Criar políticas de segurança de dispositivos no Basic Mobility and Security
Pode utilizar a Mobilidade e Segurança Básicas para criar políticas de dispositivos que ajudam a proteger as informações da sua organização sobre o Microsoft 365 contra o acesso não autorizado. Pode aplicar políticas a qualquer dispositivo móvel na sua organização em que o utilizador do dispositivo tenha uma licença do Microsoft 365 aplicável e tenha inscrito o dispositivo no Basic Mobility and Security.
Antes de começar
Importante
Antes de poder criar uma política de dispositivos móveis, tem de ativar e configurar o Basic Mobility and Security. Para obter mais informações, consulte Descrição geral da Mobilidade e Segurança Básicas do Microsoft 365.
- Saiba mais sobre os dispositivos, as aplicações de dispositivos móveis e as definições de segurança suportadas pelo Basic Mobility and Security. Veja Capacidades de Mobilidade e Segurança Básicas.
- Crie grupos de segurança que incluam utilizadores do Microsoft 365 que pretenda implementar políticas para e para utilizadores que possa querer excluir do acesso bloqueado ao Microsoft 365. Recomendamos que antes de implantar uma nova política em sua organização, teste a política implantando-a em um pequeno número de usuários. Pode criar e utilizar um grupo de segurança que inclua apenas o utilizador ou um pequeno número de utilizadores do Microsoft 365 que possam testar a política automaticamente. Para saber mais sobre grupos de segurança, consulte Criar, editar ou eliminar um grupo de segurança.
- Para criar e implementar políticas básicas de Mobilidade e Segurança no Microsoft 365, tem de ser um administrador de Conformidade. Para obter mais informações, consulte Funções incorporadas do Microsoft Entra.
- Antes de implementar políticas, informe a sua organização sobre os potenciais impactos da inscrição de um dispositivo no Basic Mobility and Security. Dependendo da forma como configura as políticas, os dispositivos não conformes podem ser impedidos de aceder ao Microsoft 365 e aos dados, incluindo aplicações instaladas, fotografias e informações pessoais num dispositivo inscrito e os dados podem ser eliminados.
Observação
As políticas e regras de acesso criadas no Basic Mobility and Security para o Microsoft 365 Business Standard substituem as políticas de caixa de correio de dispositivos móveis do Exchange ActiveSync e as regras de acesso a dispositivos criadas no centro de administração do Exchange. Depois de um dispositivo ser inscrito no Basic Mobility and Security para o Microsoft 365 Business Standard, qualquer política de caixa de correio de dispositivo móvel do Exchange ActiveSync ou regra de acesso de dispositivo aplicada ao dispositivo é ignorada. Para saber mais sobre o Exchange ActiveSync, consulte Exchange ActiveSync no Exchange Online.
Passo 1: criar uma política de dispositivo e implementar num grupo de teste
Antes de poder começar, certifique-se de que ativou e configurou o Basic Mobility and Security. Para obter instruções, veja Descrição geral da Mobilidade e Segurança Básicas.
A partir do browser, aceda a https://compliance.microsoft.com/basicmobilityandsecurity.
No separador Políticas , selecione Criar.
Na página Nome da política , adicione e nome e uma descrição e selecione Seguinte.
Na página Requisitos de acesso, especifique os requisitos que pretende aplicar aos dispositivos móveis na sua organização e selecione Seguinte.
Na página Configurações , selecione requisitos de configuração para a sua organização e selecione Seguinte.
Na página Implementação , selecione um grupo de segurança ao qual aplicar esta política.
Na página Rever , verifique as suas seleções e selecione Submeter.
A política é enviada para o dispositivo de cada utilizador a política aplica-se à próxima vez que iniciar sessão no Microsoft 365 utilizando o respetivo dispositivo móvel. Se os utilizadores ainda não tiverem uma política aplicada aos respetivos dispositivos móveis, depois de implementar a política, receberão uma notificação no respetivo dispositivo que inclui os passos para inscrever e ativar a Mobilidade e Segurança Básicas. Para obter mais informações, consulte Inscrever o seu dispositivo móvel com o Basic Mobility and Security. Até concluirem a inscrição no Basic Mobility and Security alojado pelo Serviço do Intune, o acesso ao e-mail, ao OneDrive e a outros serviços é restrito. Depois de concluirem a inscrição com a aplicação Portal da Empresa do Intune, podem utilizar os serviços e a política é aplicada aos respetivos dispositivos.
Passo 2: verificar se a política funciona
Depois de criar uma política de dispositivo, verifique se a política funciona como esperado antes de a implementar na sua organização.
- A partir do browser, aceda a https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecione Ver a lista de dispositivos geridos.
- Verifique o status de dispositivos do usuário com a política aplicada. Pretende que o Estado dos dispositivos seja Gerido.
- Também pode efetuar uma eliminação completa ou seletiva num dispositivo ao clicar no botão Reposição de fábrica ou Remover dados da empresa do botão Gerir depois de selecionar um dispositivo. Para obter instruções, consulte Apagar um dispositivo móvel no Basic Mobility and Security.
Passo 3: implementar uma política na sua organização
Depois de criar uma política de dispositivo e verificar se funciona conforme esperado, implemente-a na sua organização.
- No seu browser, escreva: https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecione a política que pretende implementar e selecione Editar junto a Grupos aplicados.
- Procure um grupo para adicionar e clique em Selecionar.
- Selecione Fechar e Alterar definição.
- Selecione Fechar e Editar política.
A política é enviada para o dispositivo móvel de cada utilizador a política aplica-se à próxima vez que iniciar sessão no Microsoft 365 a partir do respetivo dispositivo móvel. Se os utilizadores não tiverem uma política aplicada aos respetivos dispositivos móveis, recebem uma notificação no respetivo dispositivo com os passos para inscrevê-la e ativá-la para Mobilidade e Segurança Básicas. Depois de concluir a inscrição, a política é aplicada ao respetivo dispositivo. Para obter mais informações, consulte Inscrever o seu dispositivo móvel com o Basic Mobility and Security.
Passo 4: bloquear o acesso ao e-mail para dispositivos não suportados
Para ajudar a proteger as informações da sua organização, deve bloquear o acesso da aplicação ao e-mail do Microsoft 365 para dispositivos móveis que não são suportados pelo Basic Mobility and Security. Para obter uma lista dos dispositivos suportados, veja Dispositivos suportados.
Para bloquear o acesso à aplicação:
No browser, escreva https://compliance.microsoft.com/basicmobilityandsecurity.
Selecione o separador Definição da Organização .
Para bloquear dispositivos não suportados, selecione Acesso em Se um dispositivo não for suportado pelo Basic Mobility and Security para o Microsoft 365 e, em seguida, selecione Guardar.
Etapa 5: Escolher grupos de segurança a serem excluídos de verificações de acesso condicional
Se quiser excluir algumas pessoas de verificações de acesso condicional em seus dispositivos móveis e você criou um ou mais grupos de segurança para essas pessoas, adicione os grupos de segurança aqui. As pessoas nestes grupos não terão políticas impostas para os seus dispositivos móveis suportados. Esta é a opção recomendada se já não quiser utilizar o Basic Mobility and Security na sua organização.
No browser, escreva https://compliance.microsoft.com/basicmobilityandsecurity.
Selecione o separador Definição da Organização .
Selecione Adicionar para adicionar o grupo de segurança que tem utilizadores que pretende excluir de ter acesso bloqueado ao Microsoft 365. Quando um utilizador é adicionado a esta lista, pode aceder ao e-mail do Microsoft 365 quando estiver a utilizar um dispositivo não suportado.
Selecione o grupo de segurança que pretende utilizar no painel Selecionar grupo .
Selecione o nome e, em seguida, Adicionar>Guardar.
No painel Definições da Organização , selecione Guardar.
Qual é o impacto das políticas de segurança em tipos diferentes de dispositivos?
Quando aplica uma política a dispositivos de utilizador, o impacto em cada dispositivo varia um pouco entre os tipos de dispositivo. Consulte a tabela a seguir para obter exemplos do impacto das políticas em dispositivos diferentes.
| Política de segurança | Android | Samsung KNOX | iOS | Notas |
|---|---|---|---|---|
| Exige backup criptografado | Não | Sim | Sim | Cópia de segurança encriptada do iOS necessária. |
| Bloquear cópia de segurança na nuvem | Sim | Sim | Sim | Bloqueie a cópia de segurança do Google no Android (desativado), cópia de segurança na cloud no iOS supervisionado. |
| Bloquear sincronização de documento | Não | Não | Sim | iOS: bloquear documentos na cloud em dispositivos iOS supervisionados. |
| Bloquear sincronização de fotos | Não | Não | Sim | iOS (nativo): Bloquear fluxo de foto. |
| Bloquear captura de tela | Não | Sim | Sim | Bloqueado quando tentado. |
| Bloquear videoconferência | Não | Não | Sim | FaceTime bloqueado em dispositivos iOS supervisionados, não no Skype ou noutros. |
| Bloquear o envio de dados de diagnóstico | Não | Sim | Sim | Bloquear o envio de relatório de falha do Google no Android. |
| Bloquear o acesso à loja de aplicativos | Não | Sim | Sim | Ícone da Loja de Aplicações em falta na home page do Android, desativado no Windows e em dispositivos iOS supervisionados. |
| Exigir senha para a loja de aplicativos | Não | Não | Sim | iOS: Senha necessária para compras do iTunes. |
| Bloquear a conexão ao armazenamento removível | Não | Sim | N/D | Android: o cartão SD está desativado nas definições, o Windows notifica o utilizador, as aplicações instaladas não estão disponíveis |
| Bloquear conexão Bluetooth | Ver notas | Ver notas | Sim | Não é possível desativar o BlueTooth como uma definição no Android. Em vez disso, desativamos todas as transações que requerem BlueTooth: Distribuição de Áudio Avançada, Controlo Remoto de Áudio/Vídeo, dispositivos mãos livres, auscultadores, Acesso à Lista Telefónica e Porta de Série. Uma mensagem em caixa de informações aparece na parte inferior da página quando qualquer um desses dispositivos são usados. |
O que acontece quando você exclui uma política ou remove um usuário da política?
Quando elimina uma política ou remove um utilizador de um grupo no qual a política foi implementada, as definições de política, o perfil de e-mail do Microsoft 365 e os e-mails em cache podem ser removidos do dispositivo do utilizador. Consulte a tabela seguinte para ver o que é removido para os diferentes tipos de dispositivo.
| O que é removido | iOS | Android (incluindo Samsung KNOX) |
|---|---|---|
| Perfis de e-mail geridos1 | Sim | Não |
| Bloquear cópia de segurança na nuvem | Sim | Não |
1 Se a política tiver sido implementada com a opção O perfil de e-mail é gerido selecionado, o perfil de e-mail gerido e os e-mails em cache nesse perfil são eliminados do dispositivo do utilizador.
A política é removida do dispositivo móvel para cada utilizador a política aplica-se à próxima vez que o dispositivo iniciar sessão com o Basic Mobility and Security. Se implementar uma nova política que se aplique a estes dispositivos de utilizador, ser-lhe-á pedido que se reinscreva no Basic Mobility and Security.
Também pode apagar completamente um dispositivo ou eliminar seletivamente as informações organizacionais do dispositivo. Para obter mais informações, consulte Apagar um dispositivo móvel no Basic Mobility and Security.
Conteúdo relacionado
Descrição geral do Basic Mobility and Security (artigo)
Capacidades de Mobilidade e Segurança Básicas (artigo)