política em sua organização, teste a política implantando-a em um pequeno número de usuários. Você pode criar e usar um grupo de segurança que inclui apenas você ou um pequeno número Microsoft 365 usuários que podem testar a política para você. Para saber mais sobre grupos de segurança, consulte Criar, editar ou excluir um grupo de segurança.
  • Para criar e implantar políticas de Mobilidade básica e segurança no Microsoft 365, você precisa ser um administrador global Microsoft 365. Para obter mais informações, confira Permissões na Central de Conformidade de Segurança&.
  • Antes de implantar políticas, informe sua organização sobre os possíveis impactos de registrar um dispositivo no Mobilidade básica e segurança. Dependendo de como você configurou as políticas, dispositivos não compatíveis podem ser impedidos de acessar Microsoft 365 e dados, incluindo aplicativos instalados, fotos e informações pessoais em um dispositivo registrado e os dados podem ser excluídos.

Observação

Políticas e regras de acesso criadas em Mobilidade básica e segurança para Microsoft 365 Business Standard substituir Exchange ActiveSync políticas de caixa de correio de dispositivo móvel e regras de acesso ao dispositivo criadas no centro de administração do Exchange. Depois que um dispositivo é registrado em Mobilidade básica e segurança para Microsoft 365 Business Standard, qualquer Exchange ActiveSync política de caixa de correio do dispositivo móvel ou regra de acesso de dispositivo aplicada ao dispositivo é ignorada. Para saber mais sobre Exchange ActiveSync, consulte Exchange ActiveSync em Exchange Online.

Etapa 1: criar uma política de dispositivo e implantar em um grupo de teste

Antes de começar, certifique-se de ter ativado e configurado Mobilidade básica e segurança. Para obter instruções, consulte Visão geral do Mobilidade básica e segurança.

  1. No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selecione Criar uma política.

    Mobilidade básica e segurança configurações de política.

  3. Na página Configurações de política, especifique os requisitos desejados aplicados a dispositivos móveis em sua organização.

  4. Exigir o gerenciamento do perfil de email: quando habilitados, os dispositivos que não têm um perfil de email gerenciado por Mobilidade básica e segurança são considerados incompatíveis. Um dispositivo não pode ter um perfil de email gerenciado quando não é direcionado corretamente ou se o usuário configurar manualmente a conta de email no dispositivo. Quando você o deixa não habilitado (padrão), essa configuração não é avaliada para conformidade ou não conformidade. Para obter instruções sobre como os usuários podem ficar em conformidade quando essa opção é selecionada, consulte Uma conta de email existente foi encontrada.

  5. Na página Deseja aplicar essa política agora? Escolha os grupos aos quais deseja aplicar essa política.

  6. Selecione Criar essa política.

A política é enviada por push para o dispositivo de cada usuário que a política se aplica à próxima vez que ele entrar no Microsoft 365 usando seu dispositivo móvel. Se os usuários não tiverem uma política aplicada ao dispositivo móvel antes, depois de implantar a política, eles receberão uma notificação em seu dispositivo que inclui as etapas para registrar e ativar Mobilidade básica e segurança. Para obter mais informações, consulte Registrar seu dispositivo móvel usando Mobilidade básica e segurança. Até concluir o registro em Mobilidade básica e segurança hospedados pelo Serviço de Intune, o acesso a email, OneDrive e outros serviços é restrito. Depois de concluir o registro usando o aplicativo Portal da Empresa do Intune, eles podem usar os serviços e a política é aplicada ao dispositivo.

Etapa 2: verificar se sua política funciona

Depois de criar uma política de dispositivo, verifique se a política funciona como você espera antes de implantá-la em sua organização.

  1. No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Selecione Exibir a lista de dispositivos gerenciados.
  3. Verifique o status de dispositivos do usuário com a política aplicada. Você deseja que o Estado dos dispositivos seja gerenciado.
  4. Você também pode fazer um apagamento completo ou seletivo em um dispositivo clicando em Redefinir de Fábrica ou Remover dados da empresa do botão Gerenciar depois de selecionar um dispositivo. Para obter instruções, consulte [Apagar um dispositivo móvel no Microsoft 365.

Etapa 3: implantar uma política em sua organização

Depois de criar uma política de dispositivo e verificar se ela funciona conforme o esperado, implante-a em sua organização.

  1. Do tipo de navegador: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Selecione a política à qual deseja implantar e escolha Editar ao lado de Grupos aplicados.
  3. Pesquise um grupo para adicionar e clique em Selecionar.
  4. Selecione Fechar e Alterar configuração.
  5. Selecione Fechar e Editar política.

A política é enviada por push para o dispositivo móvel de cada usuário que a política se aplica à próxima vez que ele entrar no Microsoft 365 de seu dispositivo móvel. Se os usuários não tiverem uma política aplicada ao dispositivo móvel, eles receberão uma notificação em seu dispositivo com etapas para registrá-la e ativá-la para Mobilidade básica e segurança. Depois de concluir o registro, a política será aplicada ao dispositivo. Para obter mais informações, consulte Registrar seu dispositivo móvel usando Mobilidade básica e segurança.

Etapa 4: bloquear o acesso por email para dispositivos sem suporte

Para ajudar a proteger as informações da sua organização, você deve bloquear o acesso do aplicativo a Microsoft email 365 para dispositivos móveis que não têm suporte por Mobilidade básica e segurança. Para obter uma lista de dispositivos com suporte, consulte Dispositivos com suporte.

Para bloquear o acesso ao aplicativo:

  1. No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selecione Gerenciar configurações de acesso ao dispositivo em toda a organização.

  3. Para bloquear dispositivos sem suporte, escolha Acessar em Se um dispositivo não tiver suporte por Mobilidade básica e segurança para Microsoft 365 e selecione Salvar.

    Mobilidade básica e segurança opção de acesso de bloco.

Etapa 5: Escolher grupos de segurança a serem excluídos de verificações de acesso condicional

Se quiser excluir algumas pessoas de verificações de acesso condicional em seus dispositivos móveis e você criou um ou mais grupos de segurança para essas pessoas, adicione os grupos de segurança aqui. As pessoas nesses grupos não terão políticas impostas para seus dispositivos móveis com suporte. Essa é a opção recomendada se você não quiser mais usar Mobilidade básica e segurança em sua organização.

  1. No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selecione Gerenciar configurações de acesso ao dispositivo em toda a organização.

    Mobilidade básica e segurança criar uma opção de política.

  3. Selecione Adicionar para adicionar o grupo de segurança que tem usuários que você deseja excluir de ter acesso bloqueado ao Microsoft 365. Quando um usuário é adicionado a essa lista, ele pode acessar Microsoft email 365 quando estiver usando um dispositivo sem suporte.

  4. Selecione o grupo de segurança que você deseja usar no painel Selecionar grupo .

  5. Selecione o nome e adicione Salvar>.

  6. No painel Configurações de acesso ao dispositivo em toda a organização , escolha Salvar.

    Mobilidade básica e segurança permitir a opção de acesso.

Qual é o impacto das políticas de segurança em tipos diferentes de dispositivos?

Quando você aplica uma política a dispositivos de usuário, o impacto em cada dispositivo varia um pouco entre os tipos de dispositivo. Consulte a tabela a seguir para obter exemplos do impacto das políticas em dispositivos diferentes.

Política de Segurança Android Samsung KNOX iOS Anotações
Exige backup criptografado Não Sim Sim Backup criptografado do iOS necessário.
Bloquear cópia de segurança na nuvem Sim Sim Sim Bloquear o backup do Google no Android (esmaecido), backup de nuvem no iOS supervisionado.
Bloquear sincronização de documento Não Não Sim iOS: bloquear documentos na nuvem em dispositivos iOS supervisionados.
Bloquear sincronização de fotos Não Não Sim iOS (nativo): Bloquear fluxo de foto.
Bloquear captura de tela Não Sim Sim Bloqueado quando tentado.
Bloquear videoconferência Não Não Sim FaceTime bloqueado em dispositivos iOS supervisionados, não no Skype ou em outros.
Bloquear o envio de dados de diagnóstico Não Sim Sim Bloquear o envio de relatório de falha do Google no Android.
Bloquear o acesso à loja de aplicativos Não Sim Sim Ícone da loja de aplicativos ausente na home page do Android, desabilitado no Windows e dispositivos iOS supervisionados.
Exigir senha para a loja de aplicativos Não Não Sim iOS: Senha necessária para compras do iTunes.
Bloquear a conexão ao armazenamento removível Não Sim N/D Android: o cartão SD está esmaecido nas configurações, o Windows notifica o usuário, os aplicativos instalados não estão disponíveis
Bloquear conexão Bluetooth Ver anotações Ver anotações Sim Não podemos desabilitar o BlueTooth como uma configuração no Android. Em vez disso, desabilitemos todas as transações que exigem BlueTooth: Distribuição avançada de áudio, controle remoto de áudio/vídeo, dispositivos mãos-livres, headset, Acesso à Lista telefônica e porta serial. Uma mensagem em caixa de informações aparece na parte inferior da página quando qualquer um desses dispositivos são usados.

O que acontece quando você exclui uma política ou remove um usuário da política?

Quando você exclui uma política ou remove um usuário de um grupo para o qual a política foi implantada, as configurações de política, Microsoft perfil de email 365 e emails armazenados em cache podem ser removidos do dispositivo do usuário. Consulte a tabela a seguir para ver o que é removido para os diferentes tipos de dispositivo.

O que é removido iOS Android (incluindo Samsung KNOX
Perfis de emailgerenciados 1 Sim Não
Bloquear cópia de segurança na nuvem Sim Não

1 Se a política foi implantada com a opção Email perfil for gerenciado selecionado, o perfil de email gerenciado e os emails armazenados em cache nesse perfil serão excluídos do dispositivo de usuário.

A política é removida do dispositivo móvel para cada usuário que a política se aplica na próxima vez que seu dispositivo fizer check-in com Mobilidade básica e segurança. Se você implantar uma nova política que se aplique a esses dispositivos de usuário, eles serão solicitados a se registrar novamente em Mobilidade básica e segurança.

Você também pode apagar um dispositivo completamente ou apagar seletivamente as informações organizacionais do dispositivo. Para obter mais informações, consulte Limpar um dispositivo móvel no Mobilidade básica e segurança.

Visão geral do Mobilidade básica e segurança (artigo)
Recursos de Mobilidade básica e segurança (artigo)