Configurações da política de proteção de aplicativos Android no Microsoft Intune
Este artigo descreve as configurações da política de proteção de aplicativo para dispositivos Android. As configurações de política descritas podem ser configuradas para uma política de proteção de aplicativo no painel Configurações no portal. Há três categorias de configurações de política: configurações de proteção de dados, requisitos de acesso e lançamento condicional. Neste artigo, o termo aplicativos gerenciados por política refere-se a aplicativos configurados com políticas de proteção de aplicativo.
Importante
O Portal da Empresa do Intune é necessário no dispositivo para receber Políticas de Proteção de Aplicativo para dispositivos Android.
O Intune Managed Browser foi desativado. Use o Microsoft Edge para obter uma experiência de navegação protegida no Intune.
Proteção de dados
Transferência de dados
| Setting | Como usar | Valor padrão |
|---|---|---|
| Backup de dados da organização para serviços de backup do Android | Selecione Bloquear para impedir que esse aplicativo faça backup de dados escolares ou de trabalho para o Serviço de Backup do Android. Selecione Permitir permitir que este aplicativo faça backup de dados de trabalho ou de estudante. |
Permitir |
| Enviar dados da organização para outros aplicativos | Especifique quais aplicativos podem receber dados desse aplicativo:
Há algumas isenções de aplicativos e serviços para os quais o Intune pode permitir transferência de dados por padrão. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Para obter mais informações, confira Isenções de transferência de dados. Essa política também pode se aplicar aos Links de Aplicativo Android. Links gerais da Web são gerenciados pela configuração de política Abrir links de aplicativo no Intune Managed Browser. Observação Intune atualmente não dá suporte ao recurso Aplicativos Instantâneos do Android. Intune bloqueará qualquer conexão de dados de ou para o aplicativo. Para obter mais informações, confira Aplicativos Instantâneos do Android na documentação do Desenvolvedor do Android. Se Enviar dados da organização para outros aplicativos estiver configurado para Todos os aplicativos, os dados de texto ainda poderão ser transferidos por meio do compartilhamento do sistema operacional para a área de transferência. |
Todos os aplicativos |
|
Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior. | |
|
Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados. Observação:
|
Permitir |
|
Os usuários podem salvar nos serviços selecionados (OneDrive for Business, SharePoint, Biblioteca de Fotos, Caixa e Armazenamento Local). Todos os outros serviços serão bloqueados. | 0 selecionado |
|
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas:
|
Qualquer aplicativo discador |
|
Quando um aplicativo de diálogo específico tiver sido selecionado, você deverá fornecer a ID do pacote do aplicativo. | Blank |
|
Quando um aplicativo de diálogo específico tiver sido selecionado, você deverá fornecer o nome do aplicativo de diálogo. | Blank |
|
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas:
|
Qualquer aplicativo de mensagens |
|
Quando um aplicativo de mensagens específico foi selecionado, você deve fornecer a ID do pacote de aplicativo. | Blank |
|
Quando um aplicativo de mensagens específico foi selecionado, você deve fornecer o nome do aplicativo de mensagens. | Blank |
| Receber dados de outros aplicativos | Especifique quais aplicativos podem transferir dados para esse aplicativo:
Há alguns aplicativos e serviços isentos dos quais Intune podem permitir a transferência de dados. Consulte Isenções de transferência de dados para obter uma lista completa de aplicativos e serviços. |
Todos os aplicativos |
|
Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir. Quando definido como Bloquear, você pode configurar o Permitir que o usuário abra dados de serviços selecionados para especificar quais serviços são permitidos para os locais de dados da organização. Observação:
|
Permitir |
|
Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. A seleção de nenhum serviço impedirá que os usuários abram dados. Serviços com suporte:
|
Todos selecionados |
| Restringir recortar, copiar e colar com outros aplicativos | Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Escolha entre:
|
Qualquer aplicativo |
|
Especifique o número de caracteres que podem ser cortados ou copiados de dados e contas da organização. Isso permitirá o compartilhamento do número especificado de caracteres quando ele será bloqueado pela configuração "Restringir corte, cópia e colar com outros aplicativos". Valor padrão = 0 Observação: requer Portal da Empresa do Intune versão 5.0.4364.0 ou posterior. |
0 |
| Captura de tela e Google Assistente | Selecione Bloquear para bloquear a captura de tela e bloquear o Google Assistente acessando dados da organização no dispositivo ao usar este aplicativo. Escolher Bloco também desfocará a imagem de visualização do comutador de aplicativo ao usar este aplicativo com uma conta corporativa ou de estudante. Observação: o Google Assistente pode estar acessível aos usuários para cenários que não acessam dados da organização. |
Bloquear |
| Teclados aprovados | Selecione Exigir e especifique uma lista de teclados aprovados para essa política. Os usuários que não estão usando um teclado aprovado recebem um prompt para baixar e instalar um teclado aprovado antes de poderem usar o aplicativo protegido. Essa configuração exige que o aplicativo tenha o SDK Intune para Android versão 6.2.0 ou posterior. |
Não obrigatório |
|
Essa opção está disponível quando você seleciona Exigir para a opção anterior. Escolha Selecionar para gerenciar a lista de teclados e métodos de entrada que podem ser usados com aplicativos protegidos por essa política. Você pode adicionar teclados adicionais à lista e remover qualquer uma das opções padrão. Você deve ter pelo menos um teclado aprovado para salvar a configuração. Com o tempo, a Microsoft pode adicionar teclados adicionais à lista de novas Políticas de Proteção de Aplicativo, o que exigirá que os administradores examinem e atualizem as políticas existentes conforme necessário. Para adicionar um teclado, especifique:
Nota: Um usuário atribuído a várias Políticas de Proteção de Aplicativo poderá usar apenas os teclados aprovados comuns a todas as políticas. |
Criptografia
| Setting | Como usar | Valor padrão |
|---|---|---|
| Criptografar dados da organização | Escolha Exigir para habilitar a criptografia de dados de trabalho ou de estudante neste aplicativo. Intune usa um esquema de criptografia AES wolfSSL, de 256 bits, juntamente com o sistema Android Keystore para criptografar com segurança os dados do aplicativo. Os dados são criptografados de forma síncrona durante as tarefas de E/S do arquivo. O conteúdo no armazenamento do dispositivo é sempre criptografado e só pode ser aberto por aplicativos que dão suporte às políticas de proteção de aplicativo do Intune e têm a política atribuída. Novos arquivos serão criptografados com chaves de 256 bits. Os arquivos criptografados existentes de 128 bits passarão por uma tentativa de migração para chaves de 256 bits, mas o processo não está garantido. Os arquivos criptografados com chaves de 128 bits permanecerão legíveis. O método de criptografia é validado fips 140-2; para obter mais informações, consulte wolfCrypt FIPS 140-2 e FIPS 140-3. |
Exigir |
|
Selecione Exigir para impor a criptografia de dados da organização com Intune criptografia de camada de aplicativo em todos os dispositivos. Selecione Não é necessário não impor a criptografia de dados da organização com Intune criptografia de camada de aplicativo em dispositivos registrados. | Exigir |
Funcionalidade
| Setting | Como usar | Valor padrão |
|---|---|---|
| Sincronizar dados do aplicativo gerenciado por política com suplementos ou aplicativos nativos | Escolha Bloquear para impedir que aplicativos gerenciados por política salvem dados nos aplicativos nativos do dispositivo (Contatos, Calendário e widgets) e para impedir o uso de suplementos dentro dos aplicativos gerenciados pela política. Se não houver suporte do aplicativo, será permitido salvar dados em aplicativos nativos e usar suplementos. Se você escolher Permitir, o aplicativo gerenciado por política poderá salvar dados nos aplicativos nativos ou usar suplementos, se esses recursos forem compatíveis e habilitados no aplicativo gerenciado por política. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de sincronização de dados para aplicativos nativos específicos ou não honrar esse controle. Observação: quando você executa um apagamento seletivo para remover dados de trabalho ou de escola do aplicativo, os dados sincronizados diretamente do aplicativo gerenciado por política para o aplicativo nativo são removidos. Todos os dados sincronizados do aplicativo nativo para outra fonte externa não serão apagados. Observação: os seguintes aplicativos dão suporte a este recurso:
|
Permitir |
| Imprimindo dados da organização | Escolha Bloquear para impedir que o aplicativo imprima dados escolares ou de trabalho. Se você mantiver essa configuração como Permitir, o valor padrão, os usuários poderão exportar e imprimir todos os dados da Organização. | Permitir |
| Restringir a transferência de conteúdo Web com outros aplicativos | Especifique como o conteúdo da Web (links http/https) é aberto de aplicativos gerenciados por política. Escolha entre:
Navegadores gerenciados por políticas No Android, seus usuários finais podem escolher entre outros aplicativos gerenciados por políticas que dão suporte a links http/https se nem Intune Managed Browser nem o Microsoft Edge estiver instalado. Se um navegador gerenciado por política for obrigatório, mas não estiver instalado, os usuários finais precisarão instalar o Microsoft Edge. Se um navegador gerenciado por políticas for necessário, os Links de Aplicativo Android serão gerenciados pelo aplicativo Permitir que os dados sejam transferidos para outras configurações de política de aplicativos. Registro do dispositivo do Intune Microsoft Edge gerenciado por política |
Não configurado |
|
Insira a ID do aplicativo para um único navegador. O conteúdo da Web (links http/https) de aplicativos gerenciados por políticas será aberto no navegador especificado. O conteúdo da Web não será gerenciado no navegador de destino. | Blank |
|
Insira o nome do aplicativo para navegador associado à ID do Navegador Não Gerenciado. Esse nome será exibido aos usuários se o navegador especificado não estiver instalado. | Blank |
| Notificações de dados da organização | Especifique quantos dados da organização são compartilhados por meio de notificações do sistema operacional para contas da organização. Essa configuração de política afetará o dispositivo local e todos os dispositivos conectados, como dispositivos vestíveis e alto-falantes inteligentes. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de notificação ou podem optar por não respeitar todos os valores. Selecione:
Observação: essa configuração requer suporte ao aplicativo: |
Permitir |
Isenções de transferência de dados
Há alguns aplicativos isentos e serviços de plataforma que Intune políticas de proteção de aplicativo permitem a transferência de dados de e para. Por exemplo, todos os aplicativos gerenciados por Intune no Android devem ser capazes de transferir dados de e para a fala do Google, para que o texto da tela do dispositivo móvel possa ser lido em voz alta. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.
Isenções completas
Esses aplicativos e serviços são totalmente permitidos para transferência de dados de e para aplicativos gerenciados por Intune.
| Nome do aplicativo/serviço | Descrição |
|---|---|
| com.android.phone | Aplicativo de telefone nativo |
| com.android.vending | Google Play Store |
| com.google.android.webview | WebView, que é necessário para muitos aplicativos, incluindo o Outlook. |
| com.android.webview | Webview, que é necessário para muitos aplicativos, incluindo o Outlook. |
| com.google.android.tts | Google Text-to-speech |
| com.android.providers.settings | Configurações do sistema Android |
| com.android.settings | Configurações do sistema Android |
| com.azure.authenticator | Aplicativo Azure Authenticator, que é necessário para autenticação bem-sucedida em muitos cenários. |
| com.microsoft.windowsintune.companyportal | Portal da Empresa do Intune |
Isenções condicionais
Esses aplicativos e serviços só são permitidos para transferência de dados de e para aplicativos gerenciados por Intune em determinadas condições.
| Nome do aplicativo/serviço | Descrição | Condição de isenção |
|---|---|---|
| com.android.chrome | Navegador Google Chrome | O Chrome é usado para alguns componentes do WebView no Android 7.0+ e nunca é oculto do modo de exibição. O fluxo de dados de e para o aplicativo, no entanto, é sempre restrito. |
| com.skype.raider | Skype | O aplicativo Skype é permitido apenas para determinadas ações que resultam em um telefonema. |
| com.android.providers.media | Provedor de conteúdo de mídia Android | O provedor de conteúdo de mídia permitido apenas para a ação de seleção de toque. |
| com.google.android.gms; com.google.android.gsf | Pacotes do Google Play Services | Esses pacotes são permitidos para ações do Google Cloud Messaging, como notificações por push. |
| com.google.android.apps.maps | Google Mapas | Endereços são permitidos para navegação. |
| com.android.documentsui | Seletor de Documentos do Android | Permitido ao abrir ou criar um arquivo. |
| com.google.android.documentsui | Seletor de Documentos do Android (Android 10+) | Permitido ao abrir ou criar um arquivo. |
Para obter mais informações, confira Exceções de política de transferência de dados para aplicativos.
Requisitos de acesso
| Setting | Como usar |
|---|---|
| PIN para acesso | Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante. Valor padrão = Exigir Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso. Nota: Os usuários finais que têm permissão para acessar o aplicativo podem redefinir o PIN do aplicativo. Essa configuração pode não estar visível em alguns casos em dispositivos Android. Os dispositivos Android têm uma limitação máxima de quatro atalhos disponíveis. Quando o máximo for atingido, o usuário final deve remover atalhos personalizados (ou acessar o atalho de uma exibição de aplicativo gerenciado diferente) para exibir o atalho DE PIN do APLICATIVO de redefinição. Como alternativa, o usuário final pode fixar o atalho em sua página inicial. |
Tipo de PIN |
Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial. Valor padrão = Numérico Nota: Os caracteres especiais permitidos incluem os caracteres e símbolos especiais no teclado de inglês android. |
|
Selecione Permitir permitir que os usuários usem sequências de PIN simples como 1234, 1111, abcd ou aaaa. Selecione Blocos para impedir que eles usem sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Block estiver configurado, 1235 ou 1112 não serão aceitos como PIN definidos pelo usuário final, mas 1122 seriam permitidos. Valor padrão = Permitir Nota: Se o PIN do tipo de senha estiver configurado e o PIN Simples estiver definido como Permitir, o usuário precisará de pelo menos uma letra ou pelo menos um caractere especial em seu PIN. Se o PIN do tipo senha estiver configurado e o PIN Simples estiver definido como Bloquear, o usuário precisará de pelo menos uma letra e um número e pelo menos um caractere especial em seu PIN. |
|
Especifique o número mínimo de dígitos em uma sequência de PIN. Valor padrão = 4 |
|
Selecione Permitir permitir que o usuário use a biometria para autenticar usuários em dispositivos Android. Se permitido, a biometria será usada para acessar o aplicativo em dispositivos Android 10 ou superiores. |
|
Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade. Valor padrão = Exigir |
|
Especifique um tempo em minutos após o qual um PIN de senha ou numérico (conforme configurado) substituirá o uso de uma biometria. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)". Valor padrão = 30 |
|
Selecione Exigir para exigir que o usuário entre com a biometria da classe 3. Para obter mais informações sobre a biometria da classe 3, confira Biometria na documentação do Google. |
|
Selecione Exigir para substituir o uso da biometria com PIN quando uma alteração na biometria for detectada. NOTA: |
|
Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias. Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária. Valor padrão = Não |
|
Configure o número de dias antes que a redefinição do PIN seja necessária. Valor padrão = 90 |
|
Essa configuração especifica o número de PINs anteriores que Intune manterá. Qualquer novo PINs deve ser diferente daqueles que Intune está mantendo. Valor padrão = 0 |
|
Selecione Não é necessário desabilitar o PIN do aplicativo quando um bloqueio de dispositivo for detectado em um dispositivo registrado com Portal da Empresa configurado. Valor padrão = Exigir. |
| Credenciais de conta corporativa ou de estudante para acesso | Escolha Exigir que o usuário entre com sua conta corporativa ou escolar em vez de inserir um PIN para acesso ao aplicativo. Quando definido como Obrigatório, e os prompts de PIN ou biométrico são ativados, as credenciais corporativas e os prompts de PIN ou biométrico são mostrados. Valor padrão = Não necessário |
| Verificar novamente os requisitos de acesso após (minutos de inatividade) | Configure a seguinte configuração:
|
Observação
Para saber mais sobre como várias Intune configurações de proteção de aplicativo configuradas na seção Access para o mesmo conjunto de aplicativos e usuários funcionam no Android, consulte Intune MAM frequentemente faz perguntas e apaga dados seletivamente usando ações de acesso à política de proteção de aplicativo em Intune.
Inicialização condicional
Configure configurações de inicialização condicional para definir os requisitos de segurança de entrada para sua política de proteção de aplicativo.
Por padrão, várias configurações são fornecidas com ações e valores previamente configurados. Você pode excluir algumas configurações, como a versão do Sistema Operacional Min. Você também pode selecionar configurações adicionais na lista suspensa Selecionar um.
Condições do aplicativo
| Setting | Como usar |
|---|---|
| Máximo de tentativas de PIN | Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o usuário não inserir com êxito seu PIN após as tentativas máximas de PIN, o usuário deverá redefinir seu pino depois de fazer logon com êxito em sua conta e concluir um desafio MFA (Autenticação Multifator), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo. Ações incluem:
|
| Período de cortesia offline | O número de minutos que os aplicativos gerenciados podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Ações incluem:
|
| Versão mínima do aplicativo | Especifique um valor para o valor mínimo da versão do aplicativo. Ações incluem:
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente. Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision. Além disso, configure em que local os usuários finais podem obter uma versão atualizada de um aplicativo LOB (linha de negócios). Os usuários finais verão isso na caixa de diálogo de inicialização condicional Versão mínima do aplicativo, que solicitará que os usuários finais façam a atualização para uma versão mínima do aplicativo LOB. No Android, esse recurso usa o Portal da Empresa. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define de qual repositório o usuário final baixará o aplicativo. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa. |
| Conta desabilitada | Não há valor a ser definido para essa configuração. Ações incluem:
|
Condições do dispositivo
| Setting | Como usar |
|---|---|
| Dispositivos com jailbreak/desbloqueados por rooting | Especifique se deve bloquear o acesso ao dispositivo ou apagar os dados do dispositivo para dispositivos jailbroken/root. Ações incluem:
|
| Versão mínima do sistema operacional | Especifique um sistema operacional Android mínimo necessário para usar este aplicativo. As versões do sistema operacional abaixo da versão especificada do Min OS dispararão as ações. Ações incluem:
|
| Versão máxima do sistema operacional | Especifique um sistema operacional Android máximo necessário para usar este aplicativo. As versões do sistema operacional abaixo da versão especificada do Sistema Operacional Máximo dispararão as ações. Ações incluem:
|
| Versão do patch min | Exigir que os dispositivos tenham um patch de segurança mínimo do Android lançado pelo Google.
|
| Fabricantes de dispositivos | Especifique uma lista separada de ponto e vírgula dos fabricantes. Esses valores não diferenciam maiúsculas de minúsculas. Ações incluem:
|
| Jogar veredicto de integridade | Proteção de aplicativos políticas dão suporte a algumas APIs de Integridade do Google Play. Essa configuração, em particular, configura o Play Integrity do Google marcar em dispositivos de usuário final para validar a integridade desses dispositivos. Especifique integridade básica ou integridade básica e integridade do dispositivo. A integridade básica informa sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. Integridade básica & dispositivos certificados informa sobre a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. Se você selecionar o veredicto de integridade do Jogo conforme necessário para o lançamento condicional, poderá especificar que um marcar de integridade forte será usado como o tipo de avaliação. A presença de uma integridade forte marcar como o tipo de avaliação indicará maior integridade de um dispositivo. Dispositivos que não dão suporte a verificações de integridade fortes serão bloqueados pela política MAM se forem direcionados a essa configuração. A integridade forte marcar fornece uma detecção raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detectados de forma confiável por uma solução somente de software. No APP, o atestado de hardware será habilitado definindo o tipo de avaliação de veredicto de integridade do Play para Verificar a integridade forte quando o veredicto de integridade do Play estiver configurado e o tipo de avaliação SafetyNet necessário para uma integridade forte marcar quando a integridade do dispositivo marcar estiver configurada. O atestado com suporte em hardware aproveita um componente baseado em hardware que é enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala. Importante: Dispositivos que não dão suporte a esse tipo de avaliação serão bloqueados ou apagados com base na ação integridade do dispositivo marcar. As organizações que gostariam de usar essa funcionalidade precisarão garantir que os usuários tenham dispositivos com suporte. Para obter mais informações sobre os dispositivos recomendados do Google, consulte Requisitos recomendados pelo Android Enterprise. Ações incluem:
|
| Exigir verificação de ameaças em aplicativos | Proteção de aplicativos políticas dão suporte a algumas das APIs do Google Play Protect. Essa configuração, em particular, garante que a verificação de Aplicativos de Verificação do Google esteja ativada para dispositivos de usuário final. Se configurado, o usuário final terá o acesso bloqueado até que ative a verificação de aplicativos do Google em seu dispositivo Android. Ações incluem:
|
| Tipo de avaliação safetynet necessário | O atestado com suporte em hardware aprimora o marcar de serviço de atestado safetynet existente. Você pode definir o valor como chave com suporte em hardware depois de definir o atestado de dispositivo SafteyNet. |
| Exigir bloqueio de dispositivo | Essa configuração determina se o dispositivo Android tem um PIN de dispositivo que atende ao requisito mínimo de senha. A política de Proteção de aplicativos pode agir se o bloqueio do dispositivo não atender ao requisito mínimo de senha. Os valores incluem:
Esse valor de complexidade é direcionado ao Android 12+. Para dispositivos que operam no Android 11 e anteriores, definir um valor de complexidade de baixa, média ou alta será padrão para o comportamento esperado para Baixa Complexidade. Para obter mais informações, consulte a documentação do desenvolvedor do Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH. Ações incluem:
|
| Min Portal da Empresa versão | Usando a versão min Portal da Empresa, você pode especificar uma versão definida mínima específica do Portal da Empresa imposta em um dispositivo de usuário final. Essa configuração de inicialização condicional permite que você defina valores como Bloquear acesso, Apagar dados e Avisar como ações possíveis quando cada valor não for atendido. Os formatos possíveis para esse valor seguem o padrão [Major].[ Menor], [Major].[ Menor]. [Build], ou [Major].[ Menor]. [Build]. [Revisão]. Dado que alguns usuários finais podem não preferir uma atualização forçada de aplicativos no local, a opção "avisar" pode ser ideal ao configurar essa configuração. A Google Play Store faz um bom trabalho apenas enviando os bytes delta para atualizações de aplicativo, mas isso ainda pode ser uma grande quantidade de dados que o usuário pode não querer utilizar se estiver em dados no momento da atualização. Forçar uma atualização e, assim, baixar um aplicativo atualizado pode resultar em cobranças inesperadas de dados no momento da atualização. Para obter mais informações, confira Configurações de política do Android. |
| Idade máxima da versão Portal da Empresa (dias) | Você pode definir um número máximo de dias como a idade da versão do Portal da Empresa (CP) para dispositivos Android. Essa configuração garante que os usuários finais estejam dentro de um determinado intervalo de versões de CP (em dias). O valor deve estar entre 0 e 365 dias. Quando a configuração para os dispositivos não é atendida, a ação para essa configuração é disparada. As ações incluem Acesso de blocos, apagar dados ou Avisar. Para obter informações relacionadas, consulte Configurações de política do Android. Nota: A idade do build Portal da Empresa é determinada pelo Google Play no dispositivo de usuário final. |
| Atestado de dispositivo Samsung Knox | Especifique se o marcar de atestado do dispositivo Samsung Knox é necessário. Somente dispositivos não modificados verificados pela Samsung podem passar esse marcar. Para obter a lista de dispositivos com suporte, consulte samsungknox.com. Usando essa configuração, Microsoft Intune também verificará se a comunicação do Portal da Empresa para o Serviço de Intune foi enviada de um dispositivo íntegro. Ações incluem:
Nota: O usuário deve aceitar os termos do Samsung Knox antes que o atestado do dispositivo marcar possa ser executado. Se o usuário não aceitar os termos do Samsung Knox, a ação especificada ocorrerá. Nota: Essa configuração se aplicará a todos os dispositivos direcionados. Para aplicar essa configuração apenas a dispositivos Samsung, você pode usar filtros de atribuição "Aplicativos gerenciados". Para obter mais informações sobre filtros de atribuição, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis em Microsoft Intune. |
| Nível máximo permitido de ameaça ao dispositivo | As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD. Ações incluem:
|
| Serviço MTD primário | Se você tiver configurado vários conectores Intune-MTD, especifique o aplicativo de fornecedor MTD primário que deve ser usado no dispositivo de usuário final. Os valores incluem:
Você deve configurar a configuração "Máximo nível de ameaça de dispositivo permitido" para usar essa configuração. Não há ações para essa configuração. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de