Políticas de caixa de correio do dispositivo móvel no Exchange Online
No Microsoft 365 ou Office 365, você pode criar políticas de caixa de correio de dispositivo móvel para aplicar um conjunto comum de políticas ou configurações de segurança a uma coleção de usuários. Uma política de caixa de correio de dispositivo móvel padrão é criada em todas as organizações do Microsoft 365 ou Office 365.
Visão geral de políticas de caixa de correio para dispositivos móveis
Você pode usar políticas de caixa de correio para dispositivos móveis para gerenciar várias configurações diferentes. Eles incluem:
- Exigir uma senha
- Especificar o comprimento mínimo da senha
- Permitir um PIN numérico ou exigir caracteres especiais na senha
- Determinar por quanto tempo um dispositivo pode ficar inativo antes de se exigir que o usuário digite uma senha novamente
- Apagar um dispositivo após um determinado número de falhas em tentativas de senha
Configurações e biometria de dispositivo móvel
Muitos dispositivos móveis dão suporte à biometria, como Apple Touch ID ou Face ID. As políticas de caixa de correio do dispositivo móvel do Exchange não controlam se a biometria pode ser usada em vez de digitar o PIN do dispositivo. As políticas da caixa de correio do dispositivo móvel podem ser configuradas para exigir um PIN de dispositivo, mas os usuários controlam se usam a biometria após cumprirem o requisito pin do dispositivo.
Os clientes que precisam de controle avançado sobre o uso da biometria devem considerar soluções de registro de dispositivo, como Microsoft Intune. Consulte Implantando as configurações de configuração do aplicativo do Outlook para iOS e Android para obter mais informações.
Configurações de senha do dispositivo móvel e Android
O Android 9.0 e versões anteriores utilizam a funcionalidade de administrador de dispositivo do Android para gerenciar as configurações de senha do dispositivo definidas em uma política de caixa de correio do dispositivo móvel.
Com o Android 10.0 e posterior, o Android removeu a funcionalidade de administrador do dispositivo. Em vez disso, aplicativos que exigem um bloqueio de tela consultam a complexidade de bloqueio de tela do dispositivo (ou do perfil de trabalho) usando a API getPasswordComplexity . Aplicativos que exigem um bloqueio de tela mais forte direcionam o usuário para as configurações de bloqueio de tela do sistema, permitindo que o usuário atualize as configurações de segurança para se tornar compatível. Em nenhum momento o aplicativo está ciente da senha do usuário; o aplicativo só está ciente do nível de complexidade da senha. O Android dá suporte aos quatro níveis de complexidade de senha a seguir:
| Nível de complexidade de senha | Requisitos de senha |
|---|---|
| Nenhum | Nenhum requisito de senha está configurado |
| Baixo | A senha pode ser um padrão ou um PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) |
| Médio | Senhas que atendem a um dos seguintes critérios:
|
| Alto | Senhas que atendem a um dos seguintes critérios:
|
Os níveis de complexidade de senha do Android são mapeados para as seguintes configurações de política de caixa de correio de dispositivo móvel do Exchange:
| Configuração da política de caixa de correio do dispositivo móvel | Nível de complexidade de senha do Android |
|---|---|
| Senha habilitada = false | Nenhum |
| Permitir senha simples = true Comprimento da senha < min 4 |
Baixo |
| Senha alfanumérica necessária = false Tamanho da >senha min = 4 Comprimento da < senha min 8 |
Médio |
| Senha alfanumérica necessária = true Comprimento da < senha min 6 |
Médio |
| Senha alfanumérica necessária = false Tamanho da >senha min = 8 |
Alto |
| Senha alfanumérica necessária = true Tamanho da >senha min = 6 |
Alto |
Configurações de política de caixa de correio do dispositivo móvel
A tabela a seguir resume as configurações que podem ser especificadas usando políticas de caixa de correio para dispositivos móveis.
Configurações da política da caixa de correio do dispositivo móvel:
| Setting | Descrição |
|---|---|
| Permitir Bluetooth | Esta configuração especifica se um dispositivo móvel permite conexões Bluetooth. As opções disponíveis são Disable, HandsfreeOnly e Allow. O valor padrão é Allow. |
| Permitir Navegador | Essa configuração especifica se o Pocket Internet Explorer é permitido no dispositivo móvel. Esta configuração não afeta navegadores de terceiros instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir Câmera | Esta configuração especifica se o dispositivo móvel da câmera pode ser utilizado. O valor padrão é $true. |
| Permitir Email do Consumidor | Esta configuração especifica se o usuário do dispositivo móvel pode configurar uma conta de email pessoal (POP3 ou IMAP4) no dispositivo móvel. O valor padrão é $true. Essa configuração não controla o acesso a contas de email que estão usando programas de email de dispositivo móvel de terceiros. |
| Permitir Sincronização da Área de Trabalho | Esta configuração especifica se o dispositivo móvel pode ser sincronizado com um computador através de um cabo, Bluetooth ou conexão IrDA. O valor padrão é $true. |
| Permitir Gerenciamento de Dispositivo Externo | Esta configuração especifica se um programa de gerenciamento de dispositivo externo tem permissão para gerenciar o dispositivo móvel. |
| Permitir Email em HTML | Esta configuração especifica se o email sincronizado com o dispositivo móvel pode estar no formato HTML. Se essa configuração estiver definida como $false, todo o email será convertido em texto sem formatação. |
| Permitir Compartilhamento da Internet | Esta configuração especifica se o dispositivo móvel pode ser utilizado como um modem para um desktop ou computador portátil. O valor padrão é $true. |
| AllowIrDA | Esta configuração especifica se as conexões infravermelho são permitidas para e do dispositivo móvel. |
| Permitir Atualização de OTA Móvel | Esta configuração especifica se as configurações de política de caixa de correio para dispositivos móveis podem ser enviadas ao dispositivo móvel por uma conexão de dados de celular. O valor padrão é true. |
| Permitir dispositivos não configurados | Essa configuração especifica se dispositivos móveis que podem não dar suporte ao aplicativo de todas as configurações de política podem se conectar a Office 365 usando Exchange ActiveSync. Permitir dispositivos móveis não provisionáveis tem implicações de segurança. Por exemplo, alguns dispositivos não provisionáveis podem não ser capazes de implementar os requisitos de senha de uma organização. |
| Permitir POPIMAPEmail | Esta configuração especifica se o usuário pode configurar uma conta de email POP3 ou IMAP4 no dispositivo móvel. O valor padrão é $true. Essa configuração não controla o acesso por programas de email de terceiros. |
| Permitir Área de Trabalho Remota | Esta configuração especifica se o dispositivo móvel pode iniciar uma conexão de área de trabalho remota. O valor padrão é $true. |
| Permitir senha simples | Esta configuração habilita ou desabilita a capacidade de utilizar senhas simples, como 1111 ou 1234. O valor padrão é $true. |
| Permitir negociação de algoritmo de criptografia S/MIME | Essa configuração especifica se o aplicativo de mensagens no dispositivo móvel pode negociar o algoritmo de criptografia se o certificado de um destinatário não for compatível com o algoritmo de criptografia especificado. |
| Permitir certificados de software S/MIME | Esta configuração especifica se certificados de software S/MIME são permitidos no dispositivo móvel. |
| Permitir cartão de armazenamento | Esta configuração especifica se o dispositivo móvel pode acessar informações armazenadas em um cartão de armazenamento. |
| Permitir mensagem de texto | Esta configuração especifica se mensagens de texto são permitidas a partir do dispositivo móvel. O valor padrão é $true. |
| Permitir aplicativos não assinados | Esta configuração especifica se aplicativos não assinados podem ser instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir pacotes de instalação não assinados | Esta configuração especifica se um pacote de instalação não assinado pode ser executado no dispositivo móvel. O valor padrão é $true. |
| Permitir Wi-Fi | Esta configuração especifica se o acesso à Internet sem fio é permitido no dispositivo móvel. O valor padrão é $true. |
| Senha alfanumérica necessária | Esta configuração exige que a senha contenha caracteres numéricos e não-numéricos. O valor padrão é $true. |
| Lista de aplicativos aprovados | Esta configuração armazena uma lista de aplicativos aprovados que podem ser executados no dispositivo móvel. |
| Anexos habilitados | Esta configuração permite que anexos sejam baixados para o dispositivo móvel. O valor padrão é $true. |
| Criptografia de dispositivo habilitada | Esta configuração permite criptografia no dispositivo móvel. Nem todos os dispositivos móveis podem aplicar criptografia. Para obter mais informações, consulte a documentação do sistema operacional do dispositivo e do dispositivo móvel. |
| Intervalo de atualização da política do dispositivo | Esta configuração especifica com que frequência a política de caixa de correio para dispositivos móveis é enviada do servidor para o dispositivo móvel. |
| IRM habilitado | Esta configuração especifica se o Gerenciamento de Direitos de Informação (IRM) está habilitado no dispositivo móvel. |
| Tamanho máximo do anexo | Esta configuração controla o tamanho máximo de anexos que podem ser baixados para o dispositivo móvel. O valor padrão é Unlimited. |
| Filtro de duração máxima do calendário | Esta configuração especifica o intervalo máximo de dias de calendário que podem ser sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: Todas TwoWeeks OneMonth ThreeMonths SixMonths |
| Filtro de duração máxima de email | Esta configuração especifica o número máximo de dias para que itens de email sejam sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: Todas OneDay ThreeDays OneWeek TwoWeeks OneMonth |
| Tamanho máximo para truncamento do corpo do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email são truncadas quando sincronizadas com o dispositivo móvel. O valor está em quilobytes (KB). |
| Tamanho máximo para truncamento do corpo em HTML do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email em HTML são truncadas quando sincronizadas com o dispositivo móvel. O valor está em quilobytes (KB). |
| Tempo de inatividade máximo para bloqueio | Este valor especifica o período em que o dispositivo móvel pode ficar inativo antes que a senha seja solicitada para reativá-lo. Insira qualquer intervalo entre 30 segundos e 1 hora. O valor padrão é 15 minutos. |
| Máximo de tentativas fracassadas de senha | Esta configuração especifica quantas tentativas um usuário pode fazer para inserir a senha correta do dispositivo móvel. É possível inserir qualquer número entre 4 e 16. O valor padrão é 8. |
| Mínimo de caracteres complexos na senha | Essa configuração especifica o número mínimo de caracteres complexos necessários na senha do dispositivo móvel. Um caractere complexo é um caractere que não é uma letra. |
| Tamanho mínimo da senha | Esta configuração especifica o número mínimo de caracteres da senha do dispositivo móvel. É possível digitar qualquer número entre 1 e 16. O valor padrão é 4. |
| Senha habilitada | Esta configuração habilita a senha do dispositivo móvel. |
| Expiração da senha | Esta configuração permite que o administrador configure um período após o qual uma senha de dispositivo móvel deve ser alterada. |
| Histórico da senha | Esta configuração especifica o número de senhas antigas que podem ser armazenadas em uma caixa de correio do usuário. Um usuário não pode reutilizar uma senha armazenada. |
| Recuperação de senha habilitada | Quando essa configuração está habilitada, o dispositivo móvel gera uma senha de recuperação que é enviada ao servidor. Se o usuário esquecer a senha do dispositivo móvel, a senha de recuperação poderá ser utilizada para destravar o dispositivo móvel e permitir que o usuário crie uma nova senha para ele. |
| Exigir Criptografia do Dispositivo | Esta configuração especifica se a criptografia do dispositivo é necessária. Se definido como $true, o dispositivo móvel deve ser capaz de dar suporte e implementar a criptografia para sincronizar com o servidor. |
| Exigir mensagens S/MIME criptografadas | Esta configuração especifica se as mensagens S/MIME devem ser criptografadas. O valor padrão é $false. |
| Exigir algoritmo de criptografia S/MIME | Esta configuração especifica qual algoritmo obrigatório deve ser usado ao criptografar mensagens S/MIME. |
| Exigir sincronização manual durante o roaming | Esta configuração especifica se o dispositivo móvel deve ser sincronizado manualmente enquanto estiver em roaming. Permitir sincronização automática em roaming frequentemente leva a custos de dados maiores que os esperados para o plano de dados do dispositivo móvel. |
| Exigir algoritmo S/MIME assinado | Esta configuração especifica qual algoritmo obrigatório deve ser usado ao assinar uma mensagem. |
| Exigir mensagens S/MIME assinadas | Esta configuração especifica se o dispositivo móvel deve enviar mensagens S/MIME assinadas. |
| Exigir criptografia do cartão de armazenamento | Esta configuração especifica se o cartão de armazenamento deve ser criptografado. Nem todos os sistemas operacionais dos dispositivos móveis suportam criptografia de cartão de repositório. Para obter mais informações, consulte a documentação do dispositivo móvel e do sistema operacional do dispositivo. |
| Lista de aplicativos InROM não aprovados | Esta configuração especifica uma lista de aplicativos que não podem ser executados em ROM. |
Gerenciando políticas de caixa de correio de dispositivo móvel
As políticas da caixa de correio do dispositivo móvel podem ser criadas, modificadas ou excluídas no Centro de Administração do Exchange (EAC) ou Exchange Online PowerShell. Se você criar uma política no EAC, poderá definir apenas um subconjunto das configurações disponíveis. Você pode configurar o restante das configurações usando Exchange Online PowerShell.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 15 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte o recurso "Dispositivos móveis" nas permissões de recurso no tópico Exchange Online.
Para abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online. Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado para o centro de administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Online.
Criar uma nova política de caixa de correio de dispositivo móvel
Usar o EAC para criar uma nova política de caixa de correio de dispositivo móvel
Observação
Você só pode definir um subconjunto de configurações de política de caixa de correio do dispositivo móvel no EAC. Para definir todas as configurações de política da caixa de correio do dispositivo móvel, você precisa usar o Exchange Online PowerShell.
No EAC, clique emPolíticas de Caixa de Correio do Dispositivo Móvel Móvel> e clique em Adicionar
.Use as várias caixas de seleção e listas suspensas para configurar as configurações da política de caixa de correio do dispositivo móvel.
Aviso
Selecione Essa é a política padrão para tornar a nova política de caixa de correio móvel a política de caixa de correio móvel padrão. Depois de fazer uma política de caixa de correio móvel a política padrão, todos os novos usuários receberão essa política automaticamente quando forem criados.
Clique em Salvar.
Use o Exchange Online PowerShell para criar uma nova política de caixa de correio do dispositivo móvel
Você cria uma nova política de caixa de correio de dispositivo móvel usando o cmdlet New-MobileDeviceMailboxPolicy .
No Exchange Online PowerShell, execute o comando a seguir.
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Como saber se funcionou?
Para verificar se você criou com êxito uma política de caixa de correio de dispositivo móvel, use uma das seguintes opções:
No EAC, clique emPolíticas de caixa de correio dispositivo móvel móvel> e verifique se sua nova política está exibida na exibição Lista.
No Exchange Online PowerShell, execute o comando a seguir.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obter mais informações sobre esse cmdlet, consulte Get-MobileDeviceMailboxPolicy.
Usar o EAC para editar uma política de caixa de correio do dispositivo móvel
Observação
Você só pode editar um subconjunto de configurações de política de caixa de correio do dispositivo móvel no EAC. Para editar todas as configurações de política da caixa de correio do dispositivo móvel, você precisa usar o Exchange Online PowerShell.
No EAC, clique emPolíticas de Caixa de Correio do Dispositivo Móvel Móvel>.
Selecione uma política na exibição Lista e clique em Editar
.Use as guias Geral e Segurança para editar as configurações da política de caixa de correio do dispositivo móvel.
Clique em Salvar para atualizar a política.
Use o Exchange Online PowerShell para editar as configurações de política de caixa de correio do dispositivo móvel
Você edita uma política de caixa de correio de dispositivo móvel usando o cmdlet Set-MobileDeviceMailboxPolicy .
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Como saber se funcionou?
Para verificar se você editou com êxito uma política de caixa de correio do dispositivo móvel, faça um dos seguintes procedimentos:
No EAC, clique emPolítica de Caixa de Correio do Dispositivo Móvel Móvel> e escolha uma política específica. No painel Detalhes, você verá várias configurações de política listadas.
No Shell, execute o comando a seguir.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obter mais informações sobre esse cmdlet, consulte Get-MobileDeviceMailboxPolicy.