Compartilhar via


Listas de definições de restrição de dispositivos Android e Samsung Knox Standard no Intune

Este artigo mostra-lhe todas as definições de restrições de dispositivos Microsoft Intune que pode configurar para dispositivos Android. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para permitir ou desativar funcionalidades, definir requisitos de palavra-passe, controlar a segurança e muito mais.

Esse recurso aplica-se a:

  • Administrador de dispositivo Android (DA)

    Importante

    Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Dica

Se as definições que pretende não estiverem disponíveis, poderá conseguir configurar os seus dispositivos com um perfil personalizado.

Antes de começar

Crie um perfil de configuração de restrições de dispositivos de administrador de dispositivos Android.

Geral

  • Câmara (Android 9 e anterior, apenas Samsung KNOX Android 15 e anterior): Bloquear impede o acesso à câmara do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o acesso à câmara do dispositivo.

    Intune apenas gere o acesso à câmara do dispositivo. Não tem acesso a imagens ou vídeos.

  • Copiar e colar (apenas Samsung Knox): Bloquear impede a cópia e a colagem. Não configurado permite copiar e colar funções em dispositivos.

  • Partilha da área de transferência entre aplicações (apenas Samsung Knox): bloquear impede a utilização da área de transferência para copiar e colar entre aplicações. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir funções de copiar e colar em dispositivos.

  • Submissão de dados de diagnóstico (apenas Samsung Knox): bloquear impede os utilizadores de submeterem relatórios de erros a partir de dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores submetam os dados.

  • Reposição de fábrica (apenas Samsung KNOX Android 15 e anterior): bloquear impede que os utilizadores reponham o dispositivo de fábrica. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Geolocalização (apenas Samsung Knox): bloqueie a utilização de informações de localização para desativar os dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os dispositivos utilizem as informações de localização.

  • Desligar (apenas Samsung Knox): bloquear impede que os utilizadores desliguem o dispositivo. Também impede que o Número de falhas de início de sessão antes de limpar a definição do dispositivo seja configurado e não funcione. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desliguem os dispositivos.

  • Captura de ecrã (apenas samsung KNOX Android 15 e anterior): Bloquear impede capturas de ecrã. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores capturem os conteúdos do ecrã como uma imagem.

  • Voice assistente (apenas Samsung KNOX Android 15 e anterior): Bloquear desativa o serviço S Voice. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização do serviço de Voz S e da aplicação em dispositivos. Esta definição não se aplica ao Bixby ou ao assistente de voz para acessibilidade que lê o conteúdo do ecrã em voz alta.

  • YouTube (apenas Samsung Knox): bloquear impede os utilizadores de utilizarem a aplicação YouTube. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização da aplicação YouTube em dispositivos.

  • Dispositivos partilhados (apenas Samsung Knox): configure um dispositivo Samsung Knox Standard gerido como partilhado. Permitir permite que os utilizadores iniciem e terminem sessão nos dispositivos com as respetivas credenciais de Microsoft Entra. Os dispositivos mantêm-se geridos, quer estejam ou não a ser utilizados.

    Quando utilizada com um perfil de certificado SCEP, esta funcionalidade permite que os utilizadores partilhem um dispositivo com as mesmas aplicações para todos os utilizadores. No entanto, cada utilizador tem o seu próprio certificado de utilizador SCEP. Quando os utilizadores terminarem sessão, todos os dados da aplicação são limpos. Esta funcionalidade está limitada apenas a aplicações LOB.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode impedir que vários utilizadores iniciem sessão na aplicação Portal da Empresa em dispositivos com as respetivas credenciais de Microsoft Entra.

  • Bloquear alterações de data e hora (apenas no Samsung KNOX Android 15 e anterior): bloquear impede que os utilizadores alterem as definições de data e hora nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores alterem as definições de data e hora.

Senha

  • Encriptação: selecione Exigir para que os ficheiros no dispositivo sejam encriptados. Nem todos os dispositivos suportam encriptação. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Para configurar esta definição e comunicar corretamente a conformidade, configure também:

    1. Palavra-passe: defina como Exigir.
    2. Tipo de palavra-passe obrigatório: definido como Pelo menos numérico.
    3. Comprimento mínimo da palavra-passe: definido como, pelo menos 4, .

    Observação

    Se for imposta uma política de encriptação, os dispositivos Samsung Knox exigem que os utilizadores definam uma palavra-passe complexa de 6 carateres como código de acesso do dispositivo.

Todos os dispositivos Android

Estas definições aplicam-se a todas as versões e fabricantes do SO Android, exceto quando especificado.

  • Máximo de minutos de inatividade até o ecrã bloquear: introduza o período de tempo durante o qual um dispositivo tem de estar inativo antes de o ecrã ser bloqueado automaticamente. Por exemplo, introduza 5 para bloquear dispositivos após 5 minutos de inatividade. Quando o valor está em branco ou está definido como Não configurado, Intune não altera nem atualiza esta definição.

    Num dispositivo, os utilizadores não podem definir um valor de tempo superior ao tempo configurado no perfil. Os utilizadores podem definir um valor de tempo inferior. Por exemplo, se o perfil estiver definido como 15 minutos, os utilizadores podem definir o valor como 5 minutos. Os utilizadores não podem definir o valor como 30 minutos.

  • Número de falhas de início de sessão antes de limpar o dispositivo (apenas samsung KNOX Android 15 e anterior): introduza o número de palavras-passe erradas permitidas antes de os dispositivos serem apagados, de 4 a 11. 0 (zero) pode desativar a funcionalidade de eliminação de dados do dispositivo. Quando o valor está em branco, Intune não altera nem atualiza esta definição.

  • Palavra-passe: exigir que os utilizadores introduzam uma palavra-passe para aceder aos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores acedam a dispositivos sem introduzir uma palavra-passe.

    Observação

    Os dispositivos Samsung Knox requerem automaticamente um PIN de 4 dígitos durante a inscrição mdm. Os dispositivos Android nativos podem exigir automaticamente um PIN para ficarem em conformidade com o Acesso Condicional.

Android 10 e posteriores

  • Complexidade da palavra-passe: introduza a complexidade da palavra-passe necessária. Suas opções:

    • Nenhuma (predefinição): não é necessária nenhuma palavra-passe.
    • Baixa: a palavra-passe cumpre uma das seguintes condições:
      • Padrão
      • O PIN numérico tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468).
    • Médio: a palavra-passe cumpre uma das seguintes condições:
      • O PIN numérico não tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468) e tem um comprimento mínimo de 4.
      • Alfabético, com um comprimento mínimo de 4.
      • Alfanumérico, com um comprimento mínimo de 4.
    • Alta: a palavra-passe cumpre uma das seguintes condições:
      • O PIN numérico não tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468) e tem um comprimento mínimo de 8.
      • Alfabético, com um comprimento mínimo de 6.
      • Alfanumérico, com um comprimento mínimo de 6.

    Esta definição aplica-se a:

    • Android 10 e mais recente, mas não no Samsung Knox.

    Importante

    A definição Complexidade da palavra-passe é um trabalho em curso. No final de outubro de 2020, a complexidade da palavra-passe entrará em vigor nos dispositivos.

    Se definir a complexidade da palavra-passe para algo diferente de Nenhum, defina também a definição Palavra-passe como Exigir, que se encontra na secção Todos os dispositivos Android . Os utilizadores com palavras-passe que não cumpram os seus requisitos de complexidade recebem um aviso para atualizar a palavra-passe. Se não definir a definição Palavra-passe como Exigir, os utilizadores com palavras-passe fracas não receberão o aviso.

Android 9 e anterior, ou Samsung Knox Android 15 e anterior

Estas definições aplicam-se a dispositivos com Android 9 ou anterior e a todos os dispositivos Samsung Knox com qualquer versão 15 e anterior do SO Android.

  • Comprimento mínimo da palavra-passe: introduza o número mínimo de carateres necessário, de 4 a 16. Por exemplo, introduza 6 para exigir, pelo menos, seis números ou carateres no comprimento da palavra-passe.

  • Expiração da palavra-passe (dias): introduza o número de dias, até que a palavra-passe do dispositivo tenha de ser alterada, de 1 a 365. Por exemplo, introduza 90 para expirar a palavra-passe após 90 dias. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe. Quando o valor está em branco, Intune não altera nem atualiza esta definição.

  • Tipo de palavra-passe obrigatório: introduza o nível de complexidade da palavra-passe necessário e se os dispositivos biométricos podem ser utilizados. Suas opções:

    • Predefinição do dispositivo

    • Biometria de baixa segurança: biometria forte vs. fraca (abre o site do Android)

    • Pelo menos numérico: inclui carateres numéricos, como 123456789.

    • Complexo numérico: não são permitidos números repetidos ou consecutivos, como "1111" ou "1234". Antes de atribuir esta definição aos dispositivos, certifique-se de que atualiza a aplicação Portal da Empresa para a versão mais recente nesses dispositivos.

      Quando definido como Complexo numérico e atribuir a definição a dispositivos com uma versão android anterior à 5.0, aplica-se o seguinte comportamento:

      • Se a aplicação Portal da Empresa estiver a executar uma versão anterior à 1704, nenhuma política de PIN se aplica aos dispositivos e é apresentado um erro no centro de administração do Microsoft Intune.
      • Se a aplicação Portal da Empresa executar a versão 1704 ou posterior, só pode ser aplicado um PIN simples. A versão do Android anterior à 5.0 não suporta esta definição. Não é apresentado nenhum erro no centro de administração do Microsoft Intune.
    • Pelo menos alfabético: inclui letras no alfabeto. Não são necessários números e símbolos.

    • Pelo menos alfanumérico: inclui letras maiúsculas, letras minúsculas e carateres numéricos.

    • Pelo menos alfanumérico com símbolos: inclui letras maiúsculas, letras minúsculas, carateres numéricos, marcas de pontuação e símbolos.

  • Impedir a reutilização de palavras-passe anteriores: utilize esta definição para impedir que os utilizadores criem palavras-passe utilizadas anteriormente. Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam definir uma nova palavra-passe para a palavra-passe atual ou qualquer uma das quatro palavras-passe anteriores. Quando o valor está em branco, Intune não altera nem atualiza esta definição.

  • Desbloqueio por impressão digital (apenas Samsung Knox): bloquear impede a utilização de uma impressão digital para desbloquear dispositivos. Quando definido como Não configurado (predefinição), Intune não altera nem atualiza esta definição. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem dispositivos com uma impressão digital.

  • Bloqueio Inteligente e outros agentes de fidedignidade: bloquear impede que o Bloqueio Inteligente ou outros agentes de confiança ajustem as definições do ecrã de bloqueio. Se o dispositivo estiver numa localização fidedigna, esta funcionalidade, também conhecida como agente de confiança, permite desativar ou ignorar a palavra-passe do ecrã de bloqueio do dispositivo. Por exemplo, utilize esta funcionalidade quando os dispositivos estiverem ligados a um dispositivo Bluetooth específico ou quando os dispositivos estiverem próximos de uma etiqueta NFC. Pode utilizar esta definição para impedir que os utilizadores configurem o Smart Lock.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Esta definição aplica-se a:

    • Samsung KNOX Standard 5.0 e mais recente

Google Play Store

  • Google Play Store (apenas Samsung Knox): bloquear impede os utilizadores de utilizarem a Google Play Store. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores acedam à Google Play Store em dispositivos.

Aplicativos restritos

Esta funcionalidade é suportada em dispositivos Android e Samsung Knox Standard.

  • Tipo de lista de aplicações restritas: crie uma lista de aplicações para permitir ou bloquear em dispositivos. Esta funcionalidade é suportada em dispositivos Android e Samsung Knox Standard. Suas opções:

    • Não configurado (predefinição): Intune não altera nem atualiza esta definição.
    • Aplicações proibidas: liste as aplicações (não geridas por Intune) que os utilizadores não têm permissão para instalar e executar. Se um utilizador instalar uma aplicação a partir desta lista, Intune notifica-o.
    • Aplicações aprovadas: liste as aplicações que os utilizadores têm permissão para instalar. Para se manterem em conformidade, os utilizadores não podem instalar outras aplicações. Intune aplicações geridas são automaticamente permitidas, incluindo a aplicação Portal da Empresa.
  • Lista de aplicações: Adicionar a sua aplicação:

    • URL da App Store: introduza o URL da Google Play Store da aplicação que pretende. Por exemplo, para adicionar a aplicação Área de Trabalho Remota da Microsoft para Android, introduza https://play.google.com/store/apps/details?id=com.microsoft.rdc.android.

      Para localizar o URL de uma aplicação, abra a Google Play Store e procure a aplicação. Por exemplo, procure Microsoft Remote Desktop Play Store ou Microsoft Planner. Selecione a aplicação e copie o URL.

    • ID do pacote de aplicação: introduza o ID do pacote de aplicações. Para obter o ID do pacote de uma aplicação adicionado ao Intune, pode utilizar o centro de administração do Intune.

    • Nome da aplicação: introduza o nome que pretende. Este nome é apresentado aos utilizadores.

    • Publicador (opcional): introduza o publicador da aplicação, como Microsoft.

Também pode Importar um ficheiro CSV com detalhes sobre a aplicação, incluindo o URL. Utilize o URL> da aplicação<, <o nome> da aplicação e <o formato do publicador> da aplicação. Em alternativa, exporte uma lista existente que inclua a lista de aplicações restritas no mesmo formato.

Importante

Os perfis de dispositivo que utilizam as definições restritas da aplicação têm de ser atribuídos a grupos de utilizadores e não a grupos de dispositivos.

Navegador

  • Browser (apenas Samsung Knox): bloquear impede que o browser predefinido seja utilizado em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização do browser predefinido do dispositivo.
  • Preenchimento automático (apenas Samsung Knox): Bloquear impede que o browser preencha automaticamente o texto. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o Preenchimento Automático.
  • Cookies (apenas Samsung Knox): escolha como lidar com cookies de sites em dispositivos. Suas opções:
    • Permitir
    • Bloquear todos os cookies
    • Permitir cookies de sites visitados
    • Permitir cookies a partir do web site atual
  • JavaScript (apenas Samsung Knox): bloquear impede a execução de JavaScript no browser. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir estes scripts.
  • Pop-ups (apenas Samsung Knox): bloquear ativa o Bloqueador de Janelas de Pop-up para impedir pop-ups no browser. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir pop-ups.

Permitir ou Bloquear aplicações

Utilize estas definições para permitir, bloquear ou ocultar aplicações específicas em dispositivos Samsung Knox Standard. As aplicações ocultas não podem ser abertas ou executadas pelos utilizadores.

Suas opções:

  • Aplicações com permissão para instalação (apenas Samsung Knox Standard): adicione aplicações que os utilizadores podem instalar. Os utilizadores não podem instalar aplicações que não estão na lista.
  • Aplicações impedidas de iniciar (apenas Samsung Knox Standard): introduza as aplicações que os utilizadores não podem executar no respetivo dispositivo.
  • Aplicações ocultas do utilizador (apenas Samsung Knox Standard): introduza as aplicações ocultas nos dispositivos. Os utilizadores não conseguem detetar ou executar estas aplicações.

Para cada definição, adicione as suas aplicações:

  • Adicionar aplicações pelo nome do pacote: introduza o nome da aplicação e o nome do pacote de aplicação. Utilizado principalmente para aplicações de linha de negócio.
  • Adicionar aplicações por URL: introduza o nome da aplicação e o respetivo URL na Google Play Store.
  • Adicionar aplicação da loja: selecione uma aplicação na lista existente de aplicações que gere no Intune.

Nuvem e Armazenamento

  • Cópia de segurança do Google (apenas samsung KNOX Android 15 e anterior): bloquear impede que os dispositivos sincronizem com a cópia de segurança do Google. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização da cópia de segurança do Google.
  • Sincronização automática da conta Google (apenas Samsung Knox): Bloquear impede a funcionalidade de sincronização automática da conta Google nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que as definições da conta Google sejam sincronizadas automaticamente.
  • Armazenamento amovível (apenas Samsung Knox): bloquear impede que os dispositivos utilizem armazenamento amovível. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os dispositivos utilizem armazenamento amovível, como um card SD.
  • Encriptação em cartões de armazenamento (apenas Samsung KNOX Android 15 e anterior): é necessário impor que os cartões de armazenamento têm de ser encriptados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização de cartões de armazenamento não encriptados. Nem todos os dispositivos suportam a encriptação de card de armazenamento. Para confirmar, marcar com o fabricante do dispositivo.

Rede móvel e conectividade

  • Roaming de dados (apenas Samsung Knox): bloquear impede o roaming de dados através da rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o roaming de dados.
  • Mensagens SMS/MMS (apenas samsung KNOX Android 15 e anterior): Bloquear impede mensagens de texto em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização de mensagens SMS e MMS.
  • Marcação por voz (apenas Samsung Knox): bloquear impede que os utilizadores utilizem a funcionalidade de marcação por voz nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a marcação por voz.
  • Roaming de voz (apenas Samsung Knox): Bloquear impede o roaming de voz através da rede celular. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o roaming de voz.
  • Bluetooth (apenas Samsung KNOX Android 15 e anterior): bloquear impede a utilização de Bluetooth em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização de Bluetooth.
  • NFC (apenas Samsung Knox): Bloquear desativa operações que utilizam comunicação de proximidade (NFC) em dispositivos que a suportam. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir operações NFC.
  • Wi-Fi (apenas Samsung KNOX Android 15 e anterior): bloquear impede a utilização de Wi-Fi em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização de Wi-Fi.
  • Tethering Wi-Fi (apenas Samsung KNOX Android 15 e anterior): Bloquear impede a utilização de Wi-Fi tethering em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização de Wi-Fi tethering.

Quiosque

As definições de quiosque aplicam-se apenas a dispositivos Samsung Knox Standard com o Android 10 ou anterior e apenas a aplicações que gere com Intune.

  • Adicione aplicações que pretende executar quando o dispositivo estiver no modo de quiosque. No modo de quiosque, apenas as aplicações que adicionar são executadas; as aplicações não adicionadas não são executadas. Os browsers pré-instalados não são executados como uma aplicação quando o dispositivo está no modo de quiosque. Se for necessário um browser, considere utilizar o Managed Browser.

    Opções da sua aplicação:

    • Adicionar aplicações por nome de pacote: principalmente utilizadas para aplicações de linha de negócio. Introduza o nome da aplicação e o nome do pacote de aplicação.
    • Adicionar aplicações por URL: introduza o nome da aplicação e o respetivo URL na Google Play Store.
    • Adicionar aplicação da loja: selecione uma aplicação na lista existente de aplicações que gere no Intune.
  • Botão de suspensão do ecrã: Bloquear impede ou oculta o botão de suspensão do ecrã. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o botão de reativação do modo de suspensão do ecrã nos dispositivos.

  • Botões de volume: bloquear impede que os utilizadores ajustem o volume ao desativar os botões de volume. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização dos botões de volume nos dispositivos.

Próximas etapas

Atribuir o perfil e monitorar seu status.

Também pode criar perfis de quiosque para dispositivos Android Enterprise e Windows .