Definições de conformidade do dispositivo para Android Enterprise em Intune

Este artigo apresenta e descreve as definições de conformidade diferentes que pode configurar em dispositivos Android Enterprise no Intune. Como parte da solução de gestão de dispositivos móveis (MDM), utilize estas definições para marcar os dispositivos desbloqueados por rooting (jailbreak) como não conformes, defina um nível de ameaça permitido, ative o Google Play Protect e muito mais.

Esta funcionalidade aplica-se a:

• Android Enterprise

Enquanto administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos da sua organização. Para saber mais sobre as políticas de conformidade e para o que servem, veja a introdução à conformidade de dispositivos.

Importante

Para aplicar a dispositivos dedicados ao Android Enterprise, a política de conformidade deve visar dispositivos, não utilizadores. As políticas de conformidade serão avaliadas contra o dispositivo e refletirão adequadamente o estado de conformidade no Intune. Para permitir que os utilizadores em dispositivos dedicados se inscrevam em recursos protegidos pelas políticas de Acesso Condicional, considere utilizar dispositivos dedicados ao Android Enterprise com o modo de dispositivo partilhado AD AZure.

Nos dispositivos dedicados ao Android Enterprise que estão matriculados sem o modo de dispositivo partilhado AZure AD, os utilizadores do dispositivo não poderão assinar em recursos protegidos pelas políticas de Acesso Condicional, mesmo que o dispositivo esteja em conformidade com o Intune. Para saber mais sobre o modo de dispositivo partilhado, consulte a visão geral do modo dispositivo partilhado na documentação AD AZure.

Antes de começar

Criar uma política de conformidade. Para plataforma, selecione Android Enterprise.

Perfil de trabalho totalmente gerido, dedicado e Corporate-Owned

Microsoft Defender para Ponto Final

• Exigir que o dispositivo esteja na pontuação de risco da máquina ou sob a pontuação de risco da máquina

  Selecione a pontuação máxima de risco de máquina permitida para dispositivos avaliados pelo Microsoft Defender para Endpoint. Os dispositivos que excedam esta pontuação ficam marcados como incompatíveis.

  • Não configurado (padrão)
  • Limpar
  • Baixo
  • Medium
  • Alto

Nota

O Microsoft Defender for Endpoint pode não ser suportado em todos os tipos de matrículas do Android Enterprise. Saiba mais sobre quais os cenários suportados.

Estado de Funcionamento do Dispositivo

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou sob o nível de ameaça do dispositivo
  Selecione o nível máximo de ameaça de dispositivo permitido avaliado pelo seu serviço de defesa de ameaças móveis. Os dispositivos que excedam este nível de ameaça são marcados como não conformes. Para utilizar esta definição, selecione o nível de ameaça permitido:

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Seguro - Esta opção é a mais segura, e significa que o dispositivo não pode ter ameaças. Se forem detetadas ameaças de qualquer nível no dispositivo, o mesmo será avaliado como não conforme.
  • Baixo: - O dispositivo é avaliado como conforme se apenas ameaças de baixo nível estiverem presentes. Qualquer nível mais alto coloca o dispositivo num estado de não conforme.
  • Médio - O dispositivo é avaliado como conforme se as ameaças presentes no dispositivo forem de baixo ou médio nível. Se forem detetadas ameaças de nível alto no dispositivo, este será determinado como não conforme.
  • Alta - Esta opção é a menos segura, pois permite todos os níveis de ameaça. Poderá ser útil se utilizar esta solução apenas para fins de relatórios.

Nota

Todos os fornecedores de Defesa de Ameaças Móveis (MTD) são suportados em implementações de Perfil de Trabalho da Empresa Android totalmente geridas, dedicadas e Corporate-Owned utilizando a configuração da aplicação. Consulte o seu fornecedor DE MTD sobre a configuração exata necessária para suportar as plataformas de Perfil de Trabalho do Android Enterprise Totalmente Geridas, Dedicadas e Corporate-Owned no Intune.

Google Play Protect

• Atestado de dispositivo SafetyNet
  introduza o nível do Atestado SafetyNet que tem de ser cumprido. As opções são:

  • Não configurado (padrão)- A definição não é avaliada para conformidade ou incumprimento.
  • Verificação de integridade básica
  • Verificação de integridade básica e de dispositivos certificados

Propriedades do Dispositivo

Versão do Sistema Operativo

• Versão mínima do SO
  Quando um dispositivo não cumpre o requisito de versão mínima do SO, será reportado como não conforme. É apresentada uma hiperligação com informações sobre como atualizar. O utilizador final pode atualizar a versão do dispositivo e, em seguida, aceder aos recursos da organização.

  Por predefinição, nenhuma versão está configurada.

• Versão máxima do SO
  quando um dispositivo utiliza uma versão do SO posterior à versão na regra, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador para contactar o administrador de TI. Enquanto a regra não for alterada para permitir a versão do SO, o dispositivo não poderá aceder aos recursos da organização.

  Por predefinição, nenhuma versão está configurada.

• Nível mínimo de correção de segurança
  selecione o nível de correção de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não tiverem pelo menos este nível de correção serão considerados como não conformes. A data tem de ser introduzida no formato AAAA-MM-DD.

  Por predefinição, nenhuma data está configurada.

Segurança do sistema

• Palavra-passe obrigatória para desbloquear os dispositivos móveis

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Os utilizadores devem introduzir uma palavra-passe antes de poderem aceder ao seu dispositivo.

• Tipo obrigatório de palavra-passe
  escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma combinação de números e de outros carateres. As opções são:

  • Padrão do dispositivo - Para avaliar a conformidade com a palavra-passe, certifique-se de selecionar uma força de senha diferente do dispositivo por defeito.
  • Palavra-passe obrigatória, sem restrições
  • Biométrico - fraco Forte vs. biometria fraca (abre o site do Android)
  • Numérico (padrão): A palavra-passe deve ser apenas números, tais como 123456789 . introduza o comprimento mínimo da palavra-passe que um utilizador tem de introduzir, entre 4 e 16 carateres.
  • Complexo numérico - Números repetidos ou consecutivos, como "1111" ou "1234", não são permitidos. introduza o comprimento mínimo da palavra-passe que um utilizador tem de introduzir, entre 4 e 16 carateres.
  • Alfabética - São necessárias letras no alfabeto. Não são obrigatórios números nem símbolos. introduza o comprimento mínimo da palavra-passe que um utilizador tem de introduzir, entre 4 e 16 carateres.
  • Alfanumérico - Inclui letras maiúsculas, letras minúsculas e caracteres numéricos. introduza o comprimento mínimo da palavra-passe que um utilizador tem de introduzir, entre 4 e 16 carateres.
  • Alfanumérico com símbolos - Inclui letras maiúsculas, letras maiúsculas, caracteres numéricos, marcas de pontuação e símbolos.

  Dependendo do tipo de palavra-passe que seleciona, estão disponíveis as seguintes definições:

  • Comprimento mínimo da palavra-passe
    introduza o comprimento mínimo da palavra-passe, entre 4 e 16 carateres.

  • Número de caracteres necessários
    introduza o número de carateres que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Número de caracteres minúsculos necessários
    introduza o número de carateres em minúsculas que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Número de caracteres maiúsculas necessários
    introduza o número de carateres em maiúsculas que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Número de caracteres não-letra necessários
    introduza o número de carateres não alfabéticos (tudo o que não seja letras do alfabeto) que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Número de caracteres numéricos necessários
    introduza o número de carateres numéricos (1, 2, 3 e assim por diante) que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Número de caracteres de símbolo necessários
    introduza o número de carateres de símbolos (&, #, % e assim por diante) que a palavra-passe deverá ter, entre 0 e 16 carateres.

  • Minutos máximos de inatividade antes da senha ser necessária
    introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe. As opções incluem o padrão de Não configurado, e de 1 Minuto a 8 horas.

  • Número de dias até que a senha expire
    introduza o número de dias, entre 1 e 365, antes de ser necessário alterar a palavra-passe do dispositivo. Por exemplo, para alterar a palavra-passe após 60 dias, introduza 60. Quando a palavra-passe expirar, será pedido aos utilizadores para criar uma nova.

    Por predefinição, nenhum valor é configurado.

  • Número de palavras-passe necessárias antes de o utilizador poder reutilizar uma palavra-passe
    introduza o número de palavras-passe recentes que não podem ser reutilizadas, entre 1 e 24. Utilize esta definição para impedir o utilizador final de criar palavras-passe utilizadas anteriormente.

    Por predefinição, nenhuma versão está configurada.

Encriptação

• Encriptação do armazenamento de dados no dispositivo

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Require - Criptografe o armazenamento de dados nos seus dispositivos.

  Uma vez que os dispositivos Android Enterprise impõem a encriptação, não tem de configurar esta definição.

Perfil de trabalho Personally-Owned

Microsoft Defender para Endpoint - para Personally-Owned perfil de trabalho

• Exigir que o dispositivo esteja na pontuação de risco da máquina ou sob a pontuação de risco da máquina
  Selecione a pontuação máxima de risco de máquina permitida para dispositivos avaliados pelo Microsoft Defender para Endpoint. Os dispositivos que excedam esta pontuação ficam marcados como incompatíveis.
  • Não configurado (padrão)
  • Limpar
  • Baixo
  • Medium
  • Alto

Saúde do dispositivo - para Personally-Owned perfil de trabalho

• Dispositivos enraizados

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Bloquear - Mark rooted (jailbroken) dispositivos como não conformes.

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou sob o nível de ameaça do dispositivo
  Selecione o nível máximo de ameaça de dispositivo permitido avaliado pelo seu serviço de defesa de ameaças móveis. Os dispositivos que excedam este nível de ameaça são marcados como não conformes. Para utilizar esta definição, selecione o nível de ameaça permitido:

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Seguro - Esta opção é a mais segura, e significa que o dispositivo não pode ter ameaças. Se forem detetadas ameaças de qualquer nível no dispositivo, o mesmo será avaliado como não conforme.
  • Baixo - O dispositivo é avaliado como conforme se apenas ameaças de baixo nível estiverem presentes. Qualquer nível mais alto coloca o dispositivo num estado de não conforme.
  • Médio - O dispositivo é avaliado como conforme se as ameaças presentes no dispositivo forem de baixo ou médio nível. Se forem detetadas ameaças de nível alto no dispositivo, este será determinado como não conforme.
  • Alta - Esta opção é a menos segura, pois permite todos os níveis de ameaça. Poderá ser útil se utilizar esta solução apenas para fins de relatórios.

Google Play Protect - para Personally-Owned perfil de trabalho

• Os Serviços Google Play estão configurados

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Exigir que a aplicação de serviços da Google Play seja instalada e ativada. Os serviços do Google Play permitem realizar atualizações de segurança, que são uma dependência de nível base de várias funcionalidades de segurança dos dispositivos Google certificados.

• Prestador de segurança atualizado

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Exigir que um fornecedor de segurança atualizado possa proteger um dispositivo de vulnerabilidades conhecidas.

• Atestado de dispositivo SafetyNet
  introduza o nível do Atestado SafetyNet que tem de ser cumprido. As opções são:

  • Não configurado (padrão)- A definição não é avaliada para conformidade ou incumprimento.
  • Verificação de integridade básica
  • Verificação de integridade básica e de dispositivos certificados

• Tipo de avaliação de SafetyNet exigido
  Esta definição só está disponível quando o atestado de dispositivo SafetyNet estiver definido para verificar a integridade básica ou verificar a integridade básica & dispositivos certificados.

  Selecione o tipo de avaliação que pretende utilizar para calcular a resposta do atestado do dispositivo SafetyNet.

  • Não configurado (incumprimentos à avaliação básica) –(padrão)
  • Chave apoiada por hardware – Exija que a tecla apoiada por hardware seja utilizada para avaliação safetyNet. Os dispositivos que não suportam a tecla apoiada por hardware estão marcados como não conformes.

  Para obter mais informações sobre o SafetyNet e quais os dispositivos que suportam a chave suportada por hardware, consulte os tipos de avaliação na documentação safetyNet para Android.

Nota

Nos dispositivos Android Enterprise, a Análise de ameaças nas aplicações é uma política de configuração do dispositivo. Ao utilizar uma política de configuração, os administradores podem ativar a definição num dispositivo. Veja Definições de restrição de dispositivos Android Enterprise.

Propriedades do dispositivo - para Personally-Owned perfil de trabalho

Versão do sistema operativo - para Personally-Owned perfil de trabalho

• Versão mínima do SO
  Quando um dispositivo não cumpre o requisito de versão mínima do SO, será reportado como não conforme. É apresentada uma hiperligação com informações sobre como atualizar. O utilizador final pode atualizar a versão do dispositivo e, em seguida, aceder aos recursos da organização.

  Por predefinição, nenhuma versão está configurada.

• Versão máxima do SO
  quando um dispositivo utiliza uma versão do SO posterior à versão na regra, o acesso aos recursos da organização é bloqueado. É pedido ao utilizador para contactar o administrador de TI. Enquanto a regra não for alterada para permitir a versão do SO, o dispositivo não poderá aceder aos recursos da organização.

  Por predefinição, nenhuma versão está configurada.

Segurança do sistema - para Personally-Owned Perfil de Trabalho

• Palavra-passe obrigatória para desbloquear os dispositivos móveis

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Os utilizadores devem introduzir uma palavra-passe antes de poderem aceder ao seu dispositivo.

  Esta definição aplica-se ao nível do dispositivo. Se precisar apenas de uma palavra-passe ao nível do perfil de trabalho Personally-Owned, utilize uma política de configuração. Veja Definições de configuração de dispositivos Android Enterprise.

• Tipo obrigatório de palavra-passe
  escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma combinação de números e de outros carateres. As opções são:

  • Padrão do dispositivo
  • Biométrica de segurança baixa
  • Pelo menos numérico (predefinição): Introduza o comprimento mínimo da palavra-passe que um utilizador deve introduzir, entre 4 e 16 caracteres.
  • Complexo numérico: Introduza o comprimento mínimo da palavra-passe que um utilizador deve introduzir, entre 4 e 16 caracteres.
  • Pelo menos alfabética: Introduza o comprimento mínimo da palavra-passe que um utilizador deve introduzir, entre 4 e 16 caracteres.
  • Pelo menos alfanumérico: Introduza o comprimento mínimo da palavra-passe que um utilizador deve introduzir, entre 4 e 16 caracteres.
  • Pelo menos alfanumérico com símbolos: Introduza o comprimento mínimo da palavra-passe que um utilizador deve introduzir, entre 4 e 16 caracteres.

  Dependendo do tipo de palavra-passe que seleciona, estão disponíveis as seguintes definições:

  • Minutos máximos de inatividade antes da senha ser necessária
    introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe. As opções incluem o padrão de Não configurado, e de 1 Minuto a 8 horas.

  • Número de dias até que a senha expire
    introduza o número de dias, entre 1 e 365, antes de ser necessário alterar a palavra-passe do dispositivo. Por exemplo, para alterar a palavra-passe após 60 dias, introduza 60. Quando a palavra-passe expirar, será pedido aos utilizadores para criar uma nova.

  • Comprimento mínimo da palavra-passe
    introduza o comprimento mínimo da palavra-passe, entre 4 e 16 carateres.

  • Número de senhas anteriores para evitar a reutilização
    introduza o número de palavras-passe recentes que não podem ser reutilizadas. Utilize esta definição para impedir o utilizador final de criar palavras-passe utilizadas anteriormente.

Encriptação - para Personally-Owned Perfil de Trabalho

• Encriptação do armazenamento de dados no dispositivo

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Require - Criptografe o armazenamento de dados nos seus dispositivos.

  Uma vez que os dispositivos Android Enterprise impõem a encriptação, não tem de configurar esta definição.

Segurança do dispositivo - para Personally-Owned perfil de trabalho

• Bloqueie aplicativos de fontes desconhecidas

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Bloco - Bloquear dispositivos com Fontes Desconhecidas de Segurança > habilitados -suportados no Android 4.0 através do Android 7.x. Não suportado pelo Android 8.0 e mais tarde).

  Para aplicações de sideload, as origens desconhecidas têm de ser permitidas. Se não tiver aplicações Android de sideload, defina esta funcionalidade como Bloquear para ativar esta política de conformidade.

  Importante

  As aplicações de sideload requerem a ativação da definição Bloquear aplicações de origens desconhecidas. Aplique esta política de conformidade apenas se não tiver aplicações Android de sideload nos dispositivos.

  Uma vez que os dispositivos Android Enterprise restringem sempre a instalação a partir de origens desconhecidas, não tem de configurar esta definição.

• Integridade do tempo de execução do portal da empresa

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Exigir - Escolha Exigir confirmar que a aplicação Portal da Empresa cumpre todos os seguintes requisitos:
    • Tem o ambiente de tempo de execução predefinido instalado
    • Está corretamente assinada
    • Não está no modo de depuração
    • Foi instalada a partir de uma origem conhecida

• Bloqueio USB depurando no dispositivo

  • Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
  • Bloco - Evite que os dispositivos utilizem a função de depuramento USB.

  Uma vez que a depuração de USB já está desativada nos dispositivos Android Enterprise, não tem de configurar esta definição.

• Nível mínimo de correção de segurança
  selecione o nível de correção de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não tiverem pelo menos este nível de correção serão considerados como não conformes. A data tem de ser introduzida no formato AAAA-MM-DD.

  Por predefinição, nenhuma data está configurada.

Passos seguintes

• Adicionar ações para dispositivos não conformes e utilizar etiquetas de âmbito para filtrar políticas.
• Monitorizar as políticas de conformidade.
• Veja as definições de política de conformidade para dispositivos Android.