Compartilhar via


Configurações da política de proteção de aplicativos Android no Microsoft Intune

Este artigo descreve as configurações da política de proteção de aplicativo para dispositivos Android. As configurações de política descritas podem ser configuradas para uma política de proteção de aplicativo no painel Configurações no portal. Há três categorias de configurações de política: configurações de proteção de dados, requisitos de acesso e lançamento condicional. Neste artigo, o termo aplicativos gerenciados por política refere-se a aplicativos configurados com políticas de proteção de aplicativo.

Importante

O Portal da Empresa do Intune é necessário no dispositivo para receber Políticas de Proteção de Aplicativo para dispositivos Android.

O Intune Managed Browser foi desativado. Use o Microsoft Edge para obter uma experiência de navegação protegida no Intune.

Proteção de dados

Transferência de dados

Setting Como usar Valor padrão
Backup de dados da organização para serviços de backup do Android Selecione Bloquear para impedir que esse aplicativo faça backup de dados escolares ou de trabalho para o Serviço de Backup do Android.

Selecione Permitir permitir que este aplicativo faça backup de dados de trabalho ou de estudante.
Permitir
Enviar dados da organização para outros aplicativos Especifique quais aplicativos podem receber dados desse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas para outros aplicativos gerenciados por política.
  • Todos os aplicativos: permitir a transferência para qualquer aplicativo.
  • Nenhum: não permita a transferência de dados para nenhum aplicativo, incluindo outros aplicativos gerenciados por políticas.

Há algumas isenções de aplicativos e serviços para os quais o Intune pode permitir transferência de dados por padrão. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Para obter mais informações, confira Isenções de transferência de dados.

Essa política também pode se aplicar aos Links de Aplicativo Android. Links gerais da Web são gerenciados pela configuração de política Abrir links de aplicativo no Intune Managed Browser.

Observação

Intune atualmente não dá suporte ao recurso Aplicativos Instantâneos do Android. Intune bloqueará qualquer conexão de dados de ou para o aplicativo. Para obter mais informações, confira Aplicativos Instantâneos do Android na documentação do Desenvolvedor do Android.

Se Enviar dados da organização para outros aplicativos estiver configurado para Todos os aplicativos, os dados de texto ainda poderão ser transferidos por meio do compartilhamento do sistema operacional para a área de transferência.

Todos os aplicativos
    Selecionar aplicativos para isentar
Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior.
    Salvar cópias de dados da organização
Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados.

Observação:
  • Essa configuração tem suporte para Microsoft Excel, OneNote, PowerPoint, Word e Edge. Ele também pode ter suporte por aplicativos de terceiros e LOB.
  • Essa configuração só é configurável quando a configuração Enviar dados da organização para outros aplicativos é definida como Política de aplicativos gerenciados.
  • Essa configuração será "Permitir" quando Enviar dados da organização para outros aplicativos estiver definido como Todos os aplicativos.
  • Essa configuração será "Bloquear" sem locais de serviço permitidos quando a configuração Enviar dados da organização para outros aplicativos estiver definida como Nenhum.
  • Essa configuração salvará arquivos conforme criptografado se os dados da organização Criptografar estiverem definidos como Obrigatórios.
Permitir
      Permitir que o usuário salve uma cópia para serviços selecionados
Os usuários podem salvar nos serviços selecionados (OneDrive for Business, SharePoint, Biblioteca de Fotos, Caixa e Armazenamento Local). Todos os outros serviços serão bloqueados. 0 selecionado
    Transferir dados de telecomunicações para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas:
  • Nenhum, não transfira esses dados entre aplicativos: não transfira dados de comunicação quando um número de telefone é detectado.
  • Um aplicativo discador específico: Permita que um aplicativo discador específico inicie o contato quando um número de telefone for detectado.
  • Qualquer aplicativo de diálogo gerenciado por políticas: permita que qualquer aplicativo de diálogo gerenciado por política inicie contato quando um número de telefone for detectado.
  • Qualquer aplicativo discador: Permita que qualquer aplicativo discador seja usado para iniciar o contato quando um número de telefone for detectado.
Qualquer aplicativo discador
      ID do Pacote do Aplicativo Dialer
Quando um aplicativo de diálogo específico tiver sido selecionado, você deverá fornecer a ID do pacote do aplicativo. Blank
      Nome do aplicativo Dialer
Quando um aplicativo de diálogo específico tiver sido selecionado, você deverá fornecer o nome do aplicativo de diálogo. Blank
    Transferir dados de mensagens para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas. Para essa configuração, escolha como lidar com esse tipo de transferência de conteúdo quando ele for iniciado em um aplicativo gerenciado por políticas:
  • Nenhum, não transfira esses dados entre aplicativos: não transfira dados de comunicação quando um número de telefone é detectado.
  • Um aplicativo de mensagens específico: permitir que um aplicativo de mensagens específico seja usado para iniciar contato quando um número de telefone for detectado.
  • Qualquer aplicativo de mensagens gerenciado por políticas: permitir que qualquer aplicativo de mensagens gerenciado por políticas seja usado para iniciar contato quando um número de telefone for detectado.
  • Qualquer aplicativo de mensagens: permita que qualquer aplicativo de mensagens seja usado para iniciar contato quando um número de telefone for detectado.
Qualquer aplicativo de mensagens
      ID do pacote do aplicativo de mensagens
Quando um aplicativo de mensagens específico foi selecionado, você deve fornecer a ID do pacote de aplicativo. Blank
      Nome do aplicativo de mensagens
Quando um aplicativo de mensagens específico foi selecionado, você deve fornecer o nome do aplicativo de mensagens. Blank
Receber dados de outros aplicativos Especifique quais aplicativos podem transferir dados para esse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas de outros aplicativos gerenciados por política.
  • Todos os aplicativos: permitir a transferência de dados de qualquer aplicativo.
  • Nenhum: não permita a transferência de dados de nenhum aplicativo, incluindo outros aplicativos gerenciados por políticas.

Há alguns aplicativos e serviços isentos dos quais Intune podem permitir a transferência de dados. Consulte Isenções de transferência de dados para obter uma lista completa de aplicativos e serviços.

Todos os aplicativos
    Abrir dados em documentos da organização
Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir.

Quando definido como Bloquear, você pode configurar o Permitir que o usuário abra dados de serviços selecionados para especificar quais serviços são permitidos para os locais de dados da organização.

Observação:
  • Esta configuração pode ser definida somente quando a opção Receber dados de outros aplicativos estiver definida como Aplicativos gerenciados por política.
  • Essa configuração será "Permitir" quando a configuração Receber dados de outros aplicativos estiver definida como Todos os aplicativos.
  • Esta configuração será "Bloquear" sem locais de serviço permitidos quando a opção Receber dados de outros aplicativos estiver definida como Nenhum.
  • Os seguintes aplicativos dão suporte a essa configuração:
    • OneDrive 6.14.1 ou posterior.
    • Outlook para Android 4.2039.2 ou posterior.
    • Teams para Android 1416/1.0.0.2021173701 ou posterior.


Permitir
      Permitir que os usuários abram dados dos serviços selecionados
Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. A seleção de nenhum serviço impedirá que os usuários abram dados.

Serviços com suporte:
  • OneDrive for Business
  • SharePoint Online
  • Câmera
  • Biblioteca de Fotos
Nota: A câmera não inclui acesso a Fotos ou Galeria de Fotos. Ao selecionar a Biblioteca de Fotos (inclui a ferramenta seletor de fotos do Android) no Permitir que os usuários abram dados da configuração de serviços selecionados em Intune, você pode permitir que contas gerenciadas permitam a entrada de imagem/vídeo do armazenamento local de seu dispositivo para seus aplicativos gerenciados.
Todos selecionados
Restringir recortar, copiar e colar com outros aplicativos Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Escolha entre:
  • Bloqueado: não permitir ações de corte, cópia e colar entre este aplicativo e qualquer outro aplicativo.
  • Aplicativos gerenciados por política: permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política com Colar Em: permita o recorte ou a cópia entre esse aplicativo e outros aplicativos gerenciados por política. Permita que dados de qualquer aplicativo sejam colados nesse aplicativo.
  • Qualquer aplicativo: sem restrições para recortar, copiar e colar para e desse aplicativo.
Qualquer aplicativo
    Limite de caracteres de recorte e cópia para qualquer aplicativo
Especifique o número de caracteres que podem ser cortados ou copiados de dados e contas da organização. Isso permitirá o compartilhamento do número especificado de caracteres quando ele será bloqueado pela configuração "Restringir corte, cópia e colar com outros aplicativos".

Valor padrão = 0

Observação: requer Portal da Empresa do Intune versão 5.0.4364.0 ou posterior.

0
Captura de tela e Google Assistente Selecione Bloquear para bloquear a captura de tela e bloquear o Google Assistente acessando dados da organização no dispositivo ao usar este aplicativo. Escolher Bloco também desfocará a imagem de visualização do comutador de aplicativo ao usar este aplicativo com uma conta corporativa ou de estudante.

Observação: o Google Assistente pode estar acessível aos usuários para cenários que não acessam dados da organização.

Bloquear
Teclados aprovados Selecione Exigir e especifique uma lista de teclados aprovados para essa política.

Os usuários que não estão usando um teclado aprovado recebem um prompt para baixar e instalar um teclado aprovado antes de poderem usar o aplicativo protegido. Essa configuração exige que o aplicativo tenha o SDK Intune para Android versão 6.2.0 ou posterior.

Não obrigatório
    Selecionar teclados para aprovar
Essa opção está disponível quando você seleciona Exigir para a opção anterior. Escolha Selecionar para gerenciar a lista de teclados e métodos de entrada que podem ser usados com aplicativos protegidos por essa política. Você pode adicionar teclados adicionais à lista e remover qualquer uma das opções padrão. Você deve ter pelo menos um teclado aprovado para salvar a configuração. Com o tempo, a Microsoft pode adicionar teclados adicionais à lista de novas Políticas de Proteção de Aplicativo, o que exigirá que os administradores examinem e atualizem as políticas existentes conforme necessário.

Para adicionar um teclado, especifique:

  • Nome: um nome amigável que identifica o teclado e é visível para o usuário.
  • ID do pacote: A ID do pacote do aplicativo na Google Play Store. Por exemplo, se a URL do aplicativo na Play store for https://play.google.com/store/details?id=com.contoskeyboard.android.prod, a ID do pacote será com.contosokeyboard.android.prod. Essa ID do pacote é apresentada ao usuário como um link simples para baixar o teclado do Google Play.

Nota: Um usuário atribuído a várias Políticas de Proteção de Aplicativo poderá usar apenas os teclados aprovados comuns a todas as políticas.

Criptografia

Setting Como usar Valor padrão
Criptografar dados da organização Escolha Exigir para habilitar a criptografia de dados de trabalho ou de estudante neste aplicativo. Intune usa um esquema de criptografia AES wolfSSL, de 256 bits, juntamente com o sistema Android Keystore para criptografar com segurança os dados do aplicativo. Os dados são criptografados de forma síncrona durante as tarefas de E/S do arquivo. O conteúdo no armazenamento do dispositivo é sempre criptografado e só pode ser aberto por aplicativos que dão suporte às políticas de proteção de aplicativo do Intune e têm a política atribuída. Novos arquivos serão criptografados com chaves de 256 bits. Os arquivos criptografados existentes de 128 bits passarão por uma tentativa de migração para chaves de 256 bits, mas o processo não está garantido. Os arquivos criptografados com chaves de 128 bits permanecerão legíveis.

O método de criptografia é validado fips 140-2; para obter mais informações, consulte wolfCrypt FIPS 140-2 e FIPS 140-3.
Exigir
    Criptografar dados da organização em dispositivos registrados
Selecione Exigir para impor a criptografia de dados da organização com Intune criptografia de camada de aplicativo em todos os dispositivos. Selecione Não é necessário não impor a criptografia de dados da organização com Intune criptografia de camada de aplicativo em dispositivos registrados. Exigir

Funcionalidade

Setting Como usar Valor padrão
Sincronizar dados do aplicativo gerenciado por política com suplementos ou aplicativos nativos Escolha Bloquear para impedir que aplicativos gerenciados por política salvem dados nos aplicativos nativos do dispositivo (Contatos, Calendário e widgets) e para impedir o uso de suplementos dentro dos aplicativos gerenciados pela política. Se não houver suporte do aplicativo, será permitido salvar dados em aplicativos nativos e usar suplementos.

Se você escolher Permitir, o aplicativo gerenciado por política poderá salvar dados nos aplicativos nativos ou usar suplementos, se esses recursos forem compatíveis e habilitados no aplicativo gerenciado por política.

Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de sincronização de dados para aplicativos nativos específicos ou não honrar esse controle.

Observação: quando você executa um apagamento seletivo para remover dados de trabalho ou de escola do aplicativo, os dados sincronizados diretamente do aplicativo gerenciado por política para o aplicativo nativo são removidos. Todos os dados sincronizados do aplicativo nativo para outra fonte externa não serão apagados.

Observação: os seguintes aplicativos dão suporte a este recurso:
Permitir
Imprimindo dados da organização Escolha Bloquear para impedir que o aplicativo imprima dados escolares ou de trabalho. Se você mantiver essa configuração como Permitir, o valor padrão, os usuários poderão exportar e imprimir todos os dados da Organização. Permitir
Restringir a transferência de conteúdo Web com outros aplicativos Especifique como o conteúdo da Web (links http/https) é aberto de aplicativos gerenciados por política. Escolha entre:
  • Qualquer aplicativo: permitir links da Web em qualquer aplicativo.
  • Intune Managed Browser: Permita que o conteúdo da Web seja aberto somente no Intune Managed Browser. Esse navegador é um navegador gerenciado por política.
  • Microsoft Edge: Permita que o conteúdo da Web seja aberto somente no Microsoft Edge. Esse navegador é um navegador gerenciado por política.
  • Browser não-gerenciado:Permita que o conteúdo da Web abra somente no navegador não gerenciado definido pela configuração Protocolo do navegador não gerenciado. O conteúdo da Web não será gerenciado no navegador de destino.
    Observação: requer Portal da Empresa do Intune versão 5.0.4415.0 ou posterior.


  • Navegadores gerenciados por políticas
    No Android, seus usuários finais podem escolher entre outros aplicativos gerenciados por políticas que dão suporte a links http/https se nem Intune Managed Browser nem o Microsoft Edge estiver instalado.

    Se um navegador gerenciado por política for obrigatório, mas não estiver instalado, os usuários finais precisarão instalar o Microsoft Edge.

    Se um navegador gerenciado por políticas for necessário, os Links de Aplicativo Android serão gerenciados pelo aplicativo Permitir que os dados sejam transferidos para outras configurações de política de aplicativos.

    Registro do dispositivo do Intune
    Se você estiver usando Intune para gerenciar seus dispositivos, consulte Gerenciar acesso à Internet usando políticas de navegador gerenciada com Microsoft Intune.

    Microsoft Edge gerenciado por política
    O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) agora é compatível com políticas de proteção de aplicativo do Intune. Os usuários que entrarem com suas contas corporativas Microsoft Entra no aplicativo do navegador Microsoft Edge serão protegidos por Intune. O navegador Microsoft Edge integra o SDK do APLICATIVO e dá suporte a todas as suas políticas de proteção de dados, com exceção da prevenção:

    • Save-as: o navegador Microsoft Edge não permite que um usuário adicione conexões diretas no aplicativo a provedores de armazenamento em nuvem (como o OneDrive).
    • Sincronização de contatos: o navegador do Microsoft Edge não salva em listas de contatos nativos.
    Observação:o SDK do APLICATIVO não pode determinar se um aplicativo de destino é um navegador. Em dispositivos Android, outros aplicativos de navegador gerenciado que dão suporte à intenção http/https são permitidos.
Não configurado
    ID do navegador não gerenciado
Insira a ID do aplicativo para um único navegador. O conteúdo da Web (links http/https) de aplicativos gerenciados por políticas será aberto no navegador especificado. O conteúdo da Web não será gerenciado no navegador de destino. Blank
    Nome do navegador não gerenciado
Insira o nome do aplicativo para navegador associado à ID do Navegador Não Gerenciado. Esse nome será exibido aos usuários se o navegador especificado não estiver instalado. Blank
Notificações de dados da organização Especifique quantos dados da organização são compartilhados por meio de notificações do sistema operacional para contas da organização. Essa configuração de política afetará o dispositivo local e todos os dispositivos conectados, como dispositivos vestíveis e alto-falantes inteligentes. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de notificação ou podem optar por não respeitar todos os valores. Selecione:
  • Bloquear: não compartilhe notificações.
    • Se não forem compatíveis com o aplicativo, as notificações serão permitidas.
  • Bloquear dados da organização: não compartilhe dados da organização em notificações. Por exemplo, "Você tem novo email"; "Você tem uma reunião".
    • Se não forem compatíveis com o aplicativo, as notificações serão bloqueadas.
  • Permitir: Compartilha dados da organização nas notificações

Observação: essa configuração requer suporte ao aplicativo:

  • Outlook para Android 4.0.95 ou posterior
  • Teams para Android 1416/1.0.0.2020092202 ou posterior.
Permitir

Isenções de transferência de dados

Há alguns aplicativos isentos e serviços de plataforma que Intune políticas de proteção de aplicativo permitem a transferência de dados de e para. Por exemplo, todos os aplicativos gerenciados por Intune no Android devem ser capazes de transferir dados de e para a fala do Google, para que o texto da tela do dispositivo móvel possa ser lido em voz alta. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.

Isenções completas

Esses aplicativos e serviços são totalmente permitidos para transferência de dados de e para aplicativos gerenciados por Intune.

Nome do aplicativo/serviço Descrição
com.android.phone Aplicativo de telefone nativo
com.android.vending Google Play Store
com.google.android.webview WebView, que é necessário para muitos aplicativos, incluindo o Outlook.
com.android.webview Webview, que é necessário para muitos aplicativos, incluindo o Outlook.
com.google.android.tts Google Text-to-speech
com.android.providers.settings Configurações do sistema Android
com.android.settings Configurações do sistema Android
com.azure.authenticator Aplicativo Azure Authenticator, que é necessário para autenticação bem-sucedida em muitos cenários.
com.microsoft.windowsintune.companyportal Portal da Empresa do Intune

Isenções condicionais

Esses aplicativos e serviços só são permitidos para transferência de dados de e para aplicativos gerenciados por Intune em determinadas condições.

Nome do aplicativo/serviço Descrição Condição de isenção
com.android.chrome Navegador Google Chrome O Chrome é usado para alguns componentes do WebView no Android 7.0+ e nunca é oculto do modo de exibição. O fluxo de dados de e para o aplicativo, no entanto, é sempre restrito.
com.skype.raider Skype O aplicativo Skype é permitido apenas para determinadas ações que resultam em um telefonema.
com.android.providers.media Provedor de conteúdo de mídia Android O provedor de conteúdo de mídia permitido apenas para a ação de seleção de toque.
com.google.android.gms; com.google.android.gsf Pacotes do Google Play Services Esses pacotes são permitidos para ações do Google Cloud Messaging, como notificações por push.
com.google.android.apps.maps Google Mapas Endereços são permitidos para navegação.
com.android.documentsui Seletor de Documentos do Android Permitido ao abrir ou criar um arquivo.
com.google.android.documentsui Seletor de Documentos do Android (Android 10+) Permitido ao abrir ou criar um arquivo.

Para obter mais informações, confira Exceções de política de transferência de dados para aplicativos.

Requisitos de acesso

Setting Como usar
PIN para acesso Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante.

Valor padrão = Exigir

Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso.

Nota: Os usuários finais que têm permissão para acessar o aplicativo podem redefinir o PIN do aplicativo. Essa configuração pode não estar visível em alguns casos em dispositivos Android. Os dispositivos Android têm uma limitação máxima de quatro atalhos disponíveis. Quando o máximo for atingido, o usuário final deve remover atalhos personalizados (ou acessar o atalho de uma exibição de aplicativo gerenciado diferente) para exibir o atalho DE PIN do APLICATIVO de redefinição. Como alternativa, o usuário final pode fixar o atalho em sua página inicial.

    Tipo de PIN
Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial.

Valor padrão = Numérico

Nota: Os caracteres especiais permitidos incluem os caracteres e símbolos especiais no teclado de inglês android.
    PIN simples
Selecione Permitir permitir que os usuários usem sequências de PIN simples como 1234, 1111, abcd ou aaaa. Selecione Blocos para impedir que eles usem sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Block estiver configurado, 1235 ou 1112 não serão aceitos como PIN definidos pelo usuário final, mas 1122 seriam permitidos.

Valor padrão = Permitir

Nota: Se o PIN do tipo de senha estiver configurado e o PIN Simples estiver definido como Permitir, o usuário precisará de pelo menos uma letra ou pelo menos um caractere especial em seu PIN. Se o PIN do tipo senha estiver configurado e o PIN Simples estiver definido como Bloquear, o usuário precisará de pelo menos uma letra e um número e pelo menos um caractere especial em seu PIN.
    Selecionar o comprimento mínimo do PIN
Especifique o número mínimo de dígitos em uma sequência de PIN.

Valor padrão = 4
    Biometria em vez de PIN para acesso
Selecione Permitir permitir que o usuário use a biometria para autenticar usuários em dispositivos Android. Se permitido, a biometria será usada para acessar o aplicativo em dispositivos Android 10 ou superiores.
    Substituir a biometria com PIN após o tempo limite
Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade.

Valor padrão = Exigir
      Tempo limite (minutos de inatividade)
Especifique um tempo em minutos após o qual um PIN de senha ou numérico (conforme configurado) substituirá o uso de uma biometria. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)".

Valor padrão = 30
    Biometria classe 3 (Android 9.0+)
Selecione Exigir para exigir que o usuário entre com a biometria da classe 3. Para obter mais informações sobre a biometria da classe 3, confira Biometria na documentação do Google.
    Substituir a biometria com PIN após atualizações biométricas
Selecione Exigir para substituir o uso da biometria com PIN quando uma alteração na biometria for detectada.

NOTA:
Essa configuração só entra em vigor depois que uma biometria é usada para acessar o aplicativo. Dependendo do fabricante de dispositivos Android, nem todas as formas de biometria podem ter suporte para operações criptográficas. Atualmente, há suporte para operações criptográficas para qualquer biometria (por exemplo, impressão digital, íris ou face) no dispositivo que atende ou excede os requisitos de biometria classe 3, conforme definido na documentação do Android. Consulte a BIOMETRIC_STRONG constante da interface BiometricManager.Authenticators e o authenticate método da classe BiometricPrompt . Talvez seja necessário entrar em contato com o fabricante do dispositivo para entender as limitações específicas do dispositivo.

    Redefinir PIN após número de dias
Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias.

Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária.

Valor padrão = Não
      Número de dias
Configure o número de dias antes que a redefinição do PIN seja necessária.

Valor padrão = 90
    Selecione o número de valores PIN anteriores para manter
Essa configuração especifica o número de PINs anteriores que Intune manterá. Qualquer novo PINs deve ser diferente daqueles que Intune está mantendo.

Valor padrão = 0
    PIN do aplicativo quando o PIN do dispositivo for gerenciado
Selecione Não é necessário desabilitar o PIN do aplicativo quando um bloqueio de dispositivo for detectado em um dispositivo registrado com Portal da Empresa configurado.

Valor padrão = Exigir.
Credenciais de conta corporativa ou de estudante para acesso Escolha Exigir que o usuário entre com sua conta corporativa ou escolar em vez de inserir um PIN para acesso ao aplicativo. Quando definido como Obrigatório, e os prompts de PIN ou biométrico são ativados, as credenciais corporativas e os prompts de PIN ou biométrico são mostrados.

Valor padrão = Não necessário
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure a seguinte configuração:
  • Tempo limite: esse é o número de minutos antes que os requisitos de acesso (definidos anteriormente na política) sejam verificados novamente. Por exemplo, se um administrador ativar o PIN e bloquear dispositivos com raiz na política, se um usuário abrir um aplicativo gerenciado pelo Intune, deverá inserir um PIN e usar o aplicativo em um dispositivo sem raiz. Ao usar essa configuração, o usuário não precisará inserir um PIN ou passar por outra marcar de detecção raiz em qualquer aplicativo gerenciado por Intune por um período de tempo igual ao valor configurado.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 30 minutos

    Nota: No Android, o PIN é compartilhado com todos os aplicativos gerenciados por Intune. O temporizador PIN é redefinido quando o aplicativo deixa o primeiro plano no dispositivo. O usuário não precisará inserir um PIN em nenhum aplicativo gerenciado por Intune que compartilhe seu PIN durante o tempo limite definido nesta configuração.

Observação

Para saber mais sobre como várias Intune configurações de proteção de aplicativo configuradas na seção Access para o mesmo conjunto de aplicativos e usuários funcionam no Android, consulte Intune MAM frequentemente faz perguntas e apaga dados seletivamente usando ações de acesso à política de proteção de aplicativo em Intune.

Inicialização condicional

Configure configurações de inicialização condicional para definir os requisitos de segurança de entrada para sua política de proteção de aplicativo.

Por padrão, várias configurações são fornecidas com ações e valores previamente configurados. Você pode excluir algumas configurações, como a versão do Sistema Operacional Min. Você também pode selecionar configurações adicionais na lista suspensa Selecionar um.

Condições do aplicativo

Setting Como usar
Máximo de tentativas de PIN Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o usuário não inserir com êxito seu PIN após as tentativas máximas de PIN, o usuário deverá redefinir seu pino depois de fazer logon com êxito em sua conta e concluir um desafio MFA (Autenticação Multifator), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo.

Ações incluem:

  • Redefinir o PIN – o usuário precisa redefinir o PIN.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Valor padrão = 5
Período de cortesia offline O número de minutos que os aplicativos gerenciados podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente.

Ações incluem:

  • Bloquear o acesso (minutos) – o número de minutos que os aplicativos gerenciados podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Depois que esse período expirar, o aplicativo requer a autenticação do usuário para Microsoft Entra ID para que o aplicativo possa continuar a ser executado.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 1440 minutos (24 horas)

    Nota: Configurar o temporizador de período de carência offline para bloquear o acesso é menor do que o valor padrão pode resultar em interrupções mais frequentes do usuário à medida que a política é atualizada. Não é recomendável escolher um valor inferior a 30 minutos, pois pode resultar em interrupções de usuário em cada inicialização ou retomada do aplicativo.
  • Limpar dados (dias) – após este número de dias (definido pelo administrador) de execução offline, o aplicativo exigirá que o usuário se conecte à rede e realize a autenticação novamente. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se o usuário não se autenticar, o aplicativo executará um apagamento seletivo da conta e dos dados do usuário. Para obter mais informações, consulte Como apagar apenas dados corporativos de aplicativos gerenciados por Intune. Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 90 dias
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo.

Ações incluem:

  • Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de controle de versão diferentes entre si, crie uma política com uma versão mínima de aplicativo que direciona um aplicativo (por exemplo, política de versão do Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Além disso, configure em que local os usuários finais podem obter uma versão atualizada de um aplicativo LOB (linha de negócios). Os usuários finais verão isso na caixa de diálogo de inicialização condicional Versão mínima do aplicativo, que solicitará que os usuários finais façam a atualização para uma versão mínima do aplicativo LOB. No Android, esse recurso usa o Portal da Empresa. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define de qual repositório o usuário final baixará o aplicativo. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa.
Conta desabilitada Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear o acesso – o usuário está impedido de acessar porque sua conta foi desabilitada.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Condições do dispositivo

Setting Como usar
Dispositivos com jailbreak/desbloqueados por rooting Especifique se deve bloquear o acesso ao dispositivo ou apagar os dados do dispositivo para dispositivos jailbroken/root. Ações incluem:
  • Bloquear acesso – impeça que esse aplicativo seja executado em dispositivos com jailbreak ou desbloqueados por rooting. O usuário continua a ser capaz de usar este aplicativo para tarefas pessoais, mas terá que usar um dispositivo diferente para acessar dados de trabalho ou de estudante neste aplicativo.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Versão mínima do sistema operacional Especifique um sistema operacional Android mínimo necessário para usar este aplicativo. As versões do sistema operacional abaixo da versão especificada do Min OS dispararão as ações. Ações incluem:
  • Avisar – o usuário verá uma notificação se a versão do Android no dispositivo não atender ao requisito. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a versão do Android no dispositivo não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão máxima do sistema operacional Especifique um sistema operacional Android máximo necessário para usar este aplicativo. As versões do sistema operacional abaixo da versão especificada do Sistema Operacional Máximo dispararão as ações. Ações incluem:
  • Avisar – o usuário verá uma notificação se a versão do Android no dispositivo não atender ao requisito. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a versão do Android no dispositivo não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão do patch min Exigir que os dispositivos tenham um patch de segurança mínimo do Android lançado pelo Google.
  • Avisar – o usuário verá uma notificação se a versão do Android no dispositivo não atender ao requisito. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a versão do Android no dispositivo não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Essa configuração de política dá suporte ao formato de data do YYYY-MM-DD.
Fabricantes de dispositivos Especifique uma lista separada de ponto e vírgula dos fabricantes. Esses valores não diferenciam maiúsculas de minúsculas. Ações incluem:
  • Permitir especificado (Bloquear não especificado) – somente dispositivos que correspondam ao fabricante especificado podem usar o aplicativo. Todos os outros dispositivos estão bloqueados.
  • Permitir especificado (apagamento não especificado) – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como aplicar essa configuração, confira o tópico Ações de inicialização condicional.
Jogar veredicto de integridade Proteção de aplicativos políticas dão suporte a algumas APIs de Integridade do Google Play. Essa configuração, em particular, configura o Play Integrity do Google marcar em dispositivos de usuário final para validar a integridade desses dispositivos. Especifique integridade básica ou integridade básica e integridade do dispositivo.

A integridade básica informa sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. Integridade básica & dispositivos certificados informa sobre a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação.

Se você selecionar o veredicto de integridade do Jogo conforme necessário para o lançamento condicional, poderá especificar que um marcar de integridade forte será usado como o tipo de avaliação. A presença de uma integridade forte marcar como o tipo de avaliação indicará maior integridade de um dispositivo. Dispositivos que não dão suporte a verificações de integridade fortes serão bloqueados pela política MAM se forem direcionados a essa configuração. A integridade forte marcar fornece uma detecção raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detectados de forma confiável por uma solução somente de software. No APP, o atestado de hardware será habilitado definindo o tipo de avaliação de veredicto de integridade do Play para Verificar a integridade forte quando o veredicto de integridade do Play estiver configurado e o tipo de avaliação SafetyNet necessário para uma integridade forte marcar quando a integridade do dispositivo marcar estiver configurada. O atestado com suporte em hardware aproveita um componente baseado em hardware que é enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala.

Importante: Dispositivos que não dão suporte a esse tipo de avaliação serão bloqueados ou apagados com base na ação integridade do dispositivo marcar. As organizações que gostariam de usar essa funcionalidade precisarão garantir que os usuários tenham dispositivos com suporte. Para obter mais informações sobre os dispositivos recomendados do Google, consulte Requisitos recomendados pelo Android Enterprise.

Ações incluem:

  • Avisar – o usuário verá uma notificação se o dispositivo não atender à integridade do dispositivo do Google marcar com base no valor configurado. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se o dispositivo não atender à integridade do dispositivo do Google marcar com base no valor configurado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter perguntas comumente feitas relacionadas a essa configuração, consulte Perguntas frequentes sobre mam e proteção de aplicativo.
Exigir verificação de ameaças em aplicativos Proteção de aplicativos políticas dão suporte a algumas das APIs do Google Play Protect. Essa configuração, em particular, garante que a verificação de Aplicativos de Verificação do Google esteja ativada para dispositivos de usuário final. Se configurado, o usuário final terá o acesso bloqueado até que ative a verificação de aplicativos do Google em seu dispositivo Android. Ações incluem:
  • Avisar – o usuário verá uma notificação se a verificação de Aplicativos de Verificação do Google no dispositivo não estiver ativada. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a verificação de Aplicativos de Verificação do Google no dispositivo não estiver ativada.
Os resultados da verificação de Aplicativos de Verificação do Google são exibidos no relatório Aplicativos Potencialmente Prejudiciais no console.
Tipo de avaliação safetynet necessário O atestado com suporte em hardware aprimora o marcar de serviço de atestado safetynet existente. Você pode definir o valor como chave com suporte em hardware depois de definir o atestado de dispositivo SafteyNet.
Exigir bloqueio de dispositivo Essa configuração determina se o dispositivo Android tem um PIN de dispositivo que atende ao requisito mínimo de senha. A política de Proteção de aplicativos pode agir se o bloqueio do dispositivo não atender ao requisito mínimo de senha.

Os valores incluem:

  • Baixa complexidade
  • Complexidade Média
  • Alta complexidade

Esse valor de complexidade é direcionado ao Android 12+. Para dispositivos que operam no Android 11 e anteriores, definir um valor de complexidade de baixa, média ou alta será padrão para o comportamento esperado para Baixa Complexidade. Para obter mais informações, consulte a documentação do desenvolvedor do Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH.

Ações incluem:

  • Avisar – o usuário verá uma notificação se o bloqueio do dispositivo não atender ao requisito mínimo de senha. A notificação pode ser descartada.
  • Bloquear o acesso – o usuário será bloqueado do acesso se o bloqueio do dispositivo não atender ao requisito mínimo de senha.
  • Apagar dados – a conta de usuário associada ao aplicativo será apagada do dispositivo se o bloqueio do dispositivo não atender ao requisito mínimo de senha.
Min Portal da Empresa versão Usando a versão min Portal da Empresa, você pode especificar uma versão definida mínima específica do Portal da Empresa imposta em um dispositivo de usuário final. Essa configuração de inicialização condicional permite que você defina valores como Bloquear acesso, Apagar dados e Avisar como ações possíveis quando cada valor não for atendido. Os formatos possíveis para esse valor seguem o padrão [Major].[ Menor], [Major].[ Menor]. [Build], ou [Major].[ Menor]. [Build]. [Revisão]. Dado que alguns usuários finais podem não preferir uma atualização forçada de aplicativos no local, a opção "avisar" pode ser ideal ao configurar essa configuração. A Google Play Store faz um bom trabalho apenas enviando os bytes delta para atualizações de aplicativo, mas isso ainda pode ser uma grande quantidade de dados que o usuário pode não querer utilizar se estiver em dados no momento da atualização. Forçar uma atualização e, assim, baixar um aplicativo atualizado pode resultar em cobranças inesperadas de dados no momento da atualização. Para obter mais informações, confira Configurações de política do Android.
Idade máxima da versão Portal da Empresa (dias) Você pode definir um número máximo de dias como a idade da versão do Portal da Empresa (CP) para dispositivos Android. Essa configuração garante que os usuários finais estejam dentro de um determinado intervalo de versões de CP (em dias). O valor deve estar entre 0 e 365 dias. Quando a configuração para os dispositivos não é atendida, a ação para essa configuração é disparada. As ações incluem Acesso de blocos, apagar dados ou Avisar. Para obter informações relacionadas, consulte Configurações de política do Android. Nota: A idade do build Portal da Empresa é determinada pelo Google Play no dispositivo de usuário final.
Atestado de dispositivo Samsung Knox Especifique se o marcar de atestado do dispositivo Samsung Knox é necessário. Somente dispositivos não modificados verificados pela Samsung podem passar esse marcar. Para obter a lista de dispositivos com suporte, consulte samsungknox.com.

Usando essa configuração, Microsoft Intune também verificará se a comunicação do Portal da Empresa para o Serviço de Intune foi enviada de um dispositivo íntegro.

Ações incluem:
  • Avisar – o usuário verá uma notificação se o dispositivo não atender ao marcar de atestado do dispositivo Samsung Knox. Essa notificação pode ser descartada.
  • Bloquear o acesso – a conta de usuário será bloqueada do acesso se o dispositivo não atender ao marcar de atestado de dispositivo Knox da Samsung.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Nota: O usuário deve aceitar os termos do Samsung Knox antes que o atestado do dispositivo marcar possa ser executado. Se o usuário não aceitar os termos do Samsung Knox, a ação especificada ocorrerá.

Nota: Essa configuração se aplicará a todos os dispositivos direcionados. Para aplicar essa configuração apenas a dispositivos Samsung, você pode usar filtros de atribuição "Aplicativos gerenciados". Para obter mais informações sobre filtros de atribuição, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis em Microsoft Intune.

Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD.

Ações incluem:

  • Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como usar essa configuração, consulte Habilitar o conector de Defesa contra Ameaças Móveis no Intune para dispositivos não registrados.
Serviço MTD primário Se você tiver configurado vários conectores Intune-MTD, especifique o aplicativo de fornecedor MTD primário que deve ser usado no dispositivo de usuário final.

Os valores incluem:

  • Microsoft Defender para Ponto de Extremidade - se o conector MTD estiver configurado, especifique Microsoft Defender para Ponto de Extremidade fornecerá as informações de nível de ameaça do dispositivo.
  • Defesa contra Ameaças Móveis (não Microsoft) – se o conector MTD estiver configurado, especifique o MTD não Microsoft fornecerá as informações de nível de ameaça do dispositivo.

Você deve configurar a configuração "Máximo nível de ameaça de dispositivo permitido" para usar essa configuração.

Não há ações para essa configuração.