Partilhar via


Configurações da política de proteção de aplicativos Android no Microsoft Intune

Este artigo descreve as definições de política de proteção de aplicações para dispositivos Android. As definições de política descritas podem ser configuradas para uma política de proteção de aplicações no painel Definições no portal. Existem três categorias de definições de política: definições de proteção de dados, requisitos de acesso e iniciação condicional. Neste artigo, o termo aplicativos gerenciados por política refere-se a aplicativos configurados com políticas de proteção de aplicativo.

Importante

O Portal da Empresa do Intune é necessário no dispositivo para receber Políticas de Proteção de Aplicações para dispositivos Android.

O Intune Managed Browser foi desativado. Use o Microsoft Edge para obter uma experiência de navegação protegida no Intune.

Proteção de dados

Transferência de dados

Setting Como usar Valor padrão
Criar cópias de segurança de dados da organização para serviços de cópia de segurança do Android Selecione Bloquear para impedir que esta aplicação faça uma cópia de segurança dos dados escolares ou profissionais para o Serviço de Cópia de Segurança do Android.

Selecione Permitir para permitir que esta aplicação faça uma cópia de segurança dos dados escolares ou profissionais.
Permitir
Enviar dados da organização para outras aplicações Especifique quais aplicativos podem receber dados desse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas para outros aplicativos gerenciados por política.
  • Todos os aplicativos: permitir a transferência para qualquer aplicativo.
  • Nenhuma: não permitir a transferência de dados para nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Há algumas isenções de aplicativos e serviços para os quais o Intune pode permitir transferência de dados por padrão. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Para obter mais informações, veja Isenções de transferência de dados.

Esta política também pode ser aplicada a Ligações de Aplicações Android. Links gerais da Web são gerenciados pela configuração de política Abrir links de aplicativo no Intune Managed Browser.

Observação

Intune não suporta atualmente a funcionalidade Aplicações Instantâneas do Android. Intune bloqueará qualquer ligação de dados de ou para a aplicação. Para obter mais informações, veja Android Instant Apps (Aplicações Instantâneas do Android ) na documentação do Android Developer (Programador Android).

Se Enviar dados da organização para outras aplicações estiver configurado para Todas as aplicações, os dados de texto ainda poderão ser transferidos através da partilha do SO para a área de transferência.

Todos os aplicativos
    Selecionar aplicativos para isentar
Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior.
    Salvar cópias de dados da organização
Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados.

Observação:
  • Esta definição é suportada para o Microsoft Excel, OneNote, PowerPoint, Word e Edge. Também pode ser suportado por aplicações LOB e de terceiros.
  • Esta definição só é configurável quando a definição Enviar dados da organização para outras aplicações está definida como Aplicações geridas por políticas.
  • Essa configuração será "Permitir" quando Enviar dados da organização para outros aplicativos estiver definido como Todos os aplicativos.
  • Esta definição será "Bloquear" sem localizações de serviço permitidas quando a definição Enviar dados da organização para outras aplicações estiver definida como Nenhuma.
  • Esta definição irá guardar os ficheiros como encriptados se a opção Encriptar dados da organização estiver definida como Exigir.
Permitir
      Permitir que o usuário salve uma cópia para serviços selecionados
Os utilizadores podem guardar nos serviços selecionados (OneDrive for Business, SharePoint, Biblioteca de Fotografias, Caixa e Armazenamento Local). Todos os outros serviços serão bloqueados. 0 selecionado
    Transferir dados de telecomunicações para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Um aplicativo discador específico: Permita que um aplicativo discador específico inicie o contato quando um número de telefone for detectado.
  • Qualquer aplicação de marcador gerida por políticas: permita que qualquer aplicação de marcador gerida por política inicie o contacto quando for detetado um número de telefone.
  • Qualquer aplicativo discador: Permita que qualquer aplicativo discador seja usado para iniciar o contato quando um número de telefone for detectado.
Qualquer aplicativo discador
      ID do Pacote de Aplicação do Dialer
Quando uma aplicação de marcador específica tiver sido selecionada, tem de fornecer o ID do pacote de aplicação. Blank
      Nome da Aplicação Do Marcador
Quando uma aplicação de marcador específica tiver sido selecionada, tem de indicar o nome da aplicação de marcador. Blank
    Transferir dados de mensagens para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Uma aplicação de mensagens específica: permita que uma aplicação de mensagens específica seja utilizada para iniciar o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de mensagens gerida por políticas: permita que qualquer aplicação de mensagens gerida por políticas seja utilizada para iniciar o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de mensagens: permita que qualquer aplicação de mensagens seja utilizada para iniciar o contacto quando for detetado um número de telefone.
Qualquer aplicação de mensagens
      ID do Pacote da Aplicação de Mensagens
Quando uma aplicação de mensagens específica tiver sido selecionada, tem de fornecer o ID do pacote de aplicação. Blank
      Nome da Aplicação de Mensagens
Quando uma aplicação de mensagens específica tiver sido selecionada, tem de indicar o nome da aplicação de mensagens. Blank
Receber dados de outros aplicativos Especifique quais aplicativos podem transferir dados para esse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas de outros aplicativos gerenciados por política.
  • Todos os aplicativos: permitir a transferência de dados de qualquer aplicativo.
  • Nenhuma: não permita a transferência de dados a partir de nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Existem algumas aplicações e serviços isentos dos quais Intune podem permitir a transferência de dados. Veja Isenções de transferência de dados para obter uma lista completa de aplicações e serviços.

Todos os aplicativos
    Abrir dados em documentos da organização
Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir.

Quando definido como Bloquear, você pode configurar o Permitir que o usuário abra dados de serviços selecionados para especificar quais serviços são permitidos para os locais de dados da organização.

Observação:
  • Esta configuração pode ser definida somente quando a opção Receber dados de outros aplicativos estiver definida como Aplicativos gerenciados por política.
  • Esta definição será "Permitir" quando a definição Receber dados de outras aplicações estiver definida como Todas as aplicações.
  • Esta configuração será "Bloquear" sem locais de serviço permitidos quando a opção Receber dados de outros aplicativos estiver definida como Nenhum.
  • Os seguintes aplicativos dão suporte a essa configuração:
    • OneDrive 6.14.1 ou posterior.
    • Outlook para Android 4.2039.2 ou posterior.
    • Teams para Android 1416/1.0.0.2021173701 ou posterior.


Permitir
      Permitir que os usuários abram dados dos serviços selecionados
Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. Selecionar nenhum serviço impedirá os utilizadores de abrir dados.

Serviços com suporte:
  • OneDrive for Business
  • SharePoint Online
  • Câmera
  • Biblioteca de Fotos
Nota: A câmara não inclui acesso a Fotografias ou Galeria de Fotografias. Ao selecionar a Biblioteca de Fotografias (inclui a ferramenta Seletor de fotografias do Android) na definição Permitir que os utilizadores abram dados a partir de serviços selecionados no Intune, pode permitir que as contas geridas permitam a receção de imagens/vídeos do armazenamento local dos respetivos dispositivos para as respetivas aplicações geridas.
Todos selecionados
Restringir recortar, copiar e colar com outros aplicativos Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Escolha entre:
  • Bloqueado: não permita ações cortar, copiar e colar entre esta aplicação e qualquer outra aplicação.
  • Aplicativos gerenciados por política: permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política com Colar Em: permita o recorte ou a cópia entre esse aplicativo e outros aplicativos gerenciados por política. Permita que dados de qualquer aplicativo sejam colados nesse aplicativo.
  • Qualquer aplicativo: sem restrições para recortar, copiar e colar para e desse aplicativo.
Qualquer aplicativo
    Limite de caracteres de recorte e cópia para qualquer aplicativo
Especifique o número de carateres que podem ser cortados ou copiados de contas e dados da organização. Isto permitirá partilhar o número especificado de carateres quando, de outra forma, seria bloqueado pela definição "Restringir cortar, copiar e colar com outras aplicações".

Valor padrão = 0

Nota: requer Portal da Empresa do Intune versão 5.0.4364.0 ou posterior.

0
Captura de ecrã e Assistente do Google Selecione Bloquear para bloquear a captura de ecrã, bloqueie Círculo para Pesquisa e bloqueie o Acesso do Assistente google aos dados da organização no dispositivo ao utilizar esta aplicação. Selecionar Bloquear também irá desfocar a imagem de pré-visualização do Comutador de Aplicações ao utilizar esta aplicação com uma conta escolar ou profissional.

Nota: o Assistente do Google pode estar acessível aos utilizadores para cenários que não acedem aos dados da organização.

Bloquear
Teclados aprovados Selecione Exigir e, em seguida, especifique uma lista de teclados aprovados para esta política.

Os utilizadores que não estão a utilizar um teclado aprovado recebem um pedido para transferir e instalar um teclado aprovado antes de poderem utilizar a aplicação protegida. Esta definição requer que a aplicação tenha o SDK Intune para Android versão 6.2.0 ou posterior.

Não obrigatório
    Selecionar teclados a aprovar
Esta opção está disponível quando seleciona Exigir para a opção anterior. Selecione Selecionar para gerir a lista de teclados e métodos de entrada que podem ser utilizados com aplicações protegidas por esta política. Pode adicionar teclados adicionais à lista e remover qualquer uma das opções predefinidas. Tem de ter, pelo menos, um teclado aprovado para guardar a definição. Ao longo do tempo, a Microsoft pode adicionar teclados adicionais à lista de novas Políticas de Proteção de Aplicações, o que exigirá que os administradores revejam e atualizem as políticas existentes conforme necessário.

Para adicionar um teclado, especifique:

  • Nome: um nome amigável que identifica o teclado e é visível para o utilizador.
  • ID do Pacote: o ID do Pacote da aplicação na Google Play Store. Por exemplo, se o URL da aplicação na Play Store for https://play.google.com/store/details?id=com.contoskeyboard.android.prod, o ID do Pacote é com.contosokeyboard.android.prod. Este ID de pacote é apresentado ao utilizador como uma ligação simples para transferir o teclado a partir do Google Play.

Nota: Um utilizador com múltiplas Políticas de Proteção de Aplicações terá permissão para utilizar apenas os teclados aprovados comuns a todas as políticas.

Criptografia

Setting Como usar Valor padrão
Encriptar dados da organização Selecione Exigir para ativar a encriptação de dados escolares ou profissionais nesta aplicação. Intune utiliza um esquema de encriptação AES wolfSSL de 256 bits, juntamente com o sistema Android Keystore, para encriptar os dados da aplicação de forma segura. Os dados são encriptados de forma síncrona durante as tarefas de E/S do ficheiro. Os conteúdos no armazenamento do dispositivo são sempre encriptados e só podem ser abertos por aplicações que suportem políticas de proteção de aplicações do Intune e tenham a política atribuída. Os novos ficheiros serão encriptados com chaves de 256 bits. Os ficheiros encriptados de 128 bits existentes serão submetidos a uma tentativa de migração para chaves de 256 bits, mas o processo não é garantido. Os ficheiros encriptados com chaves de 128 bits permanecerão legíveis.

O método de encriptação é FIPS 140-2 validado; Para obter mais informações, veja wolfCrypt FIPS 140-2 e FIPS 140-3.
Exigir
    Encriptar dados da organização em dispositivos inscritos
Selecione Exigir para impor a encriptação de dados da organização com Intune encriptação de camada de aplicação em todos os dispositivos. Selecione Não necessário para não impor a encriptação de dados da organização com Intune encriptação de camada de aplicação em dispositivos inscritos. Exigir

Funcionalidade

Setting Como usar Valor padrão
Sincronizar dados do aplicativo gerenciado por política com suplementos ou aplicativos nativos Selecione Bloquear para impedir que as aplicações geridas por políticas guardem dados nas aplicações nativas do dispositivo (Contactos, Calendário e widgets) e para impedir a utilização de suplementos nas aplicações geridas por políticas. Se não for suportado pela aplicação, será permitido guardar dados em aplicações nativas e utilizar suplementos.

Se você escolher Permitir, o aplicativo gerenciado por política poderá salvar dados nos aplicativos nativos ou usar suplementos, se esses recursos forem compatíveis e habilitados no aplicativo gerenciado por política.

As aplicações podem fornecer controlos adicionais para personalizar o comportamento da sincronização de dados para aplicações nativas específicas ou não respeitar este controlo.

Nota: quando efetua uma eliminação seletiva para remover dados escolares ou profissionais da aplicação, os dados sincronizados diretamente a partir da aplicação gerida por políticas para a aplicação nativa são removidos. Os dados sincronizados da aplicação nativa para outra origem externa não serão apagados.

Nota: as seguintes aplicações suportam esta funcionalidade:
Permitir
Imprimindo dados da organização Selecione Bloquear para impedir que a aplicação imprima dados escolares ou profissionais. Se você mantiver essa configuração como Permitir, o valor padrão, os usuários poderão exportar e imprimir todos os dados da Organização. Permitir
Restringir a transferência de conteúdo Web com outros aplicativos Especifique como o conteúdo da Web (links http/https) é aberto de aplicativos gerenciados por política. Escolha entre:
  • Qualquer aplicativo: permitir links da Web em qualquer aplicativo.
  • Intune Managed Browser: Permita que o conteúdo da Web seja aberto somente no Intune Managed Browser. Esse navegador é um navegador gerenciado por política.
  • Microsoft Edge: Permita que o conteúdo da Web seja aberto somente no Microsoft Edge. Esse navegador é um navegador gerenciado por política.
  • Browser não-gerenciado:Permita que o conteúdo da Web abra somente no navegador não gerenciado definido pela configuração Protocolo do navegador não gerenciado. O conteúdo da Web não será gerenciado no navegador de destino.
    Nota: requer Portal da Empresa do Intune versão 5.0.4415.0 ou posterior.


  • Browsers geridos por políticas
    No Android, os utilizadores finais podem escolher entre outras aplicações geridas por políticas que suportam ligações http/https se não estiver instalado Intune Managed Browser nem o Microsoft Edge.

    Se um navegador gerenciado por política for obrigatório, mas não estiver instalado, os usuários finais precisarão instalar o Microsoft Edge.

    Se for necessário um browser gerido por políticas, as Ligações de Aplicações android são geridas pela definição de política Permitir que a aplicação transfira dados para outras aplicações .

    Registro do dispositivo do Intune
    Se estiver a utilizar Intune para gerir os seus dispositivos, consulte Gerir o acesso à Internet através de políticas de browser gerido com Microsoft Intune.

    Microsoft Edge gerenciado por política
    O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) agora é compatível com políticas de proteção de aplicativo do Intune. Os utilizadores que iniciarem sessão com as respetivas contas de Microsoft Entra empresariais na aplicação de browser Microsoft Edge serão protegidos por Intune. O browser Microsoft Edge integra o SDK da APLICAÇÃO e suporta todas as políticas de proteção de dados, com exceção de impedir:

    • Guardar como: o browser Microsoft Edge não permite que um utilizador adicione ligações diretas na aplicação a fornecedores de armazenamento na cloud (como o OneDrive).
    • Sincronização de contactos: o browser Microsoft Edge não guarda em listas de contactos nativas.
    Nota:o SDK da APLICAÇÃO não consegue determinar se uma aplicação de destino é um browser. Em dispositivos Android, são permitidas outras aplicações de browser gerido que suportem a intenção http/https.
Não configurado
    ID do Browser Não Gerido
Introduza o ID da aplicação para um único browser. O conteúdo Web (ligações http/https) das aplicações geridas por políticas será aberto no browser especificado. O conteúdo da Web não será gerenciado no navegador de destino. Blank
    Nome do Browser Não Gerido
Introduza o nome da aplicação para o browser associado ao ID do Browser Não Gerido. Este nome será apresentado aos utilizadores se o browser especificado não estiver instalado. Blank
Notificações de dados da organização Especifique a quantidade de dados da organização que são partilhados através de notificações do SO para contas de organização. Essa configuração de política afetará o dispositivo local e todos os dispositivos conectados, como dispositivos vestíveis e alto-falantes inteligentes. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de notificação ou podem optar por não respeitar todos os valores. Selecione:
  • Bloquear: não partilhe notificações.
    • Se não forem compatíveis com o aplicativo, as notificações serão permitidas.
  • Bloquear dados da organização: não partilhe dados da organização em notificações. Por exemplo, "Tem correio novo"; "Tem uma reunião".
    • Se não forem compatíveis com o aplicativo, as notificações serão bloqueadas.
  • Permitir: partilha dados da organização nas notificações

Nota: esta definição requer suporte de aplicações:

  • Outlook para Android 4.0.95 ou posterior
  • Teams para Android 1416/1.0.0.2020092202 ou posterior.
Permitir

Isenções de transferência de dados

Existem algumas aplicações e serviços de plataforma isentos que Intune políticas de proteção de aplicações permitem a transferência de e para os dados. Por exemplo, todas as aplicações geridas por Intune no Android têm de conseguir transferir dados de e para a Conversão de Texto em Voz da Google, para que o texto do ecrã do seu dispositivo móvel possa ser lido em voz alta. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.

Isenções completas

Estas aplicações e serviços são totalmente permitidos para transferência de dados de e para aplicações geridas Intune.

Nome da aplicação/serviço Descrição
com.android.phone Aplicação para telemóvel nativa
com.android.vending Google Play Store
com.google.android.webview WebView, que é necessário para muitas aplicações, incluindo o Outlook.
com.android.webview Webview, que é necessário para muitas aplicações, incluindo o Outlook.
com.google.android.tts Conversão de texto em voz do Google
com.android.providers.settings Definições do sistema Android
com.android.settings Definições do sistema Android
com.azure.authenticator Aplicação Azure Authenticator, que é necessária para a autenticação com êxito em muitos cenários.
com.microsoft.windowsintune.companyportal Portal da Empresa do Intune
com.android.providers.contacts Aplicação de contactos nativos

Isenções condicionais

Estas aplicações e serviços só são permitidos para transferência de dados de e para aplicações geridas Intune em determinadas condições.

Nome da aplicação/serviço Descrição Condição de isenção
com.android.chrome Navegador Google Chrome O Chrome é utilizado para alguns componentes do WebView no Android 7.0+ e nunca é ocultado da vista. No entanto, o fluxo de dados de e para a aplicação é sempre restrito.
com.skype.raider Skype A aplicação Skype só é permitida para determinadas ações que resultem numa chamada telefónica.
com.android.providers.media Fornecedor de conteúdos multimédia Android O fornecedor de conteúdos multimédia só é permitido para a ação de seleção de toques.
com.google.android.gms; com.google.android.gsf Pacotes do Google Play Services Estes pacotes são permitidos para ações do Google Cloud Messaging, como notificações push.
com.google.android.apps.maps Google Maps Os endereços são permitidos para navegação.
com.android.documentsui Seletor de Documentos do Android Permitido ao abrir ou criar um ficheiro.
com.google.android.documentsui Seletor de Documentos do Android (Android 10+) Permitido ao abrir ou criar um ficheiro.

Para obter mais informações, veja Data transfer policy exceptions for apps (Exceções da política de transferência de dados para aplicações).

Requisitos de acesso

Setting Como usar
PIN para acesso Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante.

Valor predefinido = Exigir

Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso.

Nota: Os utilizadores finais com permissão para aceder à aplicação podem repor o PIN da aplicação. Esta definição pode não estar visível em alguns casos em dispositivos Android. Os dispositivos Android têm uma limitação máxima de quatro atalhos disponíveis. Quando o máximo for atingido, o utilizador final tem de remover quaisquer atalhos personalizados (ou aceder ao atalho de uma vista de aplicação gerida diferente) para ver o atalho repor PIN da Aplicação. Em alternativa, o utilizador final pode afixar o atalho à respetiva home page.

    Tipo de PIN
Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial.

Valor predefinido = Numérico

Nota: Os carateres especiais permitidos incluem os carateres especiais e símbolos no teclado de idioma android inglês.
    PIN Simples
Selecione Permitir para permitir que os utilizadores utilizem sequências de PIN simples, como 1234, 1111, abcd ou aaaa. Selecione Blocos para impedir que utilizem sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Bloquear estiver configurado, 1235 ou 1112 não seria aceite como PIN definido pelo utilizador final, mas 1122 seria permitido.

Valor predefinido = Permitir

Nota: Se o PIN do tipo de código de acesso estiver configurado e o PIN Simples estiver definido como Permitir, o utilizador precisará de, pelo menos, uma letra ou , pelo menos, um caráter especial no PIN. Se o PIN do tipo código de acesso estiver configurado e o PIN Simples estiver definido como Bloquear, o utilizador precisará de, pelo menos, um número e uma letra e , pelo menos, um caráter especial no PIN.
    Selecionar comprimento mínimo do PIN
Especifique o número mínimo de dígitos em uma sequência de PIN.

Valor predefinido = 4
    Biometria em vez de PIN para acesso
Selecione Permitir para permitir que o utilizador utilize biometria para autenticar utilizadores em dispositivos Android. Se for permitido, a biometria é utilizada para aceder à aplicação em dispositivos Android 10 ou superior.
    Substituir biometria com PIN após o tempo limite
Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade.

Valor predefinido = Exigir
      Tempo limite (minutos de inatividade)
Especifique um tempo em minutos após o qual um código de acesso ou um PIN numérico (conforme configurado) substituirá a utilização de um biométrico. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)".

Valor predefinido = 30
    Biometria de classe 3 (Android 9.0+)
Selecione Exigir para exigir que o utilizador inicie sessão com biometria de classe 3. Para obter mais informações sobre a biometria da classe 3, veja Biomettrics na documentação da Google.
    Substituir biometria com PIN após atualizações biométricas
Selecione Exigir para substituir a utilização de biometria com PIN quando for detetada uma alteração na biometria.

OBSERVAÇÃO:
Esta definição só entra em vigor depois de uma biométrica ter sido utilizada para aceder à aplicação. Consoante o fabricante do dispositivo Android, nem todas as formas de biometria podem ser suportadas para operações criptográficas. Atualmente, as operações criptográficas são suportadas para qualquer biometria (por exemplo, impressão digital, íris ou rosto) no dispositivo que cumpra ou exceda os requisitos de biometria de Classe 3, conforme definido na documentação do Android. Veja a BIOMETRIC_STRONG constante da interface BiometricManager.Authenticators e o authenticate método da classe BiometricPrompt . Poderá ter de contactar o fabricante do dispositivo para compreender as limitações específicas do dispositivo.

    Redefinir PIN após número de dias
Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias.

Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária.

Valor predefinido = Não
      Número de dias
Configure o número de dias antes que a redefinição do PIN seja necessária.

Valor predefinido = 90
    Selecionar o número de valores de PIN anteriores a manter
Esta definição especifica o número de PINs anteriores que Intune irão manter. Os novos PINs têm de ser diferentes dos que Intune mantém.

Valor predefinido = 0
    PIN do aplicativo quando o PIN do dispositivo for gerenciado
Selecione Não necessário para desativar o PIN da aplicação quando for detetado um bloqueio de dispositivo num dispositivo inscrito com Portal da Empresa configurado.

Valor predefinido = Exigir.
Credenciais de conta corporativa ou de estudante para acesso Selecione Exigir para exigir que o utilizador inicie sessão com a respetiva conta escolar ou profissional em vez de introduzir um PIN para acesso à aplicação. Quando definido como Exigir e os pedidos de PIN ou biométricos estiverem ativados, são apresentadas as credenciais empresariais e o PIN ou os pedidos biométricos.

Valor predefinido = Não necessário
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure a seguinte definição:
  • Tempo limite: este é o número de minutos antes de os requisitos de acesso (definidos anteriormente na política) serem novamente verificados. Por exemplo, se um administrador ativar o PIN e bloquear dispositivos com raiz na política, se um usuário abrir um aplicativo gerenciado pelo Intune, deverá inserir um PIN e usar o aplicativo em um dispositivo sem raiz. Ao utilizar esta definição, o utilizador não terá de introduzir um PIN ou submeter-se a outro marcar de deteção de raiz em qualquer aplicação gerida Intune durante um período de tempo igual ao valor configurado.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor predefinido = 30 minutos

    Nota: No Android, o PIN é partilhado com todas as aplicações geridas Intune. O temporizador do PIN é reposto assim que a aplicação sair do primeiro plano do dispositivo. O utilizador não terá de introduzir um PIN em nenhuma aplicação gerida Intune que partilhe o PIN durante o tempo limite definido nesta definição.

Observação

Para saber mais sobre como várias definições de proteção de aplicações Intune configuradas na secção Access para o mesmo conjunto de aplicações e utilizadores funcionam no Android, veja Intune perguntas mais frequentes sobre MAM e Eliminar dados seletivamente através de ações de acesso da política de proteção de aplicações no Intune.

Inicialização condicional

Configure as definições de iniciação condicional para definir os requisitos de segurança de início de sessão para a política de proteção de aplicações.

Por padrão, várias configurações são fornecidas com ações e valores previamente configurados. Pode eliminar algumas definições, como a versão mínima do SO. Você também pode selecionar configurações adicionais na lista suspensa Selecionar um.

Condições da aplicação

Setting Como usar
Máximo de tentativas de PIN Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o utilizador não conseguir introduzir o PIN com êxito após as tentativas máximas de PIN, o utilizador terá de repor o pin depois de iniciar sessão com êxito na conta e concluir um desafio do Multi-Factor Authentication (MFA), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo.

Ações incluem:

  • Redefinir o PIN – o usuário precisa redefinir o PIN.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Valor padrão = 5
Período de cortesia offline O número de minutos em que as aplicações geridas podem ser executadas offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente.

Ações incluem:

  • Bloquear o acesso (minutos) – o número de minutos em que as aplicações geridas podem ser executadas offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Após este período expirar, a aplicação requer a autenticação do utilizador para Microsoft Entra ID para que a aplicação possa continuar a ser executada.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor predefinido = 1440 minutos (24 horas)

    Nota: Configurar o temporizador do período de tolerância Offline para bloquear o acesso para ser inferior ao valor predefinido pode resultar em interrupções mais frequentes do utilizador à medida que a política é atualizada. A escolha de um valor inferior a 30 minutos não é recomendada, uma vez que pode resultar em interrupções do utilizador em cada iniciação ou retoma da aplicação.
  • Limpar dados (dias) – após este número de dias (definido pelo administrador) de execução offline, o aplicativo exigirá que o usuário se conecte à rede e realize a autenticação novamente. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se o utilizador não conseguir autenticar-se, a aplicação efetuará uma eliminação seletiva da conta e dos dados do utilizador. Para obter mais informações, veja How to wipe only corporate data from Intune-managed apps (Como eliminar apenas dados empresariais de aplicações geridas por Intune). Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 90 dias
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo.

Ações incluem:

  • Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de controle de versão diferentes entre si, crie uma política com uma versão mínima de aplicativo que direciona um aplicativo (por exemplo, política de versão do Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Além disso, configure em que local os usuários finais podem obter uma versão atualizada de um aplicativo LOB (linha de negócios). Os usuários finais verão isso na caixa de diálogo de inicialização condicional Versão mínima do aplicativo, que solicitará que os usuários finais façam a atualização para uma versão mínima do aplicativo LOB. No Android, esta funcionalidade utiliza o Portal da Empresa. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define de qual repositório o usuário final baixará o aplicativo. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa.
Conta desabilitada Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador está bloqueado porque a conta foi desativada.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Tempo de descanso Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador é bloqueado porque a conta de utilizador associada à aplicação está em tempo útil.
  • Avisar – o utilizador vê uma notificação se a conta de utilizador associada à aplicação estiver em tempo de descanso. A notificação pode ser dispensada.
Nota: esta definição só tem de ser configurada se o inquilino tiver sido integrado com a API de Tempo Útil. Para obter mais informações sobre como integrar esta definição com a API de Tempo Útil, consulte Limitar o acesso ao Microsoft Teams quando os trabalhadores de primeira linha estão fora do turno. Configurar esta definição sem integrar com a API de Tempo Útil pode fazer com que as contas possam ser bloqueadas devido à falta de tempo útil status para a conta gerida associada à aplicação.

As seguintes aplicações suportam esta funcionalidade com Portal da Empresa v5.0.5849.0 ou posterior:

  • Teams para Android v1416/1.0.0.2023226005 (2023226050) ou posterior
  • Edge para Android v125.0.2535.96 ou posterior

Condições do dispositivo

Setting Como usar
Dispositivos com jailbreak/desbloqueados por rooting Especifique se pretende bloquear o acesso ao dispositivo ou apagar os dados do dispositivo para dispositivos desbloqueados por jailbreak/rooting. Ações incluem:
  • Bloquear acesso – impeça que esse aplicativo seja executado em dispositivos com jailbreak ou desbloqueados por rooting. O utilizador continua a poder utilizar esta aplicação para tarefas pessoais, mas terá de utilizar um dispositivo diferente para aceder aos dados escolares ou profissionais nesta aplicação.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Versão mínima do sistema operacional Especifique um sistema operativo Android mínimo necessário para utilizar esta aplicação. As versões do SO abaixo da versão do SO Mínimo especificada irão acionar as ações. Ações incluem:
  • Avisar – o utilizador verá uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador será bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão máxima do sistema operacional Especifique um sistema operativo Android máximo necessário para utilizar esta aplicação. As versões do SO abaixo da versão máxima do SO especificada irão acionar as ações. Ações incluem:
  • Avisar – o utilizador verá uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador será bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão mínima do patch Exigir que os dispositivos tenham um patch de segurança android mínimo lançado pela Google.
  • Avisar – o utilizador verá uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador será bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esta definição de política suporta o formato de data AAAA-MM-DD.
Fabricante(s) do(s) dispositivo(s) Especifique uma lista separada por ponto e vírgula do(s) fabricante(s). Esses valores não diferenciam maiúsculas de minúsculas. Ações incluem:
  • Permitir especificado (Bloquear não especificado) – apenas os dispositivos que correspondam ao fabricante especificado podem utilizar a aplicação. Todos os outros dispositivos estão bloqueados.
  • Permitir especificado (apagamento não especificado) – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como aplicar essa configuração, confira o tópico Ações de inicialização condicional.
Reproduzir veredicto de integridade Proteção de aplicativos políticas suportam algumas das APIs de Integridade do Google Play. Esta definição, em particular, configura a Integridade de Reprodução da Google marcar em dispositivos de utilizador final para validar a integridade desses dispositivos. Especifique integridade básica ou Integridade básica e integridade do dispositivo.

A integridade básica informa-o sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. Integridade básica & dispositivos certificados informa-o sobre a compatibilidade do dispositivo com os serviços da Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação.

Se selecionar Reproduzir veredicto de integridade conforme necessário para o lançamento condicional, pode especificar que um marcar de integridade forte é utilizado como o tipo de avaliação. A presença de uma integridade forte marcar, uma vez que o tipo de avaliação indicará uma maior integridade de um dispositivo. Os dispositivos que não suportam verificações de integridade fortes serão bloqueados pela política de MAM se forem visados por esta definição. A forte integridade marcar fornece uma deteção de raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detetados de forma fiável por uma solução apenas de software. Na APP, o atestado de hardware será ativado ao definir o tipo de avaliação do veredicto de integridade da reprodução como Verificar a integridade forte assim que o veredicto da Integridade da reprodução estiver configurado e o tipo de avaliação Required SafetyNet para uma integridade forte marcar assim que a integridade do dispositivo marcar estiver configurada. O atestado com suporte para hardware tira partido de um componente baseado em hardware que foi enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala.

Importante: Os dispositivos que não suportam este tipo de avaliação serão bloqueados ou apagados com base na ação integridade do dispositivo marcar. As organizações que gostariam de utilizar esta funcionalidade terão de garantir que os utilizadores têm dispositivos suportados. Para obter mais informações sobre os dispositivos recomendados da Google, consulte Requisitos recomendados do Android Enterprise.

Ações incluem:

  • Avisar – o utilizador vê uma notificação se o dispositivo não cumprir a integridade do dispositivo da Google marcar com base no valor configurado. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador será bloqueado se o dispositivo não cumprir a integridade do dispositivo da Google marcar com base no valor configurado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para perguntas mais frequentes relacionadas com esta definição, veja Perguntas mais frequentes sobre a MAM e a proteção de aplicações.
Exigir análise de ameaças nas aplicações Proteção de aplicativos políticas suportam algumas das APIs do Google Play Protect. Esta definição, em particular, garante que a análise verificar aplicações da Google está ativada para dispositivos de utilizador final. Se configurado, o usuário final terá o acesso bloqueado até que ative a verificação de aplicativos do Google em seu dispositivo Android. Ações incluem:
  • Avisar – o utilizador vê uma notificação se a análise verificar aplicações da Google no dispositivo não estiver ativada. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se a análise verificar aplicações da Google no dispositivo não estiver ativada.
Os resultados da análise Verificar Aplicações da Google são apresentados no relatório Aplicações Potencialmente Prejudiciais na consola do .
Tipo de avaliação SafetyNet necessário O atestado com suporte de hardware melhora o serviço de atestado SafetyNet existente marcar. Pode definir o valor como Chave suportada por hardware depois de definir o atestado de dispositivo SafteyNet.
Exigir bloqueio do dispositivo Esta definição determina se o dispositivo Android tem um PIN de dispositivo que cumpre o requisito mínimo de palavra-passe. A política de Proteção de aplicativos pode tomar medidas se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.

Os valores incluem:

  • Baixa Complexidade
  • Complexidade Média
  • Elevada Complexidade

Este valor de complexidade destina-se ao Android 12+. Para dispositivos que operam no Android 11 e anterior, definir um valor de complexidade de baixo, médio ou alto irá predefinir o comportamento esperado para Baixa Complexidade. Para obter mais informações, veja a documentação do programador da Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH.

Ações incluem:

  • Avisar – o utilizador vê uma notificação se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe. A notificação pode ser dispensada.
  • Bloquear o acesso – o acesso do utilizador será bloqueado se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.
  • Apagar dados – a conta de utilizador associada à aplicação é eliminada do dispositivo se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.
Versão mínima Portal da Empresa Ao utilizar a versão min Portal da Empresa, pode especificar uma versão definida mínima específica do Portal da Empresa que é imposta num dispositivo de utilizador final. Esta definição de iniciação condicional permite-lhe definir valores para Bloquear acesso, Eliminar dados e Avisar as ações possíveis quando cada valor não for cumprido. Os formatos possíveis para este valor seguem o padrão [Major].[ Menor], [Major].[ Menor]. [Build], or [Major].[ Menor]. [Build]. [Revisão]. Dado que alguns utilizadores finais podem não preferir uma atualização forçada de aplicações no local, a opção "avisar" pode ser ideal ao configurar esta definição. A Google Play Store faz um bom trabalho ao enviar apenas os bytes delta para atualizações de aplicações, mas ainda pode ser uma grande quantidade de dados que o utilizador poderá não querer utilizar se estiver a utilizar dados no momento da atualização. Forçar uma atualização e, assim, transferir uma aplicação atualizada pode resultar em custos de dados inesperados no momento da atualização. Para obter mais informações, consulte Definições de política do Android.
Duração máxima da versão Portal da Empresa (dias) Pode definir um número máximo de dias como a idade da versão de Portal da Empresa (CP) para dispositivos Android. Esta definição garante que os utilizadores finais estão dentro de um determinado intervalo de versões da CP (em dias). O valor tem de estar entre 0 e 365 dias. Quando a definição dos dispositivos não é cumprida, a ação para esta definição é acionada. As ações incluem Bloquear acesso, Apagar dados ou Avisar. Para obter informações relacionadas, veja Definições de política do Android. Nota: A idade da Portal da Empresa é determinada pelo Google Play no dispositivo do utilizador final.
Atestado de dispositivo Samsung Knox Especifique se o atestado do dispositivo Samsung Knox marcar é necessário. Apenas os dispositivos não modificados que tenham sido verificados pela Samsung podem passar este marcar. Para obter a lista de dispositivos suportados, consulte samsungknox.com.

Ao utilizar esta definição, Microsoft Intune também verificará a comunicação do Portal da Empresa para o Serviço de Intune foi enviada a partir de um dispositivo em bom estado de funcionamento.

Ações incluem:
  • Avisar – o utilizador vê uma notificação se o dispositivo não cumprir o atestado de dispositivos Samsung Knox marcar. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso da conta de utilizador é bloqueado se o dispositivo não cumprir o atestado de dispositivo Knox da Samsung marcar.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Nota: O utilizador tem de aceitar os termos do Samsung Knox para que o atestado do dispositivo marcar possa ser executado. Se o utilizador não aceitar os termos do Samsung Knox, ocorrerá a ação especificada.

Nota: Esta definição será aplicada a todos os dispositivos visados. Para aplicar esta definição apenas a dispositivos Samsung, pode utilizar filtros de atribuição de "Aplicações geridas". Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.

Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD.

Ações incluem:

  • Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como utilizar esta definição, consulte Ativar o conector de Defesa Contra Ameaças para Dispositivos Móveis no Intune para dispositivos não inscritos.
Serviço MTD principal Se tiver configurado vários conectores Intune MTD, especifique a aplicação principal do fornecedor mtd que deve ser utilizada no dispositivo do utilizador final.

Os valores incluem:

  • Microsoft Defender para Ponto de Extremidade - se o conector MTD estiver configurado, especifique Microsoft Defender para Ponto de Extremidade fornecerá as informações do nível de ameaça do dispositivo.
  • Defesa Contra Ameaças para Dispositivos Móveis (Não Microsoft) – se o conector MTD estiver configurado, especifique que o MTD não Microsoft fornecerá as informações de nível de ameaça do dispositivo.

Tem de configurar a definição "Nível máximo de ameaça de dispositivo permitido" para utilizar esta definição.

Não existem Ações para esta definição.