Share via

Listas de configurações de restrição de dispositivos Android e Samsung Knox Standard no Intune

  • Artigo

Este artigo mostra-lhe todas as definições de restrições de dispositivos do Microsoft Intune que pode configurar para dispositivos a executar o Android. Como parte da solução de gestão de dispositivos móveis (MDM), utilize estas definições para permitir ou desativar funcionalidades, definir requisitos de senha, controlar a segurança e muito mais.

Esta funcionalidade aplica-se a:

  • Administrador de dispositivos Android (DA)

Dica

Se as definições que pretende não estiverem disponíveis, poderá conseguir configurá-las nos seus dispositivos através de um perfil personalizado.

Antes de começar

Crie um perfil de configuração de restrições de dispositivos de administrador de dispositivos Android.

Geral

  • Câmara: O bloco impede o acesso à câmara do dispositivo. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir o acesso à câmara do dispositivo.

    O Intune só consegue aceder à câmara do dispositivo. Não tem acesso a fotografias ou vídeos.

  • Copiar e colar (apenas Samsung Knox): O bloco evita a cópia e a pasta. Não configurado permite funções de cópia e pasta em dispositivos.

  • Partilha de prancheta entre apps (apenas Samsung Knox): O bloco impede a utilização da prancheta para copiar e colar entre aplicações. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir funções de cópia e pasta nos dispositivos.

  • Submissão de dados de diagnóstico (apenas Samsung Knox): O bloco impede os utilizadores de enviarem relatórios de bugs a partir de dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores enviem os dados.

  • Limpeza (apenas Samsung Knox): Permite que os utilizadores executem uma ação de limpeza nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição.

  • Geolocalização (apenas Samsung Knox): O bloco desativa os dispositivos de utilização de informações de localização. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os dispositivos utilizem as informações de localização.

  • Desligar (apenas Samsung Knox): O bloqueio impede os utilizadores de desligarem o dispositivo. Também evita que o número de falhas de inscrição antes de limpar a configuração do dispositivo seja configurado e funcione. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir aos utilizadores desligarem os dispositivos.

  • Captura de ecrã (apenas Samsung Knox): O bloco evita imagens. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir que os utilizadores capturem o conteúdo do ecrã como uma imagem.

  • Assistente de voz (apenas Samsung Knox): O bloco desativa o serviço S Voice. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir a utilização do serviço S Voice e da aplicação em dispositivos. Esta definição não se aplica ao Bixby ou ao assistente de voz para acessibilidade que lê o conteúdo do ecrã em voz alta.

  • YouTube (apenas Samsung Knox): O bloqueio impede os utilizadores de utilizarem a aplicação do YouTube. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização da aplicação do YouTube em dispositivos.

  • Dispositivos partilhados (apenas Samsung Knox): Configuure um dispositivo Samsung Knox Standard gerido como partilhado. Permite que os utilizadores entrem e saiam dos dispositivos com as suas credenciais AD AZure. Os dispositivos continuam a ser geridos, quer estejam a ser utilizados ou não.

    Quando utilizada com um perfil de certificado SCEP, esta funcionalidade permite que os utilizadores partilhem um dispositivo com as mesmas aplicações para todos os utilizadores. Mas cada utilizador tem o seu próprio certificado de utilizador SCEP. Quando os utilizadores terminam sessão, todos os dados das aplicações são limpos. Esta funcionalidade é limitada a aplicações LOB.

    Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA poderá impedir que vários utilizadores entrem na aplicação Portal da Empresa em dispositivos utilizando as suas credenciais AD Azure.

  • Alterações de data e hora do bloco (Samsung Knox): O bloqueio impede que os utilizadores mudem as definições de data e hora nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores alterem as definições de data e hora.

Palavra-passe

  • Encriptação: Selecione Exigir para que os ficheiros do dispositivo sejam encriptados. Nem todos os dispositivos suportam encriptação. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Para configurar esta definição, e reportar corretamente a conformidade, também configurar:

    1. Palavra-passe: Definir para Exigir.
    2. Tipo de senha requerida: Definir pelo menos numérico.
    3. Comprimento mínimo da palavra-passe: Definir pelo menos 4 .

    Nota

    Se for imposta uma política de encriptação, os dispositivos Samsung Knox exigem que os utilizadores definam uma palavra-passe complexa de 6 carateres como o código de acesso do dispositivo.

Todos os dispositivos Android

Estas configurações aplicam-se ao Android 4.0 e mais recente, e o Knox 4.0 e mais recente.

  • Máximo de minutos de inatividade até que o ecrã bloquee: Introduza o tempo que um dispositivo deve ficar inativo antes de o ecrã ser automaticamente bloqueado. Por exemplo, introduza 5 para bloquear os dispositivos após 5 minutos de marcha lenta. Quando o valor está em branco ou definido para Não configurado, o Intune não altera nem atualiza esta definição.

    Num dispositivo, os utilizadores não conseguem definir um valor temporal superior ao tempo configurado no perfil. Os utilizadores podem definir um valor de tempo mais baixo. Por exemplo, se o perfil estiver definido em 15 minutos, os utilizadores podem definir o valor em 5 minutos. Os utilizadores não podem definir o valor em 30 minutos.

  • Número de falhas de entrada antes de limpar o dispositivo : Introduza o número de palavras-passe erradas permitidas antes de os dispositivos serem limpos, de 4-11. 0 (zero) pode desativar a funcionalidade de limpeza do dispositivo. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Senha: Exija que os utilizadores introduzam uma palavra-passe para aceder aos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores acedam a dispositivos sem introduzir uma palavra-passe.

    Nota

    Os dispositivos Samsung Knox exigem automaticamente um PIN de 4 dígitos durante a inscrição na MDM. Os dispositivos Android nativos podem automaticamente exigir que um PIN se torne conforme com o Acesso Condicional.

Android 10 e mais tarde

  • Complexidade da palavra-passe: Introduza a complexidade da palavra-passe requerida. As opções são:

    • Nenhuma (predefinição): Não é necessária nenhuma palavra-passe.
    • Baixo: A palavra-passe satisfaz uma das seguintes condições:
      • Padrão
      • PIN numérico tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468).
    • Média: A palavra-passe satisfaz uma das seguintes condições:
      • Pin numérico não tem uma sequência de repetição (4444) ou encomendada (1234, 4321, 2468) e tem um comprimento mínimo de 4.
      • Alfabético, com um comprimento mínimo de 4.
      • Alfanumérico, com um comprimento mínimo de 4.
    • Alta: A palavra-passe satisfaz uma das seguintes condições:
      • Pin numérico não tem uma sequência de repetição (4444) ou encomendada (1234, 4321, 2468) e tem um comprimento mínimo de 8.
      • Alfabético, com um comprimento mínimo de 6.
      • Alfanumérico, com um comprimento mínimo de 6.

    Esta definição aplica-se a:

    • Android 10 e mais recente, mas não na Samsung Knox.

    Importante

    A definição de complexidade da palavra-passe é um trabalho em curso. No final de outubro de 2020, a complexidade da Palavra-Passe entrará em vigor nos dispositivos.

    Se definir a complexidade da Palavra-Passe para outra coisa que não nenhuma, então também defina a definição de Palavra-Passe para Exigir, que é encontrada na secção de todos os dispositivos Android. Os utilizadores com senhas que não satisfaçam os seus requisitos de complexidade recebem um aviso para atualizar a sua palavra-passe. Se não definir a definição de Palavra-passe para Exigir, os utilizadores com palavras-passe fracas não receberão o aviso.

Android 9 e anterior, ou Samsung Knox (qualquer versão)

  • Comprimento mínimo da palavra-passe: Introduza o número mínimo de caracteres necessários, de 4 a 16. Por exemplo, 6 insira para exigir pelo menos seis números ou caracteres no comprimento da palavra-passe.

  • Expiração da palavra-passe (dias): Introduza o número de dias, até que a palavra-passe do dispositivo seja alterada, a partir de 1-365. Por exemplo, insira 90 para expirar a senha após 90 dias. Quando a palavra-passe expirar, será pedido aos utilizadores para criar uma nova. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Tipo de senha requerida: Introduza o nível de complexidade da palavra-passe necessário e se os dispositivos biométricos podem ser utilizados. As opções são:

    • Predefinição do dispositivo

    • Biométrico de baixa segurança: Forte vs. biometria fraca (abre o site do Android)

    • Pelo menos numérico: Inclui caracteres numéricos, tais como 123456789 .

    • Complexo numérico: Não são permitidos números repetidos ou consecutivos, como "1111" ou "1234". Antes de atribuir esta definição aos dispositivos, certifique-se de atualizar a aplicação Portal da Empresa para a versão mais recente destes dispositivos.

      Quando definido para complexo numérico, e atribuir a definição a dispositivos que executam uma versão Android antes de 5.0, então o seguinte comportamento aplica-se:

      • Se a aplicação Portal da Empresa estiver a executar uma versão anterior a 1704, nenhuma política PIN se aplica aos dispositivos, e um erro aparece no centro de administração Microsoft Endpoint Manager.
      • Se a aplicação Portal da Empresa executar a versão 1704 ou posterior, apenas pode ser aplicado um PIN simples. A versão Android antes do 5.0 não suporta esta definição. Não é mostrado nenhum erro no centro de administração Microsoft Endpoint Manager.

    • Pelo menos alfabética: Inclui letras no alfabeto. Não são obrigatórios números nem símbolos.

    • Pelo menos alfanumérico: Inclui letras maiúsculas, letras minúsculas e caracteres numéricos.

    • Pelo menos alfanumérico com símbolos: Inclui letras maiúsculas, letras maiúsculas, caracteres numéricos, marcas de pontuação e símbolos.

  • Evitar a reutilização de palavras-passe anteriores: Utilize esta definição para restringir os utilizadores a criarem senhas previamente utilizadas. Introduza o número de palavras-passe anteriormente utilizadas que não podem ser utilizadas, de 1 a 24. Por exemplo, insira 5 para que os utilizadores não possam definir uma nova palavra-passe na sua senha atual ou em qualquer uma das suas quatro palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Desbloqueio de impressões digitais (apenas Samsung Knox): O bloco impede a utilização de uma impressão digital para desbloquear dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores desbloqueiem os dispositivos utilizando uma impressão digital.

  • Smart Lock e outros agentes fiduciários: O bloqueio impede que o Smart Lock ou outros agentes fiduciários ajustem as definições do ecrã de bloqueio. Se o dispositivo estiver num local de confiança, então esta funcionalidade, também conhecida como agente fiduciário, permite desativar ou contornar a palavra-passe do ecrã de bloqueio do dispositivo. Por exemplo, utilize esta funcionalidade quando os dispositivos estiverem ligados a um dispositivo Bluetooth específico, ou quando os dispositivos estiverem perto de uma etiqueta NFC. Pode utilizar esta definição para impedir que os utilizadores configurem o Smart Lock.

    Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição.

    Esta definição aplica-se a:

    • Samsung KNOX Standard 5.0 e mais recente

Google Play Store

  • Google Play Store (apenas Samsung Knox): O bloqueio impede os utilizadores de utilizarem a loja Google Play. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA poderá permitir aos utilizadores acederem à loja Da Google Play nos dispositivos.

Aplicações restritas

Esta funcionalidade é suportada em dispositivos Android e Samsung Knox Standard.

  • Tipo de lista de aplicações restritas: Criar uma lista de aplicações para permitir ou bloquear dispositivos. Esta funcionalidade é suportada em dispositivos Android e Samsung Knox Standard. As opções são:

    • Não configurado (predefinição): Intune não altera ou atualiza esta definição.
    • Aplicações proibidas: Listar as aplicações (não geridas pelo Intune) que os utilizadores não estão autorizados a instalar e executar. Se um utilizador instalar uma aplicação desta lista, receberá uma notificação do Intune.
    • Aplicações aprovadas: Liste as aplicações que os utilizadores podem instalar. Para permanecerem compatíveis, os utilizadores não podem instalar outras aplicações. As aplicações que são geridas pelo Intune são automaticamente permitidas, incluindo a aplicação Portal da Empresa.

  • Lista de aplicações: Adicione a sua aplicação:

    • URL da loja de aplicações: Introduza o URL da Google Play Store da aplicação que pretende. Por exemplo, para adicionar o aplicativo Ambiente de Trabalho Remoto da Microsoft para Android, insira https://play.google.com/store/apps/details?id=com.microsoft.rdc.android .

      Para encontrar o URL de uma aplicação, abra a loja Google Playe procure a aplicação. Por exemplo, procure Microsoft Remote Desktop Play Store ou Microsoft Planner. Selecione a aplicação e copie o URL.

    • ID do pacote de aplicações : Introduza o ID do pacote de aplicações.

    • Nome da aplicação: Introduza o nome que pretende. Este nome é mostrado aos utilizadores.

    • Publisher (opcional): Insira o editor da app, tal como Microsoft .

Também pode importar um ficheiro CSV com detalhes sobre a aplicação, incluindo o URL. Utilize o url > de <, <nome de aplicações>, <> de editor de aplicações. Ou, Exporte uma lista existente que inclua a lista de aplicações restritas no mesmo formato.

Importante

Os perfis do dispositivo que utilizam as definições restritas da aplicação devem ser atribuídos a grupos de utilizadores e não a grupos de dispositivos.

Browser

  • Web browser (apenas Samsung Knox): O bloqueio impede que o navegador padrão seja utilizado em dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir a utilização do navegador web padrão do dispositivo.
  • Preenchimento automático (apenas Samsung Knox): O bloqueio impede que o navegador preencha automaticamente o texto. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir o preenchimento automático.
  • Cookies (apenas Samsung Knox): Escolha como lidar com cookies a partir de websites em dispositivos. As opções são:
    • Permitir
    • Bloquear todos os cookies
    • Permitir cookies dos sites visitados
    • Permitir cookies do site atual
  • JavaScript (apenas Samsung Knox): O bloqueio impede que o JavaScript seja o executo no navegador. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode permitir estes scripts.
  • Pop-ups (apenas Samsung Knox): O bloco liga o Bloqueador Pop-up para evitar pop-ups no navegador web. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir pop-ups.

Permitir ou Bloquear aplicações

Utilize estas definições para permitir, bloquear ou ocultar aplicações específicas em dispositivos Samsung Knox Standard. As aplicações que estão escondidas não podem ser abertas ou trabalhadas pelos utilizadores.

As opções são:

  • Aplicações autorizadas a serem instaladas (apenas o Samsung Knox Standard): Adicione aplicações que os utilizadores possam instalar. Os utilizadores não podem instalar aplicações que não estejam na lista.
  • Apps bloqueadas no lançamento (apenas Samsung Knox Standard): Introduza as aplicações que os utilizadores não podem executar no seu dispositivo.
  • Apps escondidas do utilizador (apenas o Padrão Samsung Knox): Introduza as aplicações que estão escondidas nos dispositivos. Os utilizadores não conseguem descobrir ou executar estas aplicações.

Para cada definição, adicione as suas aplicações:

  • Adicione aplicativos por nome de pacote: Introduza o nome da aplicação e o nome do pacote de aplicações. Usado principalmente para aplicações de linha de negócios.
  • Adicionar aplicativos por URL: Introduza o nome da aplicação e o seu URL na loja Google Play.
  • Adicionar app de loja: Selecione uma aplicação da lista de aplicações existentes que gere no Intune.

Cloud e Armazenamento

  • Backup da Google (apenas Samsung Knox): O bloco impede que os dispositivos sincronizem com a cópia de segurança da Google. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir a utilização de cópias de segurança do Google.
  • Sincronização automática da conta google (apenas Samsung Knox): O bloco impede a função de sincronização automática da conta Google nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA poderá permitir que as definições da conta da Google sejam automaticamente sincronizadas.
  • Armazenamento amovível (apenas Samsung Knox): O bloco impede que os dispositivos utilizem armazenamento amovível. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir que os dispositivos utilizem armazenamento amovível, como um cartão SD.
  • Encriptação em cartões de armazenamento (apenas Samsung Knox): Exija que os cartões de armazenamento devem ser encriptados. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização de cartões de armazenamento não encriptados. Nem todos os dispositivos suportam encriptação de cartão de armazenamento. Para confirmar, consulte o fabricante do dispositivo.

Rede Móvel e Conectividade

  • Roaming de dados (apenas Samsung Knox): O bloco impede que os dados circulam pela rede celular. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SO pode permitir o roaming de dados.
  • Mensagens SMS/MMS (apenas Samsung Knox): O bloco impede mensagens de texto em dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização de mensagens SMS e MMS.
  • Marcação por voz (apenas Samsung Knox): O bloqueio impede que os utilizadores utilizem a função de marcação por voz nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a marcação por voz.
  • Roaming de voz (apenas Samsung Knox): O bloqueio impede que a voz vagueie pela rede celular. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode permitir o roaming de voz.
  • Bluetooth (apenas Samsung Knox): O bloco impede a utilização de Bluetooth nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização de Bluetooth.
  • NFC (apenas Samsung Knox): O bloco desativa as operações que utilizam perto da comunicação de campo (NFC) em dispositivos que o suportam. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir operações nfc.
  • Wi-Fi (apenas Samsung Knox): O bloco impede a utilização de Wi-Fi nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização de Wi-Fi.
  • Tethering Wi-Fi (apenas Samsung Knox): O bloco impede a utilização de Wi-Fi amarração nos dispositivos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização de Wi-Fi amarras.

Modo de Local Público

As definições de modo de local público aplicam-se apenas a dispositivos Samsung Knox Standard e apenas a aplicações que gere com o Intune.

  • Adicione aplicações que pretende executar quando o dispositivo estiver em modo quiosque. No modo quiosque, apenas as aplicações que adiciona executado; apps não adicionadas não executar. Os navegadores pré-instalados não funcionam como uma aplicação quando o dispositivo está em modo quiosque. Se for necessário utilizar um browser, considere a utilização do Managed Browser.

    As opções da sua aplicação:

    • Adicione aplicativos por nome de pacote: Usado principalmente para aplicações de linha de negócio. Introduza o nome da aplicação e o nome do pacote de aplicação.
    • Adicionar aplicativos por URL: Introduza o nome da aplicação e o seu URL na loja Google Play.
    • Adicionar app de loja: Selecione uma aplicação da lista de aplicações existentes que gere no Intune.

  • Botão de sono do ecrã: O bloco previne ou esconde o botão de sono do ecrã. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir o botão de despertar do sono do ecrã nos dispositivos.

  • Botões de volume: O bloco impede os utilizadores de ajustar o volume desativando os botões de volume. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir a utilização dos botões de volume nos dispositivos.

Passos seguintes

Atribua o perfil e monitorize o respetivo estado.

Também pode criar perfis de quiosque para Android Enterprise e dispositivos Windows 10.