Definições de Conformidade do Dispositivo para administrador de dispositivos Android no Intune

Este artigo lista as definições de compatibilidade que pode configurar em dispositivos administradores de dispositivos Android no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para marcar os dispositivos rooting como não conformes, definir um nível de ameaça permitido, ativar o Google Play Protect e muito mais.

Para obter assistência na configuração da política de conformidade, veja Utilizar políticas de conformidade para definir regras para dispositivos que gere com Intune.

Esse recurso aplica-se a:

• Administrador de dispositivo Android

Como administrador Intune, utilize estas definições de conformidade para ajudar a proteger os recursos organizacionais. Para saber mais sobre as políticas de conformidade e o que fazem, veja Introdução à conformidade do dispositivo.

Importante

Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Antes de começar

Crie uma política de conformidade. Em Plataforma, selecione Administrador de dispositivos Android.

Microsoft Defender para Ponto de Extremidade

• Exigir que o dispositivo esteja na pontuação de risco do computador ou abaixo dela

  Selecione a classificação de risco máximo permitido da máquina para dispositivos avaliados por Microsoft Defender para Ponto de Extremidade. Os dispositivos que excedem esta classificação são marcados como não conformes.

  • Não configurado (predefinição)
  • Clear
  • Baixo
  • Medium
  • High

Integridade do dispositivo

• Dispositivos geridos com administrador de dispositivos
  As capacidades de administrador de dispositivos são substituídos pelo Android Enterprise.

  • Não configurado (predefinição)
  • Bloquear – o administrador de dispositivos de bloqueio orienta os utilizadores a mudarem-se para a gestão do Perfil de Trabalho Pessoal e Pertencente à Empresa do Android Enterprise para recuperar o acesso.

• Dispositivos com root
  Impedir que os dispositivos rooting tenham acesso empresarial. (Esta marcar de conformidade é suportada para Android 4.0 e superior.)

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – marque os dispositivos rooting como não conformes.

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou abaixo dele
  Utilize esta definição para assumir a avaliação de riscos de um serviço de Defesa Contra Ameaças para Dispositivos Móveis ligado como uma condição de conformidade.

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Protegido – esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se o dispositivo for detetado com qualquer nível de ameaças, o dispositivo é avaliado como não conforme.
  • Baixo – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer coisa acima disso coloca o dispositivo no estado de não compatível.
  • Médio – o dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, o dispositivo é determinado como não conforme.
  • Alta – esta opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.

Google Play Protect

Importante

Os dispositivos que operam em países/regiões onde o Google Mobile Services não está disponível falharão nas avaliações de definição da política de conformidade do Google Play Protect. Para obter mais informações, consulte Gerir dispositivos Android em que o Google Mobile Services não está disponível.

• Google Play Services configurado
  Os serviços do Google Play permitem atualizações de segurança e são uma dependência de nível base para muitas funcionalidades de segurança em dispositivos Google certificados.

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – exigir que a aplicação de serviços do Google Play esteja instalada e ativada.

• Provedor de segurança atualizado

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – exigir que um fornecedor de segurança atualizado possa proteger um dispositivo contra vulnerabilidades conhecidas.

• Verificação de ameaças em aplicativos

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – exigir que a funcionalidade Verificar Aplicações do Android esteja ativada.

  Observação

  Na plataforma Android legada, esta funcionalidade é uma definição de conformidade. Intune só pode marcar se esta definição está ativada ao nível do dispositivo.

• Reproduzir veredicto de integridade
  Introduza o nível de Integridade do Jogo da Google que tem de ser cumprido. Suas opções:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Verificar a integridade básica
  • Verificar a integridade básica & integridade do dispositivo

Observação

Para configurar as definições do Google Play Protect com políticas de proteção de aplicações, consulte Intune definições de política de proteção de aplicações no Android.

Propriedades do Dispositivo

Versão do Sistema Operativo

• Versão mínima do SO
  Quando um dispositivo não cumpre o requisito mínimo de versão do SO, os dispositivos são reportados como não conformes. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo e, em seguida, obter acesso aos recursos da empresa.

  Por predefinição, não está configurada nenhuma versão.

• Versão máxima do SO
  Quando um dispositivo está a utilizar uma versão do SO posterior à versão especificada na regra, o acesso aos recursos da empresa é bloqueado. É pedido ao utilizador que contacte o administrador de TI. Até que uma regra seja alterada para permitir a versão do SO, este dispositivo não pode aceder aos recursos da empresa.

  Por predefinição, não está configurada nenhuma versão.

Segurança do Sistema

Criptografia

• Exigir a encriptação do armazenamento de dados no dispositivo
  Suportado no Android 11 e anterior, ou Samsung KNOX Android 14 e anterior.

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – encriptar o armazenamento de dados nos seus dispositivos. Os dispositivos são encriptados quando seleciona a definição Exigir uma palavra-passe para desbloquear dispositivos móveis .

Segurança do Dispositivo

• Bloquear aplicativos de fontes desconhecidas
  Suportado no Android 4.0 para Android 7.x. Não suportado pelo Android 8.0 e posterior

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – bloqueie dispositivos com origens ativadas por Origens Desconhecidas de Segurança > (suportado no Android 4.0 através do Android 7.x). Não suportado no Android 8.0 e posterior.).

  Para aplicações de side load, têm de ser permitidas origens desconhecidas. Se não estiver a carregar aplicações Android de lado, defina esta funcionalidade como Bloquear para ativar esta política de conformidade.

  Importante

  As aplicações de sideload requerem que a definição Bloquear aplicações de origens desconhecidas esteja ativada. Aplique esta política de conformidade apenas se não estiver a carregar aplicações Android em dispositivos.

• Integridade do runtime da aplicação do portal da empresa

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.

  • Exigir – selecione Exigir para confirmar que a aplicação Portal da Empresa cumpre todos os seguintes requisitos:

    • Tem o ambiente de runtime predefinido instalado
    • Está assinado corretamente
    • Não está no modo de depuração

• Bloquear depuração de USB no dispositivo
  (Suportado no Android 4.2 ou posterior)

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – impeça que os dispositivos utilizem a funcionalidade de depuração USB.

• Nível mínimo do patch de segurança
  (Suportado no Android 8.0 ou posterior)

  Selecione o nível de patch de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não estão, pelo menos, neste nível de patch não estão em conformidade. A data tem de ser introduzida no YYYY-MM-DD formato .

  Por predefinição, não está configurada nenhuma data.

• Aplicativos restritos
  Introduza o Nome da aplicação e o ID do pacote de aplicações para aplicações que devem ser restritas e, em seguida, selecione Adicionar. Um dispositivo com, pelo menos, uma aplicação restrita instalada é marcado como não conforme.

  Para obter o ID do pacote de uma aplicação adicionado ao Intune, pode utilizar o centro de administração do Intune.

• Máximo de minutos de inatividade antes de a palavra-passe ser exigida (Samsung KNOX Android 12 e anterior)
  Esta definição especifica o período de tempo sem a entrada do utilizador após o qual o ecrã do dispositivo móvel está bloqueado. As opções variam entre 1 Minuto e 8 Horas. O valor recomendado é 15 Minutos.

  • Não configurado(predefinição)

• Exigir uma senha para desbloquear os dispositivos móveis

  Esta definição especifica se os utilizadores devem introduzir uma palavra-passe antes de o acesso ser concedido às informações nos respetivos dispositivos móveis. Valor recomendado: Exigir (esta marcar de conformidade é suportada para dispositivos com as versões do SO Android 4.0 e superior, ou KNOX 4.0 e superior.)

  • Não configurado(predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.

  • Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo. Quando definido para exigir, configure também:

    • Complexidade da palavra-passe
    • Tipo de senha obrigatória

Android 10 e posteriores

As seguintes definições são suportadas no Android 10 ou posterior, mas não no Knox.

• Complexidade da palavra-passe
  Esta definição é suportada no Android 10 ou posterior, mas não no Samsung Knox. Em dispositivos com Android 9 e anterior ou Samsung Knox, as definições para o comprimento da palavra-passe e o tipo substituem esta definição por complexidade.

  Especifique a complexidade da palavra-passe necessária.

  • Nenhum(predefinição) – não é necessária nenhuma palavra-passe.
  • Baixa – a palavra-passe cumpre uma das seguintes condições:
    • Padrão
    • O PIN numérico tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468).
  • Médio - A palavra-passe cumpre uma das seguintes condições:
    • O PIN numérico não tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468) e tem um comprimento mínimo de 4.
    • Alfabético, com um comprimento mínimo de 4.
    • Alfanumérico, com um comprimento mínimo de 4.
  • Alta – a palavra-passe cumpre uma das seguintes condições:
    • O PIN numérico não tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468) e tem um comprimento mínimo de 8.
    • Alfabético, com um comprimento mínimo de 6.
    • Alfanumérico, com um comprimento mínimo de 6.

Android 9 e anterior, ou Samsung Knox Android 15 e anterior

As seguintes definições são suportadas no Android 9.0 e anterior e em qualquer versão 15 e anterior do SO Android.

• Tipo de senha obrigatória
  Escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma mistura de numerais e outros carateres.

  • Predefinição do Dispositivo – para avaliar a conformidade da palavra-passe, certifique-se de que seleciona uma força de palavra-passe diferente da Predefinição do dispositivo.
  • Biometria de baixa segurança
  • Pelo menos numérico
  • Complexo numérico – não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, .
  • Pelo menos alfabético
  • Pelo menos alfanumérico
  • Pelo menos alfanumérico com símbolos

  Com base na configuração desta definição, está disponível uma ou mais das seguintes opções:

  • Comprimento mínimo da senha
    Introduza o número mínimo de dígitos ou carateres que a palavra-passe do utilizador tem de ter.

  • Máximo de minutos de inatividade antes que a senha seja exigida
    Introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe. Quando escolhe Não configurado (predefinição), esta definição não é avaliada quanto à conformidade ou não conformidade.

  • Número de dias até que a senha expire
    Selecione o número de dias antes de a palavra-passe expirar e o utilizador tem de criar uma nova palavra-passe.

  • Número de senhas anteriores para evitar a reutilização
    Introduza o número de palavras-passe recentes que não podem ser reutilizadas. Utilize esta definição para impedir que o utilizador crie palavras-passe utilizadas anteriormente.

Próximas etapas

• Adicione ações para dispositivos não conformes e utilize etiquetas de âmbito para filtrar políticas.
• Monitorize as políticas de conformidade.
• Veja as definições de política de conformidade para dispositivos Android Enterprise .