Definições de conformidade do dispositivo para Android Enterprise no Intune

Este artigo lista e descreve as diferentes definições de compatibilidade que pode configurar em dispositivos Android Enterprise no Intune. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para marcar dispositivos rooting como não conformes, definir um nível de ameaça permitido, ativar o Google Play Protect e muito mais.

Esse recurso aplica-se a:

• Android Enterprise

Como administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos organizacionais. Para saber mais sobre as políticas de conformidade e o que fazem, veja Introdução à conformidade do dispositivo.

Importante

As políticas de conformidade do Android só devem ser direcionadas para grupos de dispositivos e não para utilizadores. As políticas de conformidade serão avaliadas relativamente ao dispositivo e refletirão adequadamente o estado de conformidade no Intune. Para permitir que os utilizadores em dispositivos dedicados iniciem sessão em recursos protegidos por políticas de Acesso Condicional, considere utilizar dispositivos dedicados do Android Enterprise com o modo de dispositivo partilhado do Microsoft Entra.

Em dispositivos dedicados do Android Enterprise inscritos sem o modo de dispositivo partilhado do Microsoft Entra, os utilizadores do dispositivo não poderão iniciar sessão nos recursos protegidos pelas políticas de Acesso Condicional, mesmo que o dispositivo esteja em conformidade no Intune. Para saber mais sobre o modo de dispositivo partilhado, consulte Descrição geral do modo de dispositivo partilhado na documentação do Microsoft Entra.

Antes de começar

Crie uma política de conformidade de dispositivos para aceder às definições disponíveis. Quanto à Plataforma, selecione Android Enterprise.

Perfil de trabalho totalmente gerido, dedicado e pertencente à empresa

Esta secção descreve as definições de perfil de conformidade disponíveis para dispositivos totalmente geridos, dispositivos dedicados e dispositivos pertencentes à empresa com perfis de trabalho. As categorias de definição incluem:

• Microsoft Defender para Ponto de Extremidade
• Integridade do dispositivo
• Propriedades do dispositivo
• Segurança do sistema

Microsoft Defender para Ponto de Extremidade

• Exigir que o dispositivo esteja na pontuação de risco do computador ou abaixo dela

  Selecione a classificação máxima de risco de máquina permitida para dispositivos avaliados pelo Microsoft Defender para Endpoint. Os dispositivos que excedem esta classificação são marcados como não conformes.

  • Não configurado (predefinição)
  • Clear
  • Baixo
  • Medium
  • High

Observação

O Microsoft Defender para Endpoint pode não ser suportado em todos os tipos de inscrição do Android Enterprise. Saiba mais sobre que cenários são suportados.

Integridade do dispositivo

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou abaixo dele
  Selecione o nível máximo de ameaça de dispositivo permitido avaliado pelo seu serviço de defesa contra ameaças para dispositivos móveis. Os dispositivos que excedam este nível de ameaça são marcados como não conformes. Para utilizar esta definição, escolha o nível de ameaça permitido:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Protegido – esta opção é a mais segura e significa que o dispositivo não pode ter ameaças. Se o dispositivo for detetado com qualquer nível de ameaças, será avaliado como não conforme.
  • Baixo: – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer coisa acima disso coloca o dispositivo no estado de não compatível.
  • Médio – o dispositivo é avaliado como conforme se as ameaças que estão presentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, é determinado que não está em conformidade.
  • Alta – esta opção é a menos segura, pois permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.

Observação

Todos os fornecedores de Defesa Contra Ameaças para Dispositivos Móveis (MTD) são suportados nas implementações Android Enterprise Totalmente Gerido, Dedicado e Corporate-Owned Perfil de Trabalho através da configuração da aplicação. Consulte o seu fornecedor de MTD para obter a configuração exata necessária para suportar as plataformas Android Enterprise Totalmente Gerida, Dedicada e Corporate-Owned Perfil de Trabalho no Intune.

Google Play Protect

Importante

O Google Play Protect funciona em localizações onde o Google Mobile Services está disponível. Os dispositivos que operam em regiões ou países onde o Google Mobile Services não está disponível falharão nas avaliações de definição da política de conformidade do Google Play Protect. Para obter mais informações, consulte Gerir dispositivos Android em que o Google Mobile Services não está disponível.

• Veredito da Integridade do Jogo
  Selecione o tipo de verificação de integridade que os dispositivos têm de passar para se manterem em conformidade. O Intune avalia o veredicto de integridade da Play para determinar a conformidade. Suas opções:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Verificar a integridade básica: exigir que os dispositivos passem na verificação de integridade básica do Play.
  • Verificar a integridade básica & integridade do dispositivo: exigir que os dispositivos passem na verificação de integridade básica do Play e na verificação da integridade do dispositivo.

• Verificar a integridade forte com as funcionalidades de segurança suportadas por hardware
  Opcionalmente, pode exigir que os dispositivos passem uma forte verificação de integridade. Esta definição só está disponível se necessitar de verificações básicas de integridade ou verificações de integridade do dispositivo. Suas opções:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade. O Intune avalia o veredicto da verificação de integridade básica por predefinição.
  • Verificar a integridade forte – exigir que os dispositivos passem na verificação de integridade forte do Play. Nem todos os dispositivos suportam este tipo de verificação. O Intune marca os dispositivos como não conformes.

  Para obter mais informações sobre os serviços de integridade do Google Play, consulte estes documentos para programadores Android:

  • Serviços de integridade e assinatura do Google Play

  • Veredictos de integridade

Propriedades do dispositivo

Versão do sistema operacional

• Versão mínima do SO
  Quando um dispositivo não cumpre o requisito mínimo de versão do SO, é reportado como não conforme. Os utilizadores de dispositivos veem uma ligação com informações sobre como atualizar o respetivo SO. Podem atualizar o dispositivo e, em seguida, aceder aos recursos da organização.

  Por predefinição, não está configurada nenhuma versão.

• Versão máxima do SO
  Quando um dispositivo está a utilizar uma versão do SO posterior à versão na regra, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador que contacte o administrador de TI. Até que uma regra seja alterada para permitir a versão do SO, este dispositivo não pode aceder aos recursos da organização.

  Por predefinição, não está configurada nenhuma versão.

• Nível mínimo do patch de segurança
  Selecione o nível de patch de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não estão, pelo menos, neste nível de patch não estão em conformidade. A data tem de ser introduzida no formato AAAA-MM-DD.

  Por predefinição, não está configurada nenhuma data.

Segurança do sistema

• Exigir uma senha para desbloquear os dispositivos móveis

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo.

• Tipo de senha obrigatória
  Escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma mistura de numerais e outros carateres. Suas opções:

  • Predefinição do dispositivo – para avaliar a conformidade da palavra-passe, certifique-se de que seleciona uma força de palavra-passe diferente da Predefinição do dispositivo. O SO pode não exigir uma palavra-passe de dispositivo por predefinição, pelo que é melhor selecionar um tipo de palavra-passe diferente para um maior controlo e consistência em todos os dispositivos.
  • Palavra-passe necessária, sem restrições
  • Biometria fraca – para obter mais informações sobre este tipo de palavra-passe, veja biometria forte vs. fraca (abre o Blogue para Programadores Android).
  • Numérico (predefinição) – a palavra-passe só tem de ser números, como 123456789.
  • Complexo numérico – não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, .
  • Alfabético – são necessárias letras no alfabeto. Não são necessários números e símbolos.
  • Alfanumérico – inclui letras maiúsculas, letras minúsculas e carateres numéricos.
  • Alfanumérico com símbolos – inclui letras maiúsculas, letras minúsculas, carateres numéricos, sinais de pontuação e símbolos.

  Outras definições variam consoante o tipo de palavra-passe. As seguintes definições são apresentadas quando aplicável:

  • Comprimento mínimo da senha
    Introduza o comprimento mínimo que a palavra-passe tem de ter, entre 4 e 16 carateres.

  • Número de carateres necessários
    Introduza o número de carateres que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Número de carateres minúsculos necessários
    Introduza o número de carateres em minúsculas que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Número de carateres em maiúsculas necessários
    Introduza o número de carateres em maiúsculas que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Número de carateres que não são de letra necessários
    Introduza o número de não letras (qualquer coisa que não seja letras no alfabeto) que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Número de carateres numéricos necessários
    Introduza o número de carateres numéricos (1, 2, 3e assim sucessivamente) que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Número de carateres de símbolo necessários
    Introduza o número de carateres de símbolo (&, #, %e assim sucessivamente) que a palavra-passe tem de ter, entre 0 e 16 carateres.

  • Máximo de minutos de inatividade antes que a senha seja exigida
    Introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe. As opções incluem a predefinição Não configurado e de 1 Minuto a 8 horas.

  • Número de dias até que a senha expire
    Introduza o número de dias, entre 1 e 365, até que a palavra-passe do dispositivo tenha de ser alterada. Por exemplo, para exigir uma alteração da palavra-passe após 60 dias, introduza 60. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe.

    Por predefinição, não está configurado nenhum valor.

  • Número de senhas necessárias antes que o usuário possa reutilizar uma senha
    Introduza o número de palavras-passe recentes que não podem ser reutilizadas, entre 1 e 24. Utilize esta definição para impedir que o utilizador crie palavras-passe utilizadas anteriormente.

    Por predefinição, não está configurada nenhuma versão.

Criptografia

• Exigir a encriptação do armazenamento de dados no dispositivo

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – encriptar o armazenamento de dados nos seus dispositivos.

  Não tem de configurar esta definição porque os dispositivos Android Enterprise impõem a encriptação.

Segurança de dispositivo

• Integridade Intune do runtime do aplicativo
  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – encriptar o armazenamento de dados nos seus dispositivos.

Perfil de trabalho de propriedade pessoal

Esta secção descreve as definições de perfil de conformidade disponíveis para dispositivos pessoais inscritos com perfis de trabalho. As categorias de definição incluem:

• Microsoft Defender para Ponto de Extremidade
• Integridade do dispositivo
• Propriedades do dispositivo
• Segurança do sistema

Microsoft Defender para Endpoint – para um perfil de trabalho pessoal

• Exigir que o dispositivo esteja na pontuação de risco do computador ou abaixo dela
  Selecione a classificação máxima de risco de máquina permitida para dispositivos avaliados pelo Microsoft Defender para Endpoint. Os dispositivos que excedem esta classificação são marcados como não conformes.
  • Não configurado (predefinição)
  • Clear
  • Baixo
  • Medium
  • High

Estado de funcionamento do dispositivo – para o perfil de trabalho pessoal

• Dispositivos com root

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – marque os dispositivos rooting como não conformes.

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou abaixo dele
  Selecione o nível máximo de ameaça de dispositivo permitido avaliado pelo seu serviço de defesa contra ameaças para dispositivos móveis. Os dispositivos que excedam este nível de ameaça são marcados como não conformes. Para utilizar esta definição, escolha o nível de ameaça permitido:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Protegido – esta opção é a mais segura e significa que o dispositivo não pode ter ameaças. Se o dispositivo for detetado com qualquer nível de ameaças, será avaliado como não conforme.
  • Baixo – o dispositivo é avaliado como conforme se só estiverem presentes ameaças de baixo nível. Qualquer coisa acima disso coloca o dispositivo no estado de não compatível.
  • Médio – o dispositivo é avaliado como conforme se as ameaças que estão presentes no dispositivo forem de nível baixo ou médio. Se for detetado que o dispositivo tem ameaças de alto nível, é determinado que não está em conformidade.
  • Alta – esta opção é a menos segura, pois permite todos os níveis de ameaça. Pode ser útil se estiver a utilizar esta solução apenas para fins de relatórios.

Google Play Protect - para perfil de trabalho pessoal

Importante

O Google Play Protect funciona em localizações onde o Google Mobile Services está disponível. Os dispositivos que operam em regiões ou países onde o Google Mobile Services não está disponível falharão nas avaliações de definição da política de conformidade do Google Play Protect. Para obter mais informações, consulte Gerir dispositivos Android em que o Google Mobile Services não está disponível.

• Google Play Services configurado

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – exigir que a aplicação de serviços do Google Play esteja instalada e ativada. A aplicação de serviços do Google Play permite atualizações de segurança e é uma dependência de nível base para muitas funcionalidades de segurança em dispositivos Google certificados.

• Provedor de segurança atualizado

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – exigir que um fornecedor de segurança atualizado possa proteger um dispositivo contra vulnerabilidades conhecidas.

• Veredito da Integridade do Jogo
  Selecione o tipo de verificação de integridade que os dispositivos têm de passar para se manterem em conformidade. O Intune avalia o veredicto de integridade da Play para determinar a conformidade. Suas opções:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Verificar a integridade básica: exigir que os dispositivos passem na verificação de integridade básica do Play.
  • Verificar a integridade básica & integridade do dispositivo: exigir que os dispositivos passem na verificação de integridade básica do Play e na verificação da integridade do dispositivo.

• Verificar a integridade forte com as funcionalidades de segurança suportadas por hardware
  Opcionalmente, pode exigir que os dispositivos passem uma forte verificação de integridade. Esta definição só está disponível se necessitar de verificações básicas de integridade ou verificações de integridade do dispositivo. Suas opções:

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade. O Intune avalia a verificação de integridade básica por predefinição.
  • Verificar a integridade forte – exigir que os dispositivos passem na verificação de integridade forte do Play. Nem todos os dispositivos suportam este tipo de verificação. O Intune marca os dispositivos como não conformes.

  Para obter mais informações sobre os serviços de integridade do Google Play, consulte estes documentos para programadores Android:

  • Serviços de integridade e assinatura do Google Play

  • Veredictos de integridade

Dica

O Intune também tem uma política que requer o Play Protect para analisar ameaças nas aplicações instaladas. Pode configurar esta definição numa política de configuração de dispositivos Android Enterprise em Restrições de dispositivos> Segurançado sistema. Para obter mais informações, veja Definições de restrição de dispositivos Android Enterprise.

Propriedades do dispositivo – para o perfil de trabalho pessoal

Versão do sistema operativo – para o perfil de trabalho pessoal

• Versão mínima do SO
  Quando um dispositivo não cumpre o requisito mínimo de versão do SO, é reportado como não conforme. Os utilizadores de dispositivos veem uma ligação com informações sobre como atualizar o respetivo SO. Podem atualizar o dispositivo e, em seguida, aceder aos recursos da organização.

  Por predefinição, não está configurada nenhuma versão.

• Versão máxima do SO
  Quando um dispositivo está a utilizar uma versão do SO posterior à versão na regra, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador que contacte o administrador de TI. Até que uma regra seja alterada para permitir a versão do SO, este dispositivo não pode aceder aos recursos da organização.

  Por predefinição, não está configurada nenhuma versão.

Segurança do sistema – para o perfil de trabalho pessoal

Encriptação – para um perfil de trabalho pessoal

• Exigir a encriptação do armazenamento de dados no dispositivo

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – encriptar o armazenamento de dados nos seus dispositivos.

  Não tem de configurar esta definição porque os dispositivos Android Enterprise impõem a encriptação.

Segurança do dispositivo – para o perfil de trabalho pessoal

• Bloquear aplicativos de fontes desconhecidas

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – bloqueie dispositivos com origens ativadas porOrigens Desconhecidas de Segurança> (suportado no Android 4.0 através do Android 7.x). Não suportado pelo Android 8.0 e posterior).

  Para aplicações de side load, têm de ser permitidas origens desconhecidas. Se não estiver a carregar aplicações Android de lado, defina esta funcionalidade como Bloquear para ativar esta política de conformidade.

  Importante

  As aplicações de sideload requerem que a definição Bloquear aplicações de origens desconhecidas esteja ativada. Aplique esta política de conformidade apenas se não estiver a carregar aplicações Android em dispositivos.

  Não tem de configurar esta definição, uma vez que os dispositivos Android Enterprise restringem sempre a instalação de origens desconhecidas.

• Integridade de runtime do aplicativo Portal da Empresa

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – selecione Exigir para confirmar que a aplicação Portal da Empresa cumpre todos os seguintes requisitos:
    • Tem o ambiente de runtime predefinido instalado
    • Está assinado corretamente
    • Não está no modo de depuração
    • Está instalado a partir de uma origem conhecida

• Bloquear depuração de USB no dispositivo

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Bloquear – impeça que os dispositivos utilizem a funcionalidade de depuração USB.

  Não tem de configurar esta definição porque a depuração USB já está desativada em dispositivos Android Enterprise.

• Nível mínimo do patch de segurança
  Selecione o nível de patch de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não estão, pelo menos, neste nível de patch não estão em conformidade. A data tem de ser introduzida no formato AAAA-MM-DD.

  Por predefinição, não está configurada nenhuma data.

• Exigir uma senha para desbloquear os dispositivos móveis

  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – os utilizadores têm de introduzir uma palavra-passe antes de poderem aceder ao respetivo dispositivo.

  Esta definição aplica-se ao nível do dispositivo. Se apenas precisar de uma palavra-passe ao nível do perfil de trabalho, utilize uma política de configuração. Para obter mais informações, veja Definições de configuração de dispositivos Android Enterprise.

Importante

Quando um perfil de trabalho pessoal é ativado, os códigos de acesso do dispositivo e do perfil de trabalho são combinados por predefinição para que o mesmo código de acesso seja utilizado em ambos os locais. O Intune impõe o nível de complexidade mais elevado dos dois. O utilizador do dispositivo pode utilizar dois códigos de acesso separados se aceder às definições do perfil de trabalho e desselecionar Utilizar um bloqueio. Para garantir que os utilizadores de dispositivos utilizam dois códigos de acesso separados após a inscrição, crie um perfil de configuração de dispositivo que restrinja os utilizadores de dispositivos de utilizarem um bloqueio.

1. No centro de administração, crie um perfil de configuração de dispositivo.
2. Para tipo de perfil, selecione Restrições de dispositivos.
3. Expanda Definições do perfil de trabalho e aceda a Palavra-passe> do Perfil de TrabalhoTodos os dispositivos Android.
4. Localize a restrição Um bloqueio para o dispositivo e o perfil de trabalho. Selecione Bloquear.

Todos os dispositivos Android – segurança do dispositivo

• Número de dias até que a senha expire
  Introduza o número de dias, entre 1 e 365, até que a palavra-passe do dispositivo tenha de ser alterada. Por exemplo, para exigir uma alteração da palavra-passe após 60 dias, introduza 60. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe.

• Número de senhas anteriores para evitar a reutilização
  Utilize esta definição para impedir os utilizadores de reutilizarem palavras-passe antigas. Introduza o número de palavras-passe que pretende impedir que sejam reutilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam reutilizar nenhuma das 5 palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

• Máximo de minutos de inatividade antes que a senha seja exigida
  Introduza o tempo máximo de inatividade permitido, de 1 minuto a 8 horas. Após este período de tempo, o utilizador tem de voltar a introduzir a palavra-passe para voltar a aceder ao dispositivo. Quando escolhe Não configurado (predefinição), esta definição não é avaliada quanto à conformidade ou não conformidade.

Android 12 e posterior - segurança do dispositivo

• Complexidade da palavra-passe
  Selecione os requisitos de complexidade da palavra-passe para dispositivos com o Android 12 e posterior. Suas opções:

  • Nenhum – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Baixa – são permitidos padrões ou PINs com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
  • Médio – o comprimento, o comprimento alfabético ou o comprimento alfanumérico têm de ter, pelo menos, 4 carateres. Os PINs com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) estão bloqueadas.
  • Alto – o comprimento tem de ter, pelo menos, 8 carateres. O comprimento alfabético ou alfanumérico tem de ter, pelo menos, 6 carateres. Os PINs com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) estão bloqueadas.

  Esta definição afeta duas palavras-passe no dispositivo:

  • A palavra-passe do dispositivo que desbloqueia o dispositivo.
  • A palavra-passe do perfil de trabalho que permite aos utilizadores aceder ao perfil de trabalho.

  Se a complexidade da palavra-passe do dispositivo for demasiado baixa, a palavra-passe do dispositivo é alterada automaticamente para exigir um elevado nível de complexidade. Os utilizadores finais têm de atualizar a palavra-passe do dispositivo para cumprir os requisitos de complexidade. Em seguida, quando iniciam sessão no perfil de trabalho, é-lhes pedido que atualizem a palavra-passe do perfil de trabalho para corresponder ao nível de complexidade que configura emComplexidade da Palavra-passe de Segurança> do Perfil de Trabalho.

  Importante

  Antes de a definição de complexidade da palavra-passe estar disponível, foram utilizadas as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe . Estas definições ainda estão disponíveis, mas a Google preteriu-as para dispositivos pessoais com um perfil de trabalho.

  Eis o que precisa de saber:

  • Se a definição Tipo de palavra-passe obrigatório for alterada do valor predefinido Dispositivo numa política, então:

    • Os dispositivos Android Enterprise 12+ inscritos recentemente utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade. Por isso, se não quiser uma elevada complexidade de palavras-passe, crie uma nova política para dispositivos Android Enterprise 12+ e configure a definição Complexidade da palavra-passe .

    • Os dispositivos Android Enterprise 12+ existentes continuarão a utilizar a definição Tipo de palavra-passe obrigatório e o valor existente configurado.

      Se alterar uma política existente com a definição Tipo de palavra-passe obrigatório que já esteja configurada, os dispositivos Android Enterprise 12+ utilizarão automaticamente a definição Complexidade da palavra-passe com a Complexidade elevada .

      Para dispositivos Android Enterprise 12+ é recomendado configurar a definição Complexidade da palavra-passe .

  • Se a definição Tipo de palavra-passe obrigatória não for alterada do valor predefinido dispositivo numa política, nenhuma política de palavra-passe é aplicada automaticamente a dispositivos Android Enterprise 12+ recentemente inscritos.

Android 11 e anterior - segurança do dispositivo

Importante

A Google preteriu as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe para Android 12 e posterior. Em vez dessas definições, utilize a definição de complexidade da palavra-passe no Android 12 e posterior. Se continuar a utilizar as definições preteridas sem configurar a definição de complexidade da palavra-passe, os novos dispositivos com o Android 12 ou posterior terão, por predefinição , uma elevada complexidade de palavras-passe. Para obter mais informações sobre esta alteração e como afeta as palavras-passe em dispositivos novos e existentes, consulte Android 12 e posterior – segurança do dispositivo neste artigo.

• Tipo de senha obrigatória
  Escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma mistura de numerais e outros carateres. Suas opções:

  • Predefinição do Dispositivo: para avaliar a conformidade da palavra-passe, certifique-se de que seleciona uma força de palavra-passe diferente da predefinição do Dispositivo. O SO pode não exigir uma palavra-passe de dispositivo por predefinição, pelo que é melhor selecionar um tipo de palavra-passe diferente para um maior controlo e consistência em todos os dispositivos.
  • Biometria de baixa segurança: para obter mais informações sobre este tipo de palavra-passe, consulte biometria forte vs. fraca (abre o Blogue para Programadores Android).
  • Pelo menos numérico (predefinição): exigir carateres numéricos, como 123456789.
  • Complexo numérico: não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, . Introduza também:
  • Pelo menos alfabético: exigir letras do alfabeto. Não são necessários números e símbolos. Introduza também:
  • Pelo menos alfanumérico: exigir letras maiúsculas, letras minúsculas e carateres numéricos.
  • Pelo menos alfanumérico com símbolos: exigir letras maiúsculas, letras minúsculas, carateres numéricos, sinais de pontuação e símbolos.

• Comprimento mínimo da senha
  Esta definição é apresentada para determinados tipos de palavra-passe. Introduza o número mínimo de carateres necessário, entre 4 e 16 carateres.

Segurança do perfil de trabalho - para perfil de trabalho pessoal

Se não configurar os requisitos de palavra-passe, a utilização de uma palavra-passe de perfil de trabalho é opcional e é deixada à disposição dos utilizadores para configurar.

• Exigir uma palavra-passe para desbloquear o perfil de trabalho
  Exigir que os utilizadores do dispositivo tenham um perfil de trabalho protegido por palavra-passe. Suas opções:
  • Não configurado (predefinição) – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Exigir – os utilizadores têm de introduzir uma palavra-passe para aceder ao respetivo perfil de trabalho.

Todos os dispositivos Android – segurança do perfil de trabalho

• Número de dias até que a senha expire
  Introduza o número de dias, entre 1 e 365, até que a palavra-passe do perfil de trabalho tenha de ser alterada. Por exemplo, para exigir uma alteração da palavra-passe após 60 dias, introduza 60. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe.

• Número de senhas anteriores para evitar a reutilização
  Utilize esta definição para impedir os utilizadores de reutilizarem palavras-passe antigas. Introduza o número de palavras-passe que pretende impedir que sejam reutilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam reutilizar nenhuma das 5 palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

• Máximo de minutos de inatividade antes que a senha seja exigida
  Introduza o tempo máximo de inatividade permitido, de 1 minuto a 8 horas. Após este período de tempo, o utilizador tem de voltar a introduzir a palavra-passe para voltar ao respetivo perfil de trabalho. Quando escolhe Não configurado (predefinição), esta definição não é avaliada quanto à conformidade ou não conformidade.

Android 12 e posterior – segurança do perfil de trabalho

• Complexidade da palavra-passe
  Selecione o requisito de complexidade da palavra-passe para perfis de trabalho em dispositivos com o Android 12 e posterior. Suas opções:

  • Nenhum – esta definição não é avaliada quanto à conformidade ou não conformidade.
  • Baixo – é permitido um padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
  • Médio – o comprimento, o comprimento alfabético ou o comprimento alfanumérico têm de ter, pelo menos, 4 carateres. Os PINs com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) estão bloqueadas.
  • Alto – o comprimento tem de ter, pelo menos, 8 carateres. O comprimento alfabético ou alfanumérico tem de ter, pelo menos, 6 carateres. Os PINs com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) estão bloqueadas.

  Esta definição afeta duas palavras-passe no dispositivo:

  • A palavra-passe do dispositivo que desbloqueia o dispositivo.
  • A palavra-passe do perfil de trabalho que permite aos utilizadores aceder ao perfil de trabalho.

  Se a complexidade da palavra-passe do dispositivo for demasiado baixa, a palavra-passe do dispositivo é alterada automaticamente para exigir um elevado nível de complexidade. Os utilizadores finais têm de atualizar a palavra-passe do dispositivo para cumprir os requisitos de complexidade. Em seguida, quando iniciam sessão no perfil de trabalho, é-lhes pedido que atualizem a palavra-passe do perfil de trabalho para corresponderem à complexidade que configura aqui.

  Importante

  Antes de a definição de complexidade da palavra-passe estar disponível, foram utilizadas as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe . Estas definições ainda estão disponíveis, mas desde então a Google preteriu-as para dispositivos pessoais com um perfil de trabalho.

  Eis o que precisa de saber:

  • Se a definição Tipo de palavra-passe obrigatório for alterada do valor predefinido Dispositivo numa política, então:

    • Os dispositivos Android Enterprise 12+ inscritos recentemente utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade. Por isso, se não quiser uma elevada complexidade de palavras-passe, crie uma nova política para dispositivos Android Enterprise 12+ e configure a definição Complexidade da palavra-passe .

    • Os dispositivos Android Enterprise 12+ existentes continuarão a utilizar a definição Tipo de palavra-passe obrigatório e o valor existente configurado.

      Se alterar uma política existente com a definição Tipo de palavra-passe obrigatório que já esteja configurada, os dispositivos Android Enterprise 12+ utilizarão automaticamente a definição Complexidade da palavra-passe com a Complexidade elevada .

      Para dispositivos Android Enterprise 12+ é recomendado configurar a definição Complexidade da palavra-passe .

  • Se a definição Tipo de palavra-passe obrigatória não for alterada do valor predefinido dispositivo numa política, nenhuma política de palavra-passe é aplicada automaticamente a dispositivos Android Enterprise 12+ recentemente inscritos.

Android 11 e anterior – segurança do perfil de trabalho

Estas definições de palavras-passe aplicam-se a dispositivos com o Android 11 e anterior.

Importante

A Google preteriu as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe para Android 12 e posterior. Em vez dessas definições, utilize a definição de complexidade da palavra-passe no Android 12 e posterior. Se continuar a utilizar as definições preteridas sem configurar a definição de complexidade da palavra-passe, os novos dispositivos com o Android 12 ou posterior terão, por predefinição , uma elevada complexidade de palavras-passe. Para obter mais informações sobre esta alteração e como afeta as palavras-passe do perfil de trabalho em dispositivos novos e existentes, consulte Android 12 e posterior – segurança do perfil de trabalho neste artigo.

• Tipo de senha obrigatória
  Exigir que os utilizadores utilizem um determinado tipo de palavra-passe. Suas opções:
  • Predefinição do dispositivo – para avaliar a conformidade da palavra-passe, certifique-se de que seleciona uma força de palavra-passe diferente da Predefinição do dispositivo. O SO pode não exigir uma palavra-passe de perfil de trabalho por predefinição, pelo que é melhor selecionar um tipo de palavra-passe diferente para um maior controlo e consistência em todos os dispositivos.
  • Biometria de baixa segurança: para obter mais informações sobre este tipo de palavra-passe, consulte biometria forte vs. fraca (abre o Blogue para Programadores Android).
  • Pelo menos numérico (predefinição): exigir carateres numéricos, como 123456789.
  • Complexo numérico: não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, .
  • Pelo menos alfabético: exigir letras do alfabeto. Não são necessários números e símbolos.
  • Pelo menos alfanumérico: exigir letras maiúsculas, letras minúsculas e carateres numéricos.
  • Pelo menos alfanumérico com símbolos: exigir letras maiúsculas, letras minúsculas, carateres numéricos, sinais de pontuação e símbolos.
• Comprimento mínimo da senha
  Esta definição é apresentada para determinados tipos de palavra-passe. Introduza o número mínimo de carateres necessário, entre 4 e 16 carateres.

Próximas etapas

• Adicione ações para dispositivos não conformes e utilize etiquetas de âmbito para filtrar políticas.
• Monitorize as políticas de conformidade.
• Veja as definições de política de conformidade para dispositivos Android.