Listas de configurações de restrição de dispositivo Do Android e Samsung Knox Standard no Intune

  • Artigo

Este artigo mostra todas as configurações de restrições de dispositivo Microsoft Intune que você pode configurar para dispositivos que executam o Android. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, definir requisitos de senha, controlar a segurança e muito mais.

Esse recurso aplica-se a:

  • Administrador de dispositivo Android (DA)

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Dica

Se as configurações desejadas não estiverem disponíveis, você poderá configurar seus dispositivos usando um perfil personalizado.

Antes de começar

Crie um perfil de configuração de restrições de dispositivo de administrador de dispositivo Android.

Geral

  • Câmera: Bloquear impede o acesso à câmera do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o acesso à câmera do dispositivo.

    O Intune gerencia apenas o acesso à câmera do dispositivo. Ele não tem acesso a imagens ou vídeos.

  • Copiar e colar (somente Samsung Knox): Bloquear impede a cópia e a cola. Não configurado permite copiar e colar funções em dispositivos.

  • Compartilhamento de área de transferência entre aplicativos (somente Samsung Knox): Bloquear impede o uso da área de transferência para copiar e colar entre aplicativos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir copiar e colar funções em dispositivos.

  • Envio de dados de diagnóstico (somente Samsung Knox): bloquear impede que os usuários enviem relatórios de bugs de dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários enviem os dados.

  • Apagar (somente Samsung Knox): permite que os usuários executem uma ação de apagamento em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Geolocalização (somente Samsung Knox): bloquear desabilita dispositivos do uso de informações de localização. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os dispositivos usem as informações de localização.

  • Power off (somente Samsung Knox): Bloquear impede que os usuários desliguem o dispositivo. Ele também impede que o número de falhas de entrada antes de limpar a configuração do dispositivo seja configurado e funcione. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários desliguem os dispositivos.

  • Captura de tela (somente Samsung Knox): Bloquear impede capturas de tela. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários capturem o conteúdo da tela como uma imagem.

  • Assistente de voz (somente Samsung Knox): o Bloco desabilita o serviço S Voice. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso do serviço e do aplicativo S Voice em dispositivos. Essa configuração não se aplica ao Bixby ou ao assistente de voz para acessibilidade que lê o conteúdo da tela em voz alta.

  • YouTube (somente Samsung Knox): Bloquear impede que os usuários usem o aplicativo do YouTube. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso do aplicativo do YouTube em dispositivos.

  • Dispositivos compartilhados (somente Samsung Knox): configure um dispositivo Samsung Knox Standard gerenciado conforme compartilhado. Permitir permite que os usuários entrem e saiam de dispositivos com suas credenciais de Azure AD. Os dispositivos permanecem gerenciados, quer estejam em uso ou não.

    Quando usado com um perfil de certificado SCEP, esse recurso permite que os usuários compartilhem um dispositivo com os mesmos aplicativos para todos os usuários. Mas, cada usuário tem seu próprio certificado de usuário SCEP. Quando os usuários saem, todos os dados do aplicativo são limpos. Esse recurso é limitado apenas a aplicativos LOB.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir que vários usuários entrem no aplicativo Portal da Empresa em dispositivos usando suas credenciais de Azure AD.

  • Bloquear alterações de data e hora (Samsung Knox): o bloco impede que os usuários alterem as configurações de data e hora em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários alterem as configurações de data e hora.

Password

  • Criptografia: selecione Exigir para que os arquivos no dispositivo sejam criptografados. Nem todos os dispositivos dão suporte à criptografia. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Para configurar essa configuração e relatar corretamente a conformidade, configure também:

    1. Senha: definido como Obrigatório.
    2. Tipo de senha necessário: definido como Pelo menos numérico.
    3. Comprimento mínimo da senha: definido como pelo menos 4.

    Observação

    Se uma política de criptografia for imposta, os dispositivos Samsung Knox exigirão que os usuários definam uma senha complexa de 6 caracteres como a senha do dispositivo.

Todos os dispositivos Android

Essas configurações se aplicam ao Android 4.0 e mais recente e ao Knox 4.0 e mais recente.

  • Minutos máximos de inatividade até bloqueios de tela: insira o tempo em que um dispositivo deve ficar ocioso antes que a tela seja bloqueada automaticamente. Por exemplo, insira 5 para bloquear dispositivos após 5 minutos de ociosidade. Quando o valor está em branco ou definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    Em um dispositivo, os usuários não podem definir um valor de tempo maior do que o tempo configurado no perfil. Os usuários podem definir um valor de tempo menor. Por exemplo, se o perfil estiver definido como 15 minutos, os usuários poderão definir o valor como 5 minutos. Os usuários não podem definir o valor como 30 minutos.

  • Número de falhas de entrada antes de limpar o dispositivo: insira o número de senhas erradas permitidas antes que os dispositivos sejam apagados, de 4 a 11. 0 (zero) pode desabilitar a funcionalidade de apagamento de dispositivo. Quando o valor está em branco, o Intune não altera ou atualiza essa configuração.

  • Senha: exigir que os usuários insiram uma senha para acessar dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários acessem dispositivos sem inserir uma senha.

    Observação

    Os dispositivos Samsung Knox exigem automaticamente um PIN de 4 dígitos durante o registro do MDM. Dispositivos Android nativos podem exigir automaticamente que um PIN se torne compatível com o Acesso Condicional.

Android 10 e posteriores

  • Complexidade de senha: insira a complexidade de senha necessária. Suas opções:

    • Nenhum (padrão): nenhuma senha necessária.
    • Baixa: a senha atende a uma das seguintes condições:
      • Padrão
      • O PIN numérico tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468).
    • Médio: a senha atende a uma das seguintes condições:
      • O PIN numérico não tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468) e tem comprimento mínimo de 4.
      • Alfabético, com um comprimento mínimo de 4.
      • Alfanumérico, com um comprimento mínimo de 4.
    • Alta: a senha atende a uma das seguintes condições:
      • O PIN numérico não tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468) e tem comprimento mínimo de 8.
      • Alfabético, com um comprimento mínimo de 6.
      • Alfanumérico, com um comprimento mínimo de 6.

    Essa configuração se aplica a:

    • Android 10 e mais recente, mas não no Samsung Knox.

    Importante

    A configuração de complexidade de senha é um trabalho em andamento. No final de outubro de 2020, a complexidade de senha entrará em vigor nos dispositivos.

    Se você definir a complexidade de senha como algo diferente de Nenhum, também defina a configuração Senha como Obrigatório, que é encontrada na seção Todos os dispositivos Android . Usuários com senhas que não atendem aos seus requisitos de complexidade recebem um aviso para atualizar a senha. Se você não definir a configuração Senha como Obrigatório, os usuários com senhas fracas não receberão o aviso.

Android 9 e anterior, ou Samsung Knox (qualquer versão)

  • Tamanho mínimo da senha: insira o número mínimo de caracteres necessários, de 4 a 16. Por exemplo, insira 6 para exigir pelo menos seis números ou caracteres no comprimento da senha.

  • Expiração de senha (dias): insira o número de dias até que a senha do dispositivo precise ser alterada, de 1 a 365. Por exemplo, digite 90 para expirar a senha após 90 dias. Quando a senha expira, os usuários são solicitados a criar uma nova senha. Quando o valor está em branco, o Intune não altera ou atualiza essa configuração.

  • Tipo de senha necessário: insira o nível de complexidade de senha necessário e se os dispositivos biométricos podem ser usados. Suas opções:

    • Padrão do dispositivo

    • Biometria de baixa segurança: biometria forte versus fraca (abre o site do Android)

    • Pelo menos numérico: inclui caracteres numéricos, como 123456789.

    • Complexo numérico: números repetidos ou consecutivos, como "1111" ou "1234", não são permitidos. Antes de atribuir essa configuração a dispositivos, atualize o aplicativo Portal da Empresa para a versão mais recente nesses dispositivos.

      Quando definido como Complexo Numérico e você atribui a configuração a dispositivos que executam uma versão do Android anterior a 5.0, o seguinte comportamento se aplica:

      • Se o aplicativo Portal da Empresa estiver executando uma versão anterior a 1704, nenhuma política PIN se aplicará a dispositivos e um erro será exibido no centro de administração Microsoft Intune.
      • Se o aplicativo Portal da Empresa executar a versão 1704 ou posterior, somente um PIN simples poderá ser aplicado. A versão do Android anterior ao 5.0 não dá suporte a essa configuração. Nenhum erro é mostrado no centro de administração Microsoft Intune.

    • Pelo menos alfabético: inclui letras no alfabeto. Números e símbolos não são necessários.

    • Pelo menos alfanumérico: inclui letras maiúsculas, letras minúsculas e caracteres numéricos.

    • Pelo menos alfanumérico com símbolos: inclui letras maiúsculas, letras minúsculas, caracteres numéricos, marcas de pontuação e símbolos.

  • Impedir a reutilização de senhas anteriores: use essa configuração para restringir a criação de senhas usadas anteriormente. Insira o número de senhas usadas anteriormente que não podem ser usadas, de 1 a 24. Por exemplo, insira 5 para que os usuários não possam definir uma nova senha para sua senha atual ou qualquer uma de suas quatro senhas anteriores. Quando o valor está em branco, o Intune não altera ou atualiza essa configuração.

  • Desbloqueio de impressões digitais (somente Samsung Knox): bloquear impede o uso de uma impressão digital para desbloquear dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários desbloqueiem dispositivos usando uma impressão digital.

  • Bloqueio Inteligente e outros agentes de confiança: Bloquear impede que o Smart Lock ou outros agentes de confiança ajustem as configurações da tela de bloqueio. Se o dispositivo estiver em um local confiável, esse recurso, também conhecido como agente de confiança, permitirá desabilitar ou ignorar a senha da tela de bloqueio do dispositivo. Por exemplo, use esse recurso quando os dispositivos estiverem conectados a um dispositivo Bluetooth específico ou quando os dispositivos estiverem próximos a uma marca NFC. Você pode usar essa configuração para impedir que os usuários configurem o Smart Lock.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Essa configuração se aplica a:

    • Samsung KNOX Standard 5.0 e mais recente

Google Play Store

  • Google Play Store (somente Samsung Knox): o Block impede que os usuários usem a Google Play Store. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários acessem a Google Play Store em dispositivos.

Aplicativos restritos

Esse recurso tem suporte em dispositivos Android e Samsung Knox Standard.

  • Tipo de lista de aplicativos restritos: crie uma lista de aplicativos para permitir ou bloquear dispositivos. Esse recurso tem suporte em dispositivos Android e Samsung Knox Standard. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Aplicativos proibidos: liste os aplicativos (não gerenciados pelo Intune) que os usuários não têm permissão para instalar e executar. Se um usuário instalar um aplicativo desta lista, você será notificado pelo Intune.
    • Aplicativos aprovados: liste os aplicativos que os usuários podem instalar. Para manter a conformidade, os usuários não devem instalar outros aplicativos. Aplicativos gerenciados pelo Intune são permitidos automaticamente, incluindo o aplicativo Portal da Empresa.

  • Lista de aplicativos: Adicionar seu aplicativo:

    • URL da loja de aplicativos: insira a URL do Google Play Store do aplicativo desejado. Por exemplo, para adicionar o aplicativo Área de Trabalho Remota da Microsoft para Android, insira https://play.google.com/store/apps/details?id=com.microsoft.rdc.android.

      Para localizar a URL de um aplicativo, abra a Google Play Store e pesquise o aplicativo. Por exemplo, pesquise Microsoft Remote Desktop Play Store ou Microsoft Planner. Selecione o aplicativo e copie a URL.

    • ID do pacote de aplicativos: insira a ID do pacote de aplicativos.

    • Nome do aplicativo: insira o nome desejado. Esse nome é mostrado aos usuários.

    • Publicador (opcional): insira o editor do aplicativo, como Microsoft.

Você também pode importar um arquivo CSV com detalhes sobre o aplicativo, incluindo a URL. Use a url> do aplicativo, <o nome do> aplicativo, < o < formato do editor de> aplicativos. Ou exportar uma lista existente que inclua a lista de aplicativos restritos no mesmo formato.

Importante

Os perfis de dispositivo que usam as configurações restritas do aplicativo devem ser atribuídos a grupos de usuários, não a grupos de dispositivos.

Navegador

  • Navegador da Web (somente Samsung Knox): Bloquear impede que o navegador da Web padrão seja usado em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o navegador da Web padrão do dispositivo seja usado.
  • Preenchimento automático (somente Samsung Knox): Bloquear impede que o navegador preenchi automaticamente o texto. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o preenchimento automático.
  • Cookies (somente Samsung Knox): escolha como manipular cookies de sites em dispositivos. Suas opções:
    • Permitir
    • Bloquear todos os cookies
    • Permitir cookies de sites visitados
    • Permitir cookies do site atual
  • JavaScript (somente Samsung Knox): Bloquear impede que o JavaScript seja executado no navegador. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir esses scripts.
  • Pop-ups (somente Samsung Knox): o Block ativa o Bloqueador Pop-up para evitar pop-ups no navegador da Web. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir pop-ups.

Permitir ou Bloquear aplicativos

Use essas configurações para permitir, bloquear ou ocultar aplicativos específicos em dispositivos Samsung Knox Standard. Os aplicativos ocultos não podem ser abertos ou executados pelos usuários.

Suas opções:

  • Aplicativos autorizados a serem instalados (somente Samsung Knox Standard): adicionar aplicativos que os usuários podem instalar. Os usuários não podem instalar aplicativos que não estão na lista.
  • Aplicativos impedidos de iniciar (somente Samsung Knox Standard): insira os aplicativos que os usuários não podem executar em seu dispositivo.
  • Aplicativos ocultos do usuário (somente Samsung Knox Standard): insira os aplicativos ocultos nos dispositivos. Os usuários não podem descobrir ou executar esses aplicativos.

Para cada configuração, adicione seus aplicativos:

  • Adicionar aplicativos pelo nome do pacote: insira o nome do aplicativo e o nome do pacote do aplicativo. Usado principalmente para aplicativos de linha de negócios.
  • Adicionar aplicativos por URL: insira o nome do aplicativo e sua URL na Google Play Store.
  • Adicionar aplicativo de loja: selecione um aplicativo na lista existente de aplicativos que você gerencia no Intune.

Nuvem e Armazenamento

  • Backup do Google (somente Samsung Knox): bloquear impede a sincronização dos dispositivos com o backup do Google. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso do backup do Google.
  • Sincronização automática da conta do Google (somente Samsung Knox): Bloquear impede o recurso de sincronização automática da conta do Google em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que as configurações da conta do Google sejam sincronizadas automaticamente.
  • Armazenamento removível (somente Samsung Knox): Bloquear impede que dispositivos usem armazenamento removível. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os dispositivos usem armazenamento removível, como um SD cartão.
  • Criptografia em cartões de armazenamento (somente Samsung Knox): exigir impõe que os cartões de armazenamento devem ser criptografados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que cartões de armazenamento não criptografados sejam usados. Nem todos os dispositivos dão suporte à criptografia de cartão de armazenamento. Para confirmar, marcar com o fabricante do dispositivo.

Conectividade e celular

  • Roaming de dados (somente Samsung Knox): Bloquear impede o roaming de dados pela rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o roaming de dados.
  • Mensagens SMS/MMS (somente Samsung Knox): Bloquear impede mensagens de texto em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso de mensagens SMS e MMS.
  • Discagem de voz (somente Samsung Knox): Bloquear impede que os usuários usem o recurso de discagem de voz em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a discagem de voz.
  • Roaming de voz (somente Samsung Knox): Bloquear impede o roaming de voz pela rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir roaming de voz.
  • Bluetooth (somente Samsung Knox): bloquear impede o uso de Bluetooth em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso de Bluetooth.
  • NFC (somente Samsung Knox): Bloquear desabilita operações que usam NFC (comunicação de campo próximo) em dispositivos com suporte. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir operações NFC.
  • Wi-Fi (somente Samsung Knox): bloquear impede o uso de Wi-Fi em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso de Wi-Fi.
  • Tethering wi-fi (somente Samsung Knox): Bloquear impede o uso de Wi-Fi amarração em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso de Wi-Fi amarração.

Quiosque

As configurações do quiosque se aplicam apenas aos dispositivos Samsung Knox Standard que executam o Android 10 ou anteriores e somente aos aplicativos que você gerencia usando o Intune.

  • Adicione aplicativos que você deseja executar quando o dispositivo estiver no modo de quiosque. No modo quiosque, somente os aplicativos que você adiciona executam; aplicativos não adicionados não são executados. Os navegadores pré-instalados não são executados como um aplicativo quando o dispositivo está no modo de quiosque. Se um navegador for necessário, considere usar o Navegador Gerenciado.

    Suas opções de aplicativo:

    • Adicionar aplicativos pelo nome do pacote: usado principalmente para aplicativos de linha de negócios. Insira o nome do aplicativo e o nome do pacote do aplicativo.
    • Adicionar aplicativos por URL: insira o nome do aplicativo e sua URL na Google Play Store.
    • Adicionar aplicativo de loja: selecione um aplicativo na lista existente de aplicativos que você gerencia no Intune.

  • Botão de sono de tela: Bloquear impede ou oculta o botão de sono da tela. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o botão de despertar do sono da tela em dispositivos.

  • Botões de volume: Bloquear impede que os usuários ajustem o volume desabilitando os botões de volume. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir o uso dos botões de volume em dispositivos.

Próximas etapas

Atribuir o perfil e monitorar seu status.

Você também pode criar perfis de quiosque para dispositivos Android Enterprise e Windows 10.