Definições de políticas de proteção de aplicações Android no Microsoft Intune

  • Artigo

Este artigo descreve as definições de políticas de proteção de aplicações para dispositivos Android. As definições de política descritas podem ser configuradas para uma política de proteção de aplicações no painel de Definições no portal. Existem três categorias de definições de políticas: definições de proteção de dados, requisitos de acesso e lançamento condicional. Neste artigo, o termo aplicações geridas por políticas menciona as aplicações configuradas com políticas de proteção de aplicações.

Importante

O Portal da Empresa do Intune é necessário no dispositivo para receber políticas de proteção de aplicações para dispositivos Android. Para obter mais informações, veja os Requisitos das aplicações de acesso ao Portal da Empresa do Intune.

O Intune Managed Browser foi reformado. Utilize Microsoft Edge para a sua experiência de navegador Intune protegida.

Proteção de dados

Transferência de Dados

Definições Como utilizar Valor predefinido
Dados de backup org para serviços de backup Android Selecione Block para evitar que esta aplicação faça o backup de dados de trabalho ou escola para o Serviço de Backup Android.

Selecione Deixe esta aplicação fazer o back up work ou os dados escolares.		 Permitir
Enviar dados org para outras aplicações Especifique que aplicações podem receber dados desta aplicação:
  • Aplicações geridas por políticas: permitir transferências apenas para outras aplicações geridas por políticas.
  • Todas as aplicações: Permitir a transferência para qualquer aplicação.
  • Nenhuma: não permite a transferência de dados para nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Existem algumas aplicações e serviços isentos aos quais o Intune poderá permitir a transferência de dados por predefinição. Além disso, pode criar as suas próprias isenções se tiver de permitir a transferência de dados para uma aplicação que não suporta a aplicação Intune. Para mais informações, consulte as isenções de transferência de dados.

Esta política também poderá aplicar-se a Ligações de Aplicações Android. As ligações Web gerais são geridas pela definição de política Abrir ligações de aplicações no Intune Managed Browser.

Nota

A Intune não suporta atualmente a funcionalidade Android Instant Apps. O Intune irá bloquear qualquer ligação de dados de ou para a aplicação. Para mais informações, consulte Aplicativos Instantâneos Android na documentação do Android Developer.

Se os dados do Org para outras aplicações forem configurados para todas as aplicações, os dados de texto podem ainda ser transferidos através da partilha de SISTEMA para a área de transferência.

 Todas as aplicações
    Selecionar aplicações a excluir
 Esta opção está disponível quando seleciona Aplicações geridas por políticas na opção anterior.
    Guardar cópias de dados org
 Escolha o Bloco para desativar a utilização da opção Salvar como nesta aplicação. Escolha Permitir se quiser permitir a utilização de Save As. Quando definido para bloquear, pode configurar a definição Permitir que o utilizador guarde cópias para serviços selecionados.

Nota:
  • Esta definição é suportada para Microsoft Excel, OneNote, PowerPoint e Word. Também pode ser suportado por aplicações de terceiros e LOB.
  • Esta definição só é configurável quando a definição Enviar dados org para outras aplicações é definido para aplicações geridas por Política.
  • Esta definição será "Permitir" quando a definição Enviar dados org para outras aplicações estiver definido para todas as aplicações.
  • Esta definição será "Block" sem localizações de serviço permitidas quando a definição Enviar dados org para outras aplicações está definido para Nenhum.
 Permitir
      Permitir que o utilizador guarde cópias em serviços selecionados
 Os utilizadores podem guardar nos serviços selecionados (OneDrive para Empresas, SharePoint e Armazenamento Local). Todos os outros serviços serão bloqueados. 0 selecionados
    Transferir dados de telecomunicações para
 Normalmente, quando um utilizador seleciona um número de telefone hiperligado numa aplicação, uma aplicação de marcação abrir-se-á com o número de telefone pré-voado e pronto a ser chamado. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando for iniciado a partir de uma aplicação gerida por políticas:
  • Nenhum, não transfira estes dados entre aplicações: Não transfira dados de comunicação quando for detetado um número de telefone.
  • Uma aplicação específica de marcação: Permita que uma aplicação de marcação específica inicie o contacto quando for detetado um número de telefone.
  • Qualquer aplicação de marcação gerida por políticas: Permita que qualquer aplicação de marcação gerida por políticas inicie o contacto quando for detetado um número de telefone.
  • Qualquer aplicação de marcação: Permita que qualquer aplicação de marcação seja utilizada para iniciar o contacto quando for detetado um número de telefone.
 Qualquer aplicação de marcação
      Pacote de aplicativo Dialer ID
 Quando uma aplicação de marcação específica tiver sido selecionada, você deve fornecer o ID do pacote de aplicações. Vazio
      Nome da aplicação Dialer
 Quando uma aplicação de marcação específica tiver sido selecionada, deve fornecer o nome da aplicação de marcação. Vazio
Receber dados de outras aplicações Especifique que aplicações podem transferir dados para esta aplicação:
  • Aplicações geridas por políticas: permitir transferências apenas a partir de outras aplicações geridas por políticas.
  • Todas as aplicações: Permitir a transferência de dados a partir de qualquer app.
  • Nenhuma: não permite transferências de dados a partir de nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Existem algumas aplicações e serviços isentos a partir dos quais o Intune poderá permitir a transferência de dados. Veja Isenções de transferência de dados para obter uma lista completa das aplicações e dos serviços.

 Todas as aplicações
    Abrir dados em documentos org
 Selecione Block para desativar a utilização da opção Open ou outras opções para partilhar dados entre contas nesta aplicação. Selecione Permita se quiser permitir a utilização do Open.

Quando definido para Bloquear pode configurar o Permitir que o utilizador abra dados de serviços selecionados para determinados que serviços são permitidos para localizações de dados org.

Nota:
  • Esta definição só é configurável quando a definição Receber dados de outras aplicações é definido para aplicações geridas pela Política.
  • Esta definição será "Permitir" quando a definição Receber dados de outras aplicações é definido para todas as aplicações.
  • Esta definição será "Block" sem locais de serviço permitidos quando a definição Receber dados de outras aplicações é definido para Nenhum.
  • As seguintes aplicações suportam esta definição:
    • OneDrive 6.14.1 ou mais tarde.
    • Outlook para Android 4.2039.2 ou mais tarde.

Permitir
      Permitir que os utilizadores abram dados a partir de serviços selecionados
 Selecione os serviços de armazenamento de aplicações a partir dos quais os utilizadores podem abrir dados. Todos os outros serviços são bloqueados. A seleção de nenhum serviço impedirá os utilizadores de abrirem dados.

Serviços apoiados:
  • OneDrive para Empresas
  • SharePoint Online
  • Câmara
Nota: A câmara não inclui o acesso a Fotos ou Galeria de Fotos.		 Todos os selecionados
Restringir cortar, copiar e colar com outras aplicações Especifique quando as ações de corte, cópia e colagem podem ser utilizadas com esta aplicação. Escolha entre:
  • Bloqueado: não permitir ações de corte, cópia e colagem entre esta aplicação e outras aplicações.
  • Aplicações geridas por políticas: permitir ações de corte, cópia e colagem entre esta aplicação e outras aplicações geridas por políticas.
  • Aplicações geridas por políticas com colar em: permitir ações de corte ou cópia entre esta aplicação e outras aplicações geridas por políticas. Permitir que os dados de qualquer aplicação sejam colados nesta aplicação.
  • Qualquer aplicação: sem restrições para ações de corte, cópia e colagem de e para esta aplicação.
 Qualquer aplicação
    Corte e copie limite de caracteres para qualquer app
 Especifique o número de caracteres que podem ser cortados ou copiados a partir de dados e contas org. Isto permitirá a partilha do número especificado de caracteres quando seria bloqueado pela definição "Restringir o corte, cópia e colar com outras aplicações".

Valor predefinido = 0

Nota: Requer Portal da Empresa do Intune versão 5.0.4364.0 ou posterior.

 0
Captura de ecrã e Assistente do Google Selecione Block para bloquear a captura de ecrã e as capacidades do Google Assistant do dispositivo ao utilizar esta aplicação. Escolher Permitir também irá esbater a imagem de pré-visualização do comutador de aplicações ao utilizar esta aplicação com uma conta de trabalho ou escola. Bloco
Teclados aprovados Selecione Exigir e, em seguida, especifique uma lista de teclados aprovados para esta política.

Os utilizadores que não estão a utilizar um teclado aprovado recebem um pedido para descarregar e instalar um teclado aprovado antes de poderem utilizar a aplicação protegida. Esta definição requer que a aplicação tenha o Intune SDK para a versão 6.2.0 do Android ou posterior.

 não é necessário
    Selecione teclados para aprovar
 Esta opção está disponível quando selecionar "Exigir" para a opção anterior. Escolha Selecione para gerir a lista de teclados e métodos de entrada que podem ser usados com aplicações protegidas por esta política. Pode adicionar teclados adicionais à lista e remover qualquer uma das opções predefinidos. Deve ter pelo menos um teclado aprovado para salvar a definição. Ao longo do tempo, a Microsoft poderá adicionar teclados adicionais à lista de novas Políticas de Proteção de Aplicações, que exigirão aos administradores que revejam e atualizem as políticas existentes conforme necessário.

Para adicionar um teclado, especifique:

  • Nome: Nome amigável que identifica o teclado e é visível para o utilizador.
  • ID do pacote: O ID do pacote da aplicação na loja Google Play. Por exemplo, se o URL para a aplicação na Play Store for https://play.google.com/store/details?id=com.contoskeyboard.android.prod , então o ID do pacote é com.contosokeyboard.android.prod . Este ID de pacote é apresentado ao utilizador como um link simples para descarregar o teclado do Google Play.

Nota: Um utilizador designado por várias Políticas de Proteção de Aplicações será autorizado a utilizar apenas os teclados aprovados comuns a todas as políticas.

Encriptação

Definições Como utilizar Valor predefinido
Encriptar dados org Escolha Exigir para ativar a encriptação de dados de trabalho ou escola nesta aplicação. A Intune usa um esquema de encriptação AES wolfSSL de 256 bits, juntamente com o sistema Android Keystore para encriptar de forma segura os dados das aplicações. Os dados são encriptados de modo síncrono durante as tarefas de E/S de ficheiros. Os conteúdos no armazenamento do dispositivo são sempre encriptados. Os novos ficheiros serão encriptados com chaves de 256 bits. Os ficheiros encriptados de 128 bits existentes serão submetidos a uma tentativa de migração para chaves de 256 bits, mas o processo não está garantido. Os ficheiros encriptados com teclas de 128 bits continuarão a ser legíveis.

O método de encriptação é fips 140-2 validado; para obter mais informações, consulte wolfCrypt FIPS 140-2 e FIPS 140-3.		 Requerer
    Criptografe dados org em dispositivos inscritos
 Selecione Exigir impor dados org encriptados com encriptação da camada de aplicação Intune em todos os dispositivos. Selecione Não é necessário não impor dados org encriptados com encriptação da camada de aplicação Intune em dispositivos inscritos. Requerer

Funcionalidade

Definições Como utilizar Valor predefinido
Sync política gerido dados de aplicativos com apps nativas Escolha o Bloco para evitar que as aplicações geridas pela política guardem dados para os contactos nativos e as aplicações do Calendário no dispositivo. Se escolher Permitir, a aplicação pode guardar dados para as aplicações nativas de Contactos e Calendário no dispositivo, quando essas funcionalidades estiverem ativadas dentro da aplicação gerida pela política.

Quando executa uma limpeza seletiva para remover o trabalho, ou dados escolares da aplicação, os contactos e os dados do calendário sincronizados diretamente da aplicação para as aplicações nativas contactos e de calendário são removidos. Quaisquer contactos ou dados de calendário sincronizados dos contactos nativos ou aplicações de calendário para outra fonte externa não podem ser eliminados. Atualmente, isto aplica-se apenas a Outlook para iOS e aplicativo Android; para obter mais informações, consulte implementar Outlook para configurações de aplicações iOS e Android.		 Permitir
Imprimir Dados organizacionais Escolha o Bloco para evitar que a aplicação imprimisse trabalho ou dados escolares. Se deixar esta definição para Permitir, o valor predefinido, os utilizadores poderão exportar e imprimir todos os dados org. Permitir
Restringir a transferência de conteúdos Web com outras aplicações Especifique a forma como os conteúdos Web (ligações http/https) são abertos a partir de aplicações geridas por políticas. Escolha entre:
  • Qualquer aplicação: Permitir links web em qualquer aplicação.
  • Intune Managed Browser: Permitir que os conteúdos web abram apenas no Intune Managed Browser. Este navegador é um navegador gerido por políticas.
  • Microsoft Edge: Permitir que os conteúdos web abram apenas no Microsoft Edge. Este navegador é um navegador gerido por políticas.
  • Browser não gerido: Permitir que o conteúdo web abra apenas no navegador não gerido definido pela configuração do protocolo de navegador não gerido. O conteúdo da web não será gerido no navegador-alvo.
    Nota: Requer Portal da Empresa do Intune versão 5.0.4415.0 ou posterior.


    • Browsers geridos por políticas
    No Android, os seus utilizadores finais podem optar por outras aplicações geridas por políticas que suportem ligações http/https, se tanto o Intune Managed Browser como o Microsoft Edge não estiverem instalados.

    Se for necessário um navegador gerido por políticas, mas não instalado, os utilizadores finais serão solicitados a instalar o Microsoft Edge.

    Se for necessário um browser gerido por políticas, as Ligações de Aplicações Android serão geridas pela definição de política Permitir que a aplicação transfira dados para outras aplicações.

    Inscrição de dispositivos do Intune
    Se utiliza o Intune para gerir os dispositivos, veja Gerir o acesso à Internet através de políticas de browser gerido com o Microsoft Intune.

    Microsoft Edge gerido por políticas
    O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) suporta políticas de proteção de aplicações Intune. Os utilizadores que iniciarem sessão com as suas contas empresariais do Azure AD no browser Microsoft Edge passarão a ser protegidos pelo Intune. O navegador Microsoft Edge integra a APP SDK e suporta todas as suas políticas de proteção de dados, com exceção da prevenção:

    • Guardar como: o browser Microsoft Edge não permite que um utilizador adicione ligações diretas na aplicação a fornecedores de armazenamento na cloud (como o OneDrive).
    • Sincronização de contactos: o browser Microsoft Edge não guarda em listas de contactos nativas.
    Nota: A APP SDK não pode determinar se uma aplicação-alvo é um browser. Em dispositivos Android, são permitidas outras aplicações de navegador geridas que suportem a intenção http/https.
 Não configurado
    ID de navegador não gerido
 Introduza o ID da aplicação para um único browser. Os conteúdos web (links http/https) de aplicações geridas por políticas serão abertos no navegador especificado. O conteúdo da web não será gerido no navegador-alvo. Vazio
    Nome do navegador não gerido
 Introduza o nome da aplicação para o navegador associado ao ID do navegador não gerido. Este nome será apresentado aos utilizadores se o navegador especificado não estiver instalado. Vazio
Notificações de dados org Especifique quantos dados org são partilhados através de notificações de SO para contas org. Esta definição de política terá impacto no dispositivo local e em quaisquer dispositivos conectados, tais como wearables e colunas inteligentes. As aplicações podem fornecer controlos adicionais para personalizar o comportamento da notificação ou podem optar por não honrar todos os valores. Selecione entre:
  • Bloco: Não partilhe notificações.
    • Se não forem apoiadas pelo pedido, serão permitidas notificações.
  • Bloquear dados org: Não partilhe dados org em notificações. Por exemplo, "Tem um novo correio"; "Tem uma reunião".
    • Se não for apoiado pela aplicação, as notificações serão bloqueadas.
  • Permitir: Partilhas de dados org nas notificações

Nota: Esta definição requer suporte para aplicações:

  • Outlook para Android 4.0.95 ou posterior
  • Teams para Android 1416/1.0.0.202009202 ou mais tarde.
 Permitir

Isenções de transferência de dados

Existem algumas aplicações isentas e serviços de plataforma que as políticas de proteção de aplicações Intune permitem a transferência de dados de e para. Por exemplo, todas as aplicações geridas pelo Intune no Android têm de conseguir transferir dados de e para a Síntese de Voz Google, para que o texto do ecrã do seu dispositivo móvel possa ser lido em voz alta. Esta lista está sujeita a alterações e reflete as aplicações e serviços considerados úteis para produtividade segura.

Isenções completas

Estas aplicações e serviços têm permissão total para transferir dados de e para aplicações geridas pelo Intune.

Nome da aplicação/serviço Description
com.android.phone Aplicação de telefone nativa
com.android.vending Google Play Store
com.android.documentsui Seletor de Documentos do Android
com.google.android.webview WebView, que é necessário para muitas aplicações, incluindo Outlook.
com.android.webview WebView, que é necessário para muitas aplicações, incluindo o Outlook.
com.google.android.tts Síntese de Voz Google
com.android.providers.settings Definições de sistema do Android
com.android.settings Definições de sistema do Android
com.azure.authenticator Aplicação Azure Authenticator, que é necessária para uma autenticação com êxito em muitos cenários.
com.microsoft.windowsintune.companyportal Intune Portal da Empresa

Isenções condicionais

Estas aplicações e serviços só têm permissão para transferir dados de e para aplicações geridas pelo Intune em determinadas condições.

Nome da aplicação/serviço Description Condição de isenção
com.android.chrome Browser Google Chrome O Chrome é utilizado para alguns componentes WebView no Android 7.0+ e nunca é ocultado da vista. No entanto, o fluxo de dados de e para a aplicação será sempre restringido.
com.skype.raider Skype A aplicação Skype é permitida apenas em determinadas ações que resultam numa chamada telefónica.
com.android.providers.media Fornecedor de conteúdos multimédia do Android O fornecedor de conteúdos multimédia só tem permissão para a ação de seleção de toque.
com.google.android.gms; com.google.android.gsf Pacotes dos Serviços do Google Play Estes pacotes têm permissão para ações do Google Cloud Messaging, tal como notificações push.
com.google.android.apps.maps Google Mapas Endereços são permitidos para navegação

Para obter mais informações, veja Data transfer policy exceptions for apps (Exceções da política de transferência de dados).

Requisitos de acesso

Definições Como utilizar
PIN para acesso Selecione Exigir para exigir um PIN para utilizar esta aplicação. É pedido ao utilizador para configurar este PIN da primeira vez que executar a aplicação num contexto escolar ou profissional.

Valor predefinido = Exigir

Pode configurar a segurança do PIN através das definições disponíveis na secção PIN para acesso.

    Tipo de PIN
 Defina um requisito para os PINs de tipo numérico ou de código de acesso antes de aceder a uma aplicação com políticas de proteção aplicadas. Os requisitos numéricos só envolvem números, mas um código de acesso pode ser definido com, pelo menos, 1 letra do alfabeto ou 1 caráter especial.

Valor padrão = Numérico

Nota: os carateres especiais permitidos incluem os carateres e símbolos especiais do teclado inglês no Android.
    PIN simples
 Selecione Deixe os utilizadores utilizarem sequências PIN simples como 1234, 1111, abcd ou aaaa. Selecione Blocos para evitar que utilizem sequências simples. Sequências simples são verificadas em 3 janelas deslizantes de caracteres. Se o Bloco estiver configurado, 1235 ou 1112 não seriam aceites como PIN definidos pelo utilizador final, mas 1122 seriam permitidos.

Valor predefinido = Permitir

Nota: Se o PIN do tipo Código de Acesso estiver configurado e o PIN simples estiver definido para Permitir, o utilizador precisa de pelo menos uma letra ou pelo menos um carácter especial no seu PIN. Se o PIN do tipo Código de Acesso estiver configurado e o PIN simples estiver definido para bloquear, o utilizador precisa de pelo menos um número e uma letra e pelo menos um carácter especial no pin.
    Selecionar comprimento mínimo do PIN
 Especifique o número mínimo de dígitos numa sequência de PIN.

Valor predefinido = 4
    Impressão digital em vez de PIN para acesso (Android 6.0+)
 Selecione Deixe o utilizador utilizar a autenticação de impressões digitais em vez de um PIN para acesso à aplicação.

Valor predefinido = Permitir

Nota: Esta funcionalidade suporta controlos genéricos para dispositivos biométricos em dispositivos Android. As definições biométricas específicas do OEM, como o Samsung Pass, não são suportadas.

Em dispositivos Android, pode permitir que o utilizador prove a sua identidade através da autenticação por impressão digital Android em vez de um PIN. Quando o utilizador tentar utilizar esta aplicação com a respetiva conta escolar ou profissional, é-lhe pedido para fornecer a identidade de impressão digital em vez de introduzir um PIN.

Os dispositivos inscritos no perfil de trabalho do Android requerem o registo de uma impressão digital separada para a impressão digital em vez de PIN para que a política de acesso seja aplicada. Esta política só entra em vigor para aplicações geridas por políticas instaladas no perfil de trabalho do Android. A impressão digital separada deve ser registada no dispositivo depois de o perfil de trabalho do Android ser criado através da inscrição no Portal da Empresa. Para obter mais informações sobre impressões digitais de perfil de trabalho de propriedade pessoal usando perfis de trabalho do Android, consulte o seu perfilde trabalho .
    Anular a impressão digital com PIN após o intervalo
 Para utilizar esta definição, selecione Exigir e, em seguida, configure o tempo limite de inatividade.

Valor predefinido = Exigir
      Tempo limite (minutos de inatividade)
 Especifique um tempo em minutos após o qual um PIN de senha ou numérico (conforme configurado) irá sobrepor-se à utilização de uma impressão digital. Este valor de tempo limite deve ser superior ao valor especificado em "Rever os requisitos de acesso após (minutos de inatividade)".

Valor predefinido = 30
    Biometria em vez de PIN para acesso
 Selecione Deixe o utilizador utilizar o Face Unlock para autenticar os utilizadores em dispositivos Android. Se permitido, o Face Unlock é utilizado para aceder à aplicação no Android 10 ou em dispositivos superiores.
    Reposição do PIN após número de dias
 Selecione Sim para exigir que os utilizadores alterem o PIN da aplicação após um determinado período de tempo, em dias.

Quando definido como Sim, configure o número de dias antes de ser exigida a reposição do PIN.

Valor predefinido = Não
      Número de dias
 Configure o número de dias antes de ser exigida a reposição do PIN.

Valor predefinido = 90
    Selecione o número de valores PIN anteriores para manter
 Esta definição especifica o número de PINs anteriores que o Intune manterá. Quaisquer novos PINs devem ser diferentes daqueles que o Intune está a manter.

Valor predefinido = 0
    PIN da aplicação quando o PIN do dispositivo estiver definido
 Selecione Não é necessário desativar o PIN da aplicação quando for detetado um bloqueio de dispositivo num dispositivo matriculado com Portal da Empresa configurado.

Valor predefinido = Exigir.
Credenciais da conta escolar ou profissional para acesso Escolha Exigir que o utilizador faça o seu trabalho ou conta escolar em vez de introduzir um PIN para acesso a aplicações. Quando definidos para Exigir, e as indicações PIN ou biométricas são ligadas, ambas as credenciais corporativas e as indicações PIN ou biométricas são mostradas.

Valor predefinido = Não é necessário
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure a seguinte definição:
  • Tempo Limite: este é o número de minutos que passam até os requisitos de acesso (definidos anteriormente na política) serem verificados novamente. Por exemplo, um administrador ativa o PIN e bloqueia os dispositivos com rooting na política. Desta forma, ao abrir uma aplicação gerida pelo Intune, o utilizador tem de introduzir um PIN e utilizar a aplicação num dispositivo sem rooting. Com esta definição, o utilizador não tem de introduzir um PIN ou submeter-se a outra verificação de deteção de rooting nas aplicações geridas pelo Intune durante um período de tempo igual ao valor configurado.

    Este formato de definição de políticas suporta um número inteiro positivo.

    Valor predefinido = 30 minutos

    Nota: no Android, o PIN é partilhado com todas as aplicações geridas pelo Intune. O temporizador do PIN é reiniciado assim que a aplicação sai de primeiro plano no dispositivo. O utilizador não terá de introduzir um PIN nas aplicações geridas pelo Intune que partilham o PIN durante o tempo limite definido nesta definição.

Nota

Para saber mais sobre como as definições de proteção de aplicações do Intune, configuradas na secção de Acesso para o mesmo conjunto de aplicações e utilizadores, funcionam em dispositivos Android, veja Perguntas mais frequentes sobre a MAM do Intune e Eliminação seletiva de dados através de ações de acesso das políticas de proteção de aplicações no Intune.

Iniciação condicional

Configurar definições de lançamento condicional para definir os requisitos de segurança de inscrição para a sua política de proteção de aplicações.

Por predefinição, são fornecidas várias definições com valores e ações previamente configurados. Pode eliminar algumas definições, como a versão Min OS. Também pode selecionar outras definições a partir da lista pendente Selecionar uma.

Definições Como utilizar
Máximo de tentativas de PIN Especifique o número de tentativas que o utilizador tem para introduzir o PIN com êxito antes de a ação configurada ser realizada. Se o utilizador não introduzir o PIN com sucesso após as tentativas máximas de PIN, o utilizador deve reiniciar o pino depois de iniciar sessão na sua conta com sucesso e completar um desafio de autenticação multi-factor (MFA), se necessário. Este formato de definição de políticas suporta um número inteiro positivo. As ações incluem:
  • Repor PIN – o utilizador tem de repor o respetivo PIN.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Valor predefinido = 5
Período de tolerância offline O número de minutos durante os quais as aplicações MAM podem ser executadas offline. Especifique o tempo (em minutos) antes de os requisitos de acesso da aplicação serem novamente verificados. As ações incluem:
  • Bloquear acesso (minutos): o número de minutos durante os quais as aplicações MAM podem ser executadas offline. Especifique o tempo (em minutos) antes de os requisitos de acesso da aplicação serem novamente verificados. Após este período expirar, a aplicação necessita da autenticação do utilizador no Azure Active Directory (Azure AD) para que a aplicação continue a ser executada.

    Este formato de definição de políticas suporta um número inteiro positivo.

    Valor predefinido = 720 minutos (12 horas)
  • Limpar dados (dias) – após alguns dias (definidos pelo administrador) de execução offline, a aplicação pedirá ao utilizador para estabelecer ligação à rede e voltar a realizar a autenticação. Se o utilizador for autenticado com êxito, este poderá continuar a aceder aos seus dados e o intervalo offline será reposto. Se a autenticação do utilizador falhar, a aplicação irá efetuar uma eliminação seletiva da conta e dos dados dos utilizadores. Para obter mais informações, veja Como eliminar apenas dados empresariais de aplicações geridas pelo Intune.
Este formato de definição de políticas suporta um número inteiro positivo.

Valor predefinido = 90 dias

Esta entrada pode aparecer múltiplas vezes, com cada instância a suportar uma ação diferente.
Dispositivos com jailbreak/rooting Não existe um valor a definir para esta definição. As ações incluem:
  • Bloquear acesso – bloquear a execução desta aplicação em dispositivos desbloqueados por jailbreak ou rooting. O utilizador continua a poder utilizar esta aplicação para tarefas pessoais, mas terá de utilizar um dispositivo diferente para aceder aos dados escolares ou profissionais nesta aplicação.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Conta desativada Não existe um valor a definir para esta definição. As ações incluem:
  • Acesso ao bloco - Quando confirmamos que o utilizador foi desativado em Azure Ative Directory, a aplicação bloqueia o acesso ao trabalho ou aos dados escolares.
  • Eliminar dados - Quando confirmarmos que o utilizador foi desativado em Azure Ative Directory, a aplicação realizará uma limpeza seletiva da conta e dados dos utilizadores.
Versão mínima do SO Especifique um sistema operativo Android mínimo que seja necessário para utilizar esta aplicação. As versões de SO abaixo da versão Min OS especificada irão desencadear as ações. As ações incluem:
  • Avisar – o utilizador verá uma notificação se a versão Android no dispositivo não cumprir o requisito. Esta notificação pode ser dispensada.
  • Bloquear acesso – o acesso do utilizador será bloqueado se a versão Android no dispositivo não cumprir este requisito.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision.
Versão Max OS Especifique um sistema operativo Android máximo que seja necessário para utilizar esta aplicação. As versões de SO abaixo da versão Max OS especificada irão desencadear as ações. As ações incluem:
  • Avisar – o utilizador verá uma notificação se a versão Android no dispositivo não cumprir o requisito. Esta notificação pode ser dispensada.
  • Bloquear acesso – o acesso do utilizador será bloqueado se a versão Android no dispositivo não cumprir este requisito.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision.
Versão mínima da aplicação Especifique um valor para o valor mínimo da versão da aplicação. As ações incluem:
  • Avisar – o utilizador vê uma notificação se a versão da aplicação no dispositivo não cumprir o requisito. Esta notificação pode ser dispensada.
  • Bloquear acesso – o acesso do utilizador é bloqueado se a versão da aplicação no dispositivo não cumprir o requisito.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Uma vez que as aplicações têm, frequentemente, esquemas diferentes de controlo de versão entre si, crie uma política com uma versão da aplicação mínima direcionada para uma aplicação (por exemplo, política da versão do Outlook).

Esta entrada pode aparecer múltiplas vezes, com cada instância a suportar uma ação diferente.

Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision.

Além disso, pode configurar onde os seus utilizadores finais podem obter uma versão atualizada de uma aplicação de linha de negócios (LOB). Os utilizadores finais irão ver isto no diálogo de lançamento condicional da versão min app, o que irá levar os utilizadores finais a atualizarem para uma versão mínima da aplicação LOB. No Android, esta funcionalidade utiliza o Portal da Empresa. Para configurar onde um utilizador final deve atualizar uma aplicação LOB, a aplicação precisa de uma política de configuração de aplicações gerida enviada para ela com a chave, com.microsoft.intune.myappstore . O valor enviado definirá qual a loja a partir da qual o utilizador final irá descarregar a aplicação. Se a aplicação for implementada através do Portal da Empresa, o valor deve ser CompanyPortal . Para qualquer outra loja, deve introduzir uma URL completa.
Versão mínima da correção Exija que os dispositivos tenham um patch de segurança do Android mínimo lançado pela Google.
  • Avisar – o utilizador verá uma notificação se a versão Android no dispositivo não cumprir o requisito. Esta notificação pode ser dispensada.
  • Bloquear acesso – o acesso do utilizador será bloqueado se a versão Android no dispositivo não cumprir este requisito.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Este definição de políticas suporta o formato de data AAAA-MM-DD.
Fabricantes de dispositivos Especificar uma lista separada de pontos de costura do fabricante. Estes valores não são sensíveis a maiúsculas e minúsculas. As ações incluem:
  • Permitir especificados (Bloquear não especificados) – apenas os dispositivos que correspondam ao fabricante especificado podem utilizar a aplicação. Todos os outros dispositivos são bloqueados.
  • Permitir especificados (Apagar não especificados) – a conta de utilizador que está associada à aplicação é apagada do dispositivo.
Para obter mais informações sobre a utilização desta definição, consulte as ações de Lançamento Condicional.
Atestado de dispositivo SafetyNet As políticas de proteção de aplicações suportam algumas das APIs do Google Play Protect. Esta definição configura, em particular, a Atesstation SafetyNet da Google em dispositivos de utilizador final para validar a integridade desses dispositivos. Especifique a integridade básica ou a integridade básica e dispositivos certificados.

A integridade básica diz-lhe sobre a integridade geral do dispositivo. Dispositivos enraizados, emuladores, dispositivos virtuais e dispositivos com sinais de adulteração falham na integridade básica. A integridade básica & dispositivos certificados diz-lhe sobre a compatibilidade do dispositivo com os serviços da Google. Apenas dispositivos não modificados que tenham sido certificados pela Google podem passar esta verificação.

Se selecionar o atestado do dispositivo SafetyNet conforme necessário para o lançamento condicional, pode especificar que uma tecla apoiada por hardware é utilizada como o tipo de avaliação. A presença de uma chave apoiada por hardware como o tipo de avaliação indicará uma maior integridade de um dispositivo. Os dispositivos que não suportam chaves apoiadas por hardware serão bloqueados pela política MAM se forem direcionados para esta definição. A chave apoiada por hardware fornece uma deteção de raiz mais robusta em resposta a novos tipos de ferramentas e métodos de enraizamento que nem sempre podem ser detetados de forma fiável por uma solução apenas de software. Dentro da APP, a atestada de hardware será ativada através da definição do tipo de avaliação necessária da SafetyNet para a tecla apoiada por Hardware assim que a estação de atestado do dispositivo SafetyNet estiver configurada. O attestation apoiado por hardware aproveita um componente baseado em hardware que foi enviado com dispositivos instalados com o Android 8.1 e posteriormente. É pouco provável que os dispositivos que tenham sido atualizados de uma versão mais antiga do Android para o Android 8.1 tenham os componentes baseados em hardware necessários para a atestação de hardware. Apesar desta definição ser amplamente suportada a partir de dispositivos que foram enviados com o Android 8.1, a Microsoft recomenda vivamente testar dispositivos individualmente antes de ativar esta definição de política em geral.

Importante: Os dispositivos que não suportam este tipo de avaliação serão bloqueados ou limpos com base na ação de atestado do dispositivo SafetyNet. As organizações que pretendem utilizar esta funcionalidade terão de garantir que os utilizadores tenham dispositivos suportados. Para obter mais informações sobre os dispositivos recomendados pela Google, consulte os requisitos recomendados para Android Enterprise.

As ações incluem:

  • Warn - O utilizador vê uma notificação se o dispositivo não cumprir a verificação de Atestado SafetyNet da Google com base no valor configurado. Esta notificação pode ser dispensada.
  • Acesso ao bloco - O utilizador fica bloqueado do acesso se o dispositivo não cumprir a verificação de Atestado safetyNet da Google com base no valor configurado.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Para perguntas comumente relacionadas com este cenário, consulte perguntas frequentes sobre mam e proteção de aplicativos.
Exigir verificação de ameaças em apps As políticas de proteção de aplicações suportam algumas das APIs do Google Play Protect. Esta definição, em particular, garante que a verificação de aplicações da Google é ligada para dispositivos de utilizador final. Se configurado, o utilizador final ficará bloqueado do acesso até que ligue a aplicação da Google no seu dispositivo Android. As ações incluem:
  • Aviso - O utilizador vê uma notificação se a verificação de aplicações da Google no dispositivo não estiver ligada. Esta notificação pode ser dispensada.
  • Acesso ao bloco - O utilizador fica bloqueado do acesso se as aplicações de verificação da Google não estiverem ligadas.
Os resultados da verificação de aplicações da Google são divulgados no relatório de Aplicações Potencialmente Nocivos na consola.
Versão min Portal da Empresa Ao utilizar a versão Min Portal da Empresa, pode especificar uma versão definida de forma mínima específica do Portal da Empresa que é aplicada num dispositivo de utilizador final. Esta definição de lançamento condicional permite-lhe definir valores para bloquear o acesso, limpar dados e avisar como possíveis ações quando cada valor não for atingido. Os formatos possíveis para este valor seguem o padrão [Major].[ Minor] [Major].[ Menor]. [Construir] ou [Major].[ Menor]. [Construir]. [Revisão]. Tendo em conta que alguns utilizadores finais podem não preferir uma atualização forçada de apps no local, a opção 'warn' pode ser ideal ao configurar esta definição. A Google Play Store faz um bom trabalho apenas no envio de bytes delta para atualizações de aplicações, mas esta ainda pode ser uma grande quantidade de dados que o utilizador pode não querer utilizar se estiver em dados no momento da atualização. Forçar uma atualização e, assim, descarregar uma aplicação atualizada pode resultar em custos inesperados de dados no momento da atualização. Para mais informações, consulte as definições de política do Android.
Idade da versão max Portal da Empresa (dias) Pode definir um número máximo de dias como a idade da versão Portal da Empresa (CP) para dispositivos Android. Esta definição garante que os utilizadores finais estão dentro de uma certa gama de versões CP (em dias). O valor deve ser entre 0 e 365 dias. Quando a definição dos dispositivos não estiver satisfeita, a ação para esta definição é ativada. As ações incluem acesso ao Bloco, limpar dados ou avisar. Para obter informações relacionadas,consulte as definições de política do Android .
Max permitiu o nível de ameaça do dispositivo As políticas de proteção de aplicações podem tirar partido do conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar esta aplicação. As ameaças são determinadas pela sua aplicação escolhida para o fornecedor Mobile Threat Defense (MTD) no dispositivo do utilizador final. Especificar secured, low, medium ou high. O secured não requer ameaças no dispositivo e é o valor configurável mais restritivo, enquanto high essencialmente requer uma ligação Intune-to-MTD ativa. As ações incluem:
  • Acesso ao bloco - O utilizador ficará bloqueado do acesso se o nível de ameaça determinado pela aplicação escolhida pelo fornecedor Mobile Threat Defense (MTD) no dispositivo do utilizador final não cumprir este requisito.
  • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.
Para obter mais informações sobre a utilização desta definição, consulte Ativar o conector de defesa da ameaça móvel no Intune para dispositivos não enrolados.
Requerem bloqueio de dispositivo Esta definição determina se o dispositivo Android tem um dispositivo PIN, palavra-passe ou conjunto de padrões, mas não consegue distinguir entre as opções de bloqueio ou a complexidade. Se o bloqueio do dispositivo não estiver ativado no dispositivo, a política de proteção da App pode tomar medidas. Não há valor para este cenário, mas as ações incluem:
    • Aviso - O utilizador vê uma notificação se um bloqueio do dispositivo não estiver ativado. A notificação pode ser rejeitada.
    • Acesso ao bloco - O utilizador ficará bloqueado do acesso se o bloqueio do dispositivo não estiver ativado.
    • Limpar dados - A conta de utilizador que está associada à aplicação é eliminada do dispositivo.