Estrutura de proteção de dados usando políticas de proteção de aplicativo
À medida que mais organizações implementam estratégias de dispositivos móveis para aceder a dados escolares ou profissionais, a proteção contra a fuga de dados torna-se fundamental. A solução de gestão de aplicações móveis do Intune para proteger contra fugas de dados é Políticas de Proteção de Aplicações (APP). AS APLICAÇÕES são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida, independentemente de o dispositivo estar inscrito. Para obter mais informações, veja Descrição geral das políticas de proteção de aplicações.
Ao configurar Políticas de Proteção de Aplicações, o número de várias definições e opções permite que as organizações adaptem a proteção às suas necessidades específicas. Devido a esta flexibilidade, pode não ser óbvio que permutação das definições de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar os esforços de proteção de pontos finais de cliente, a Microsoft introduziu uma nova taxonomia para configurações de segurança no Windows 10 e o Intune está a tirar partido de uma taxonomia semelhante para a sua arquitetura de proteção de dados de APLICAÇÕES para gestão de aplicações móveis.
A estrutura de configuração da proteção de dados da APLICAÇÃO está organizada em três cenários de configuração distintos:
Proteção de dados básica de nível 1 empresarial – a Microsoft recomenda esta configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.
Proteção de dados melhorada para empresas de nível 2 – a Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedam a informações confidenciais ou confidenciais. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais. Alguns dos controles poderão afetar a experiência do usuário.
Proteção de dados elevada para empresas de nível 3 – a Microsoft recomenda esta configuração para dispositivos executados por uma organização com uma equipa de segurança maior ou mais sofisticada, ou para utilizadores ou grupos específicos que estejam em risco único (utilizadores que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização susceptível de ser alvo de adversários bem financiados e sofisticados deve aspirar a esta configuração.
Metodologia de implementação do App Data Protection Framework
Tal como acontece com qualquer implementação de novo software, funcionalidades ou definições, a Microsoft recomenda investir numa metodologia de cadência para testar a validação antes de implementar a estrutura de proteção de dados da APLICAÇÃO. Definir anéis de implementação é geralmente um evento único (ou pelo menos pouco frequente), mas as TI devem rever estes grupos para garantir que a sequenciação ainda está correta.
A Microsoft recomenda a seguinte abordagem de cadência de implementação para a estrutura de proteção de dados da APLICAÇÃO:
| Anel de implantação | Tenant | Equipes de avaliação | Saída | Linha do tempo |
|---|---|---|---|---|
| Garantia de qualidade | Inquilino de pré-produção | Proprietários de capacidades móveis, segurança, avaliação de risco, privacidade, UX | Validação de cenário funcional, documentação de rascunho | 0 a 30 dias |
| Visualização | Locatário de produção | Proprietários de capacidades móveis, UX | Validação de cenário do usuário final, documentação voltada para o usuário | 7 a 14 dias, após a Garantia de Qualidade |
| Produção | Locatário de produção | Proprietários de capacidades móveis, suporte técnico de TI | N/D | 7 dias a várias semanas, após a Versão Prévia |
Como indica a tabela acima, todas as alterações às Políticas de Proteção de Aplicações devem ser executadas primeiro num ambiente de pré-produção para compreender as implicações da definição de política. Quando o teste estiver concluído, as alterações podem ser movidas para produção e aplicadas a um subconjunto de utilizadores de produção, geralmente, ao departamento de TI e a outros grupos aplicáveis. Por fim, a implementação pode ser concluída para o resto da comunidade de utilizadores móveis. A implementação para produção pode demorar mais tempo, dependendo da escala de impacto relativamente à alteração. Se não houver impacto no utilizador, a alteração deverá ser implementada rapidamente, enquanto que, se a alteração resultar no impacto do utilizador, a implementação poderá ter de ir mais lentamente devido à necessidade de comunicar alterações à população do utilizador.
Ao testar as alterações a uma APLICAÇÃO, tenha em atenção o tempo de entrega. O estado da entrega da APLICAÇÃO para um determinado utilizador pode ser monitorizado. Para obter mais informações, veja Como monitorizar políticas de proteção de aplicações.
As definições individuais da APLICAÇÃO para cada aplicação podem ser validadas em dispositivos com o Microsoft Edge e o URL about:Intunehelp. Para obter mais informações, veja Rever os registos de proteção de aplicações cliente e Utilizar o Microsoft Edge para iOS e Android para aceder aos registos de aplicações geridas.
Definições do App Data Protection Framework
As seguintes definições da Política de Proteção de Aplicações devem ser ativadas para as aplicações aplicáveis e atribuídas a todos os utilizadores móveis. Para obter mais informações sobre cada definição de política, consulte Definições de política de proteção de aplicações iOS e definições de política de proteção de aplicações Android.
A Microsoft recomenda rever e categorizar cenários de utilização e, em seguida, configurar os utilizadores com a orientação prescritiva para esse nível. Tal como acontece com qualquer arquitetura, as definições dentro de um nível correspondente podem ter de ser ajustadas com base nas necessidades da organização, uma vez que a proteção de dados tem de avaliar o ambiente de ameaças, o apetite pelo risco e o impacto na usabilidade.
Os administradores podem incorporar os níveis de configuração abaixo na respetiva metodologia de implementação de cadências para fins de teste e utilização de produção ao importar os modelos JSON do Framework de Configuração da Política de Proteção de Aplicações do Intune de exemplo com os scripts do PowerShell do Intune.
Observação
Ao utilizar a MAM para Windows, consulte Definições de política de proteção de aplicações para Windows.
Políticas de Acesso Condicional
Para garantir que apenas as aplicações que suportam as Políticas de Proteção de Aplicações acedem a dados de contas escolares ou profissionais, são necessárias políticas de Acesso Condicional do Microsoft Entra. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Veja Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis no Acesso Condicional: Exigir aplicações cliente aprovadas ou política de proteção de aplicações para obter os passos para implementar as políticas específicas. Por fim, implemente os passos em Bloquear autenticação legada para bloquear aplicações iOS e Android compatíveis com autenticação legada.
Observação
Estas políticas tiram partido dos controlos de concessão Exigir aplicação cliente aprovada e Exigir política de proteção de aplicações.
Aplicações a incluir nas Políticas de Proteção de Aplicações
Para cada Política de Proteção de Aplicações, é direcionado o grupo Aplicações Microsoft Principais, que inclui as seguintes aplicações:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
As políticas devem incluir outras aplicações Microsoft com base nas necessidades empresariais, aplicações públicas de terceiros adicionais que integraram o SDK do Intune utilizado na organização, bem como aplicações de linha de negócio que integraram o SDK do Intune (ou foram encapsuladas).
Proteção de dados básica de nível 1 empresarial
O Nível 1 é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Esta configuração substitui a necessidade de políticas básicas de acesso a dispositivos do Exchange Online ao exigir um PIN para aceder aos dados escolares ou profissionais, encriptar os dados da conta escolar ou profissional e fornecer a capacidade de eliminar seletivamente os dados escolares ou profissionais. No entanto, ao contrário das políticas de acesso a dispositivos do Exchange Online, as definições da Política de Proteção de Aplicações abaixo aplicam-se a todas as aplicações selecionadas na política, garantindo assim que o acesso aos dados está protegido para além dos cenários de mensagens móveis.
As políticas no nível 1 impõem um nível de acesso a dados razoável, minimizando o impacto para os utilizadores e espelhando as definições predefinidas de proteção de dados e requisitos de acesso ao criar uma Política de Proteção de Aplicações no Microsoft Intune.
Proteção de dados
| Setting | Descrição da definição | Valor | Plataforma |
|---|---|---|---|
| Transferência de dados | Fazer uma cópia de segurança dos dados da organização para... | Permitir | iOS/iPadOS, Android |
| Transferência de dados | Enviar dados da organização para outras aplicações | Todos os aplicativos | iOS/iPadOS, Android |
| Transferência de dados | Enviar dados da organização para | Todos os destinos | Windows |
| Transferência de dados | Receber dados de outros aplicativos | Todos os aplicativos | iOS/iPadOS, Android |
| Transferência de dados | Receber dados de | Todas as origens | Windows |
| Transferência de dados | Restringir cortar, copiar e colar entre aplicações | Qualquer aplicativo | iOS/iPadOS, Android |
| Transferência de dados | Permitir cortar, copiar e colar para | Qualquer destino e qualquer origem | Windows |
| Transferência de dados | Teclados de terceiros | Permitir | iOS/iPadOS |
| Transferência de dados | Teclados aprovados | Não é necessário | Android |
| Transferência de dados | Captura de ecrã e Assistente do Google | Permitir | Android |
| Criptografia | Encriptar dados da organização | Exigir | iOS/iPadOS, Android |
| Criptografia | Encriptar dados da organização em dispositivos inscritos | Exigir | Android |
| Funcionalidade | Sincronizar a aplicação com a aplicação de contactos nativos | Permitir | iOS/iPadOS, Android |
| Funcionalidade | Imprimir dados da organização | Permitir | iOS/iPadOS, Android, Windows |
| Funcionalidade | Restringir a transferência de conteúdo Web com outros aplicativos | Qualquer aplicativo | iOS/iPadOS, Android |
| Funcionalidade | Notificações de dados da organização | Permitir | iOS/iPadOS, Android |
Requisitos de acesso
| Setting | Valor | Plataforma | Notas |
|---|---|---|---|
| PIN para acesso | Exigir | iOS/iPadOS, Android | |
| Tipo de PIN | Numérico | iOS/iPadOS, Android | |
| PIN simples | Permitir | iOS/iPadOS, Android | |
| Selecione Comprimento mínimo do PIN | 4 | iOS/iPadOS, Android | |
| Touch ID em vez de PIN para acesso (iOS 8+/iPadOS) | Permitir | iOS/iPadOS | |
| Substituir a biometria com PIN após o tempo limite | Exigir | iOS/iPadOS, Android | |
| Tempo limite (minutos de atividade) | 1440 | iOS/iPadOS, Android | |
| Face ID em vez de PIN para acesso (iOS 11+/iPadOS) | Permitir | iOS/iPadOS | |
| Biométrico em vez de PIN para acesso | Permitir | iOS/iPadOS, Android | |
| Redefinir PIN após número de dias | Não | iOS/iPadOS, Android | |
| Selecionar o número de valores de PIN anteriores a manter | 0 | Android | |
| PIN do aplicativo quando o PIN do dispositivo for gerenciado | Exigir | iOS/iPadOS, Android | Se o dispositivo estiver inscrito no Intune, os administradores podem considerar definir esta opção como "Não obrigatório" se estiverem a impor um PIN de dispositivo forte através de uma política de conformidade do dispositivo. |
| Credenciais de conta corporativa ou de estudante para acesso | Não é necessário | iOS/iPadOS, Android | |
| Verificar novamente os requisitos de acesso após (minutos de inatividade) | 30 | iOS/iPadOS, Android |
Inicialização condicional
| Setting | Descrição da definição | Valor/Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições da aplicação | Máximo de tentativas de PIN | 5/Repor PIN | iOS/iPadOS, Android | |
| Condições da aplicação | Período de cortesia offline | 1440/Bloquear o acesso (minutos) | iOS/iPadOS, Android, Windows | |
| Condições da aplicação | Período de cortesia offline | 90/ Apagar dados (dias) | iOS/iPadOS, Android, Windows | |
| Condições do dispositivo | Dispositivos com jailbreak/desbloqueados por rooting | N/D/Bloquear acesso | iOS/iPadOS, Android | |
| Condições do dispositivo | Atestado de dispositivo SafetyNet | Integridade básica e dispositivos certificados/Bloquear o acesso | Android | Esta definição configura a verificação da integridade do dispositivo do Google Play em dispositivos de utilizador final. A integridade básica valida a integridade do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. A integridade básica e dispositivos certificados validam a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. |
| Condições do dispositivo | Exigir análise de ameaças nas aplicações | N/D/Bloquear acesso | Android | Essa configuração garante que o exame Verificar Aplicativos do Google esteja ativado para dispositivos de usuário final. Se estiver configurado, o acesso do utilizador final será bloqueado até ativar a análise de aplicações da Google no respetivo dispositivo Android. |
| Condições do dispositivo | Nível máximo permitido de ameaça ao dispositivo | Acesso baixo/bloqueado | Windows | |
| Condições do dispositivo | Exigir bloqueio do dispositivo | Baixa/Aviso | Android | Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe. |
Observação
As definições de início condicional do Windows são identificadas como Verificações de Estado de Funcionamento.
Proteção de dados melhorada para empresas de nível 2
O Nível 2 é a configuração de proteção de dados recomendada como padrão para dispositivos em que os utilizadores acedem a informações mais confidenciais. Atualmente, esses dispositivos são um alvo natural nas empresas. Estas recomendações não assumem uma grande equipa de profissionais de segurança altamente qualificados, pelo que devem estar acessíveis à maioria das organizações empresariais. Esta configuração expande-se após a configuração no Nível 1 ao restringir cenários de transferência de dados e exigir uma versão mínima do sistema operativo.
Importante
As definições de política impostas no nível 2 incluem todas as definições de política recomendadas para o nível 1. No entanto, o Nível 2 lista apenas as definições que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 1. Embora estas definições possam ter um impacto ligeiramente maior para os utilizadores ou para as aplicações, impõem um nível de proteção de dados mais proporcional aos riscos que os utilizadores enfrentam com acesso a informações confidenciais em dispositivos móveis.
Proteção de dados
| Setting | Descrição da definição | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferência de dados | Fazer uma cópia de segurança dos dados da organização para... | Bloquear | iOS/iPadOS, Android | |
| Transferência de dados | Enviar dados da organização para outras aplicações | Aplicativos gerenciados por política | iOS/iPadOS, Android | Com o iOS/iPadOS, os administradores podem configurar este valor como "Aplicações geridas por políticas", "Aplicações geridas por políticas com partilha de SO" ou "Aplicações geridas por políticas com filtragem Open-In/Share". As aplicações geridas por políticas com partilha de SO estão disponíveis quando o dispositivo também está inscrito no Intune. Esta definição permite a transferência de dados para outras aplicações geridas por políticas e transferências de ficheiros para outras aplicações geridas pelo Intune. As aplicações geridas por políticas com a filtragem Open-In/Share filtram as caixas de diálogo Open-in/Share do SO para apresentar apenas aplicações geridas por políticas. Para obter mais informações, veja Definições de política de proteção de aplicações iOS. |
| Transferência de dados | Enviar ou enviar dados para | Sem destinos | Windows | |
| Transferência de dados | Receber dados de | Sem origens | Windows | |
| Transferência de dados | Selecionar aplicativos para isentar | Predefinição/skype; definições de aplicação; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Transferência de dados | Salvar cópias de dados da organização | Bloquear | iOS/iPadOS, Android | |
| Transferência de dados | Permitir que os utilizadores guardem cópias nos serviços selecionados | OneDrive para Empresas, SharePoint Online, Biblioteca de Fotografias | iOS/iPadOS, Android | |
| Transferência de dados | Transferir dados de telecomunicações para | Qualquer aplicativo discador | iOS/iPadOS, Android | |
| Transferência de dados | Restringir cortar, copiar e colar entre aplicações | Aplicações geridas por políticas com colar em | iOS/iPadOS, Android | |
| Transferência de dados | Permitir cortar, copiar e colar para | Sem destino ou origem | Windows | |
| Transferência de dados | Captura de ecrã e Assistente do Google | Bloquear | Android | |
| Funcionalidade | Restringir a transferência de conteúdo Web com outros aplicativos | Microsoft Edge | iOS/iPadOS, Android | |
| Funcionalidade | Notificações de dados da organização | Bloquear Dados da Organização | iOS/iPadOS, Android | Para obter uma lista das aplicações que suportam esta definição, consulte Definições de política de proteção de aplicações iOS e definições de políticas de proteção de aplicações Android. |
Inicialização condicional
| Setting | Descrição da definição | Valor/Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições da aplicação | Conta desabilitada | N/D/Bloquear acesso | iOS/iPadOS, Android, Windows | |
| Condições do dispositivo | Versão mínima do sistema operacional |
Formato: Major.Minor.Build Exemplo: 14.8 /Bloquear acesso |
iOS/iPadOS | A Microsoft recomenda configurar a versão principal mínima do iOS de modo a corresponder às versões do iOS compatíveis com os aplicativos da Microsoft. As aplicações Microsoft suportam uma abordagem N-1 em que N é a versão principal do iOS atual. Para valores de versão secundária e de build, a Microsoft recomenda garantir que os dispositivos estejam atualizados com os respectivos patches de segurança. Veja Atualizações de segurança da Apple para obter as mais recentes recomendações da Apple |
| Condições do dispositivo | Versão mínima do sistema operacional |
Formato: Major.Minor Exemplo: 9.0 /Bloquear acesso |
Android | A Microsoft recomenda configurar a versão principal do Android mínima a fim de corresponder às versões do Android com suporte para aplicativos da Microsoft. Os OEMs e os dispositivos que seguem os requisitos recomendados do Android Enterprise devem dar suporte à atualização da versão de remessa atual + uma letra. Atualmente, o Android recomenda o Android 9.0 e versões posteriores para trabalhadores de conhecimento. Veja Requisitos recomendados do Android Enterprise para obter as recomendações mais recentes do Android |
| Condições do dispositivo | Versão mínima do sistema operacional |
Formato: Criar Exemplo: 10.0.22621.2506 /Bloquear acesso |
Windows | A Microsoft recomenda configurar a compilação mínima do Windows para corresponder às versões suportadas do Windows para aplicações Microsoft. Atualmente, a Microsoft recomenda o seguinte:
|
| Condições do dispositivo | Versão mínima do patch |
Formato: AAAA-MM-DD Exemplo: 2020-01-01 /Bloquear acesso |
Android | Os dispositivos Android podem receber patches de segurança mensais, mas a versão depende dos OEMs e/ou das operadoras. As organizações devem garantir que os dispositivos Android implantados recebam patches de segurança antes de implementar essa configuração. Consulte Boletins de Segurança do Android para obter as versões mais recentes do patch. |
| Condições do dispositivo | Tipo de avaliação SafetyNet obrigatória | Chave com backup em hardware | Android | O atestado com suporte de hardware melhora a verificação do serviço de Integridade do Jogo da Google existente ao aplicar um novo tipo de avaliação denominado Hardware Backed, fornecendo uma deteção de raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detetados de forma fiável por uma solução apenas de software. Como o nome indica, o atestado com suporte de hardware utiliza um componente baseado em hardware, que foi enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala. |
| Condições do dispositivo | Exigir bloqueio do dispositivo | Acesso Médio/Bloqueado | Android | Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe. |
| Condições do dispositivo | Atestado de dispositivo Samsung Knox | Bloquear Acesso | Android | A Microsoft recomenda configurar a definição de atestado do dispositivo Samsung Knox para Bloquear o acesso para garantir que a conta de utilizador está bloqueada de acesso se o dispositivo não cumprir a verificação do estado de funcionamento do dispositivo baseada em hardware knox da Samsung. Esta definição verifica se todas as respostas do cliente MAM do Intune ao serviço intune foram enviadas a partir de um dispositivo em bom estado de funcionamento. Esta definição aplica-se a todos os dispositivos visados. Para aplicar esta definição apenas a dispositivos Samsung, pode utilizar filtros de atribuição de "Aplicações geridas". Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune. |
| Condições da aplicação | Período de cortesia offline | 21/Apagar dados (dias) | Windows |
Observação
As definições de início condicional do Windows são identificadas como Verificações de Estado de Funcionamento.
Proteção de dados de nível 3 empresarial elevada
O Nível 3 é a configuração de proteção de dados recomendada como padrão para organizações com organizações de segurança grandes e sofisticadas ou para utilizadores e grupos específicos que serão exclusivamente visados por adversários. Essas organizações são normalmente alvo de adversários bem financiados e sofisticados e, como tal, merecem as restrições e controlos adicionais descritos. Esta configuração expande-se após a configuração no Nível 2 ao restringir cenários adicionais de transferência de dados, aumentar a complexidade da configuração do PIN e adicionar a deteção de ameaças para dispositivos móveis.
Importante
As definições de política impostas no nível 3 incluem todas as definições de política recomendadas para o nível 2, mas apenas listam as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 2. Estas definições de política podem ter um impacto potencialmente significativo para os utilizadores ou para as aplicações, ao impor um nível de segurança proporcional aos riscos que as organizações visadas enfrentam.
Proteção de dados
| Setting | Descrição da definição | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferência de dados | Transferir dados de telecomunicações para | Qualquer aplicação de marcador gerida por políticas | Android | Os administradores também podem configurar esta definição para utilizar uma aplicação de marcador que não suporta Políticas de Proteção de Aplicações ao selecionar uma aplicação de marcador específica e ao fornecer os valores ID do Pacote de Aplicação Do Dialer e Nome da Aplicação Do Marcador . |
| Transferência de dados | Transferir dados de telecomunicações para | Uma aplicação de marcador específica | iOS/iPadOS | |
| Transferência de dados | Esquema de URL do Aplicativo Discador | replace_with_dialer_app_url_scheme | iOS/iPadOS | No iOS/iPadOS, este valor tem de ser substituído pelo esquema de URL da aplicação de marcador personalizada que está a ser utilizada. Se o esquema de URL não for conhecido, contacte o programador da aplicação para obter mais informações. Para obter mais informações sobre esquemas de URL, veja Defining a Custom URL Scheme for Your App (Definir um Esquema de URL Personalizado para a Sua Aplicação). |
| Transferência de dados | Receber dados de outros aplicativos | Aplicativos gerenciados por política | iOS/iPadOS, Android | |
| Transferência de dados | Abrir dados em documentos da organização | Bloquear | iOS/iPadOS, Android | |
| Transferência de dados | Permitir que os usuários abram dados dos serviços selecionados | OneDrive para Empresas, SharePoint, Câmara, Biblioteca de Fotografias | iOS/iPadOS, Android | Para obter informações relacionadas, veja Definições de políticas de proteção de aplicações android e definições de políticas de proteção de aplicações iOS. |
| Transferência de dados | Teclados de terceiros | Bloquear | iOS/iPadOS | No iOS/iPadOS, isto bloqueia o funcionamento de todos os teclados de terceiros na aplicação. |
| Transferência de dados | Teclados aprovados | Exigir | Android | |
| Transferência de dados | Selecionar teclados a aprovar | adicionar/remover teclados | Android | Com o Android, os teclados têm de ser selecionados para serem utilizados com base nos seus dispositivos Android implementados. |
| Funcionalidade | Imprimir dados da organização | Bloquear | iOS/iPadOS, Android, Windows |
Requisitos de acesso
| Setting | Valor | Plataforma |
|---|---|---|
| PIN simples | Bloquear | iOS/iPadOS, Android |
| Selecione Comprimento mínimo do PIN | 6 | iOS/iPadOS, Android |
| Redefinir PIN após número de dias | Sim | iOS/iPadOS, Android |
| Número de dias | 365 | iOS/iPadOS, Android |
| Biometria de Classe 3 (Android 9.0+) | Exigir | Android |
| Substituir a Biometria com PIN após atualizações biométricas | Exigir | Android |
Inicialização condicional
| Setting | Descrição da definição | Valor/Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições do dispositivo | Exigir bloqueio do dispositivo | Acesso Elevado/Bloqueado | Android | Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe. |
| Condições do dispositivo | Nível máximo permitido de ameaça ao dispositivo | Acesso protegido/bloqueado | Windows | |
| Condições do dispositivo | Dispositivos com jailbreak/desbloqueados por rooting | N/D/Limpar dados | iOS/iPadOS, Android | |
| Condições do dispositivo | Nível máximo de ameaça permitido | Acesso protegido/bloqueado | iOS/iPadOS, Android | Os dispositivos não inscritos podem ser inspecionados quanto a ameaças através da Defesa Contra Ameaças para Dispositivos Móveis. Para obter mais informações, veja Defesa Contra Ameaças para Dispositivos Móveis para dispositivos não inscritos. Se o dispositivo estiver inscrito, esta definição pode ser ignorada a favor da implementação da Defesa Contra Ameaças para Dispositivos Móveis para dispositivos inscritos. Para saber mais, consulte Defesa contra Ameaças Móveis para dispositivos inscritos. |
| Condições do dispositivo | Versão máxima do sistema operacional |
Formato: Major.Minor Exemplo: 11.0 /Bloquear acesso |
Android | A Microsoft recomenda a configuração da versão principal máxima do Android para garantir que as versões beta ou não suportadas do sistema operativo não são utilizadas. Veja Requisitos recomendados do Android Enterprise para obter as recomendações mais recentes do Android |
| Condições do dispositivo | Versão máxima do sistema operacional |
Formato: Major.Minor.Build Exemplo: 15.0 /Bloquear acesso |
iOS/iPadOS | A Microsoft recomenda a configuração da versão principal máxima do iOS/iPadOS para garantir que não são utilizadas versões beta ou não suportadas do sistema operativo. Veja Atualizações de segurança da Apple para obter as mais recentes recomendações da Apple |
| Condições do dispositivo | Versão máxima do sistema operacional |
Formato: Major.Minor Exemplo: 22631. /Bloquear acesso |
Windows | A Microsoft recomenda a configuração da versão principal máxima do Windows para garantir que as versões beta ou não suportadas do sistema operativo não são utilizadas. |
| Condições do dispositivo | Atestado de dispositivo Samsung Knox | Apagar os dados | Android | A Microsoft recomenda a configuração da definição de atestado do dispositivo Samsung Knox para Apagar dados para garantir que os dados da organização são removidos se o dispositivo não cumprir a verificação do estado de funcionamento do dispositivo baseada em hardware knox da Samsung. Esta definição verifica se todas as respostas do cliente MAM do Intune ao serviço intune foram enviadas a partir de um dispositivo em bom estado de funcionamento. Esta definição será aplicada a todos os dispositivos visados. Para aplicar esta definição apenas a dispositivos Samsung, pode utilizar filtros de atribuição de "Aplicações geridas". Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune. |
Próximas etapas
Os administradores podem incorporar os níveis de configuração acima na respetiva metodologia de implementação de cadência para fins de teste e utilização de produção ao importar os modelos JSON do Framework de Configuração da Política de Proteção de Aplicações do Intune de exemplo com os scripts do PowerShell do Intune.