Guia de implementação: Gerir dispositivos Android em Microsoft Intune
A Intune suporta a gestão de dispositivos móveis (MDM) de dispositivos Android para dar às pessoas acesso seguro a emails de trabalho, dados e aplicações. Este guia fornece recursos específicos para android para ajudá-lo a configurar a inscrição no Intune e implementar aplicações e políticas para utilizadores e dispositivos.
Pré-requisitos
Antes de começar, preencha estes pré-requisitos para permitir a gestão de dispositivos Android no Intune. Para obter informações mais detalhadas sobre como configurar, embarcar ou mudar-se para Intune, consulte o guia de implementação da configuração DoTune.
- Adicionar utilizadores e grupos
- Atribuir licenças a utilizadores
- Definir autoridade de gestão de dispositivos móveis
- Ter o Administrador Global ou administrador intune Azure Ative Directory permissões
Plano para a sua implantação
Use o guia de planeamento Microsoft Intune para ajudar no planeamento, conceção e implementação de Microsoft Intune na sua organização. O guia fornece informações para o ajudar:
- Determine objetivos, cenários de casos de uso e requisitos.
- Criar planos de implementação e comunicação.
- Criar planos de suporte, teste e validação.
Aproveite a estrutura de configuração de segurança Android Enterprise
A estrutura de configuração de segurança android Enterprise é uma série de recomendações para a conformidade do dispositivo e definições de política de configuração. Estas recomendações podem ajudá-lo a adaptar a proteção de segurança do dispositivo móvel da sua organização às suas necessidades específicas. Pode aplicá-los a dispositivos totalmente geridos ou pessoalmente possuídos com perfis de trabalho.
A taxonomia para este quadro é semelhante à utilizada para configurações de segurança no iOS. Inclui configurações recomendadas para segurança básica, melhorada e de alto nível. Cada nível de segurança baseia-se no anterior para oferecer mais proteção do que o último.
Os níveis de segurança para dispositivos de propriedade pessoal com perfil de trabalho são:
Segurança básica (Nível 1) – Esta configuração é recomendada como a configuração de segurança mínima para dispositivos pessoais onde os utilizadores acedem ao trabalho ou aos dados escolares. Esta configuração introduz requisitos de palavra-passe, separa o trabalho e os dados pessoais e valida a atestado de dispositivo Android.
Alta segurança (Nível 3) – Esta configuração é recomendada para dispositivos utilizados por utilizadores ou grupos específicos de risco único. Por exemplo, os utilizadores que lidam com dados altamente sensíveis onde a divulgação não autorizada causa uma perda considerável de material para a organização. Esta configuração introduz a defesa de ameaças móveis ou o Microsoft Defender Advanced Threat Protection (ATP), aplica requisitos mais rigorosos de versão Android, aplica políticas de palavras-passe mais fortes e restringe ainda mais o trabalho e a separação pessoal.
Os níveis de segurança dos dispositivos totalmente geridos são:
Segurança básica (Nível 1) – Esta configuração é recomendada como a configuração de segurança mínima para dispositivos supervisionados onde os utilizadores acedem ao trabalho ou aos dados escolares. Aplica requisitos de senha, versão mínima para Android e certas restrições ao dispositivo.
Segurança reforçada (Nível 2) – Esta configuração é recomendada para dispositivos a partir dos quais os utilizadores acedem a informações confidenciais ou confidenciais. Aplica políticas de palavra-passe mais fortes e desativa as capacidades de utilizador e conta. É aplicável à maioria dos utilizadores móveis que acedem ao trabalho ou aos dados escolares num dispositivo.
Alta segurança (Nível 3) – Esta configuração é recomendada para dispositivos utilizados por utilizadores ou grupos específicos de risco único. Por exemplo, os utilizadores que lidam com dados altamente sensíveis onde a divulgação não autorizada causa uma perda considerável de material para a organização. Esta configuração impõe requisitos mais rigorosos de versão Android e outras restrições ao dispositivo, e introduz a defesa de ameaças móveis ou o Microsoft Defender ATP.
Para obter mais informações sobre o quadro de segurança, consulte os artigos listados na tabela seguinte.
| Tarefa | Detalhes |
|---|---|
| Conheça a metodologia de implementação do quadro Android Enterprise | Saiba mais sobre a metodologia recomendada pela Microsoft para a implementação da estrutura de configuração de segurança. |
| Configure restrições de inscrição de dispositivos para dispositivos de propriedade pessoal | Aplique estas restrições para configurar um nível de segurança básico ou elevado para dispositivos que sejam pessoalmente propriedade com perfil de trabalho. |
| Não permite contas pessoais em dispositivos Android Enterprise | Evite que pessoas no trabalho ou dispositivos escolares assinem aplicações da Microsoft com uma conta pessoal. |
| Configurar definições de segurança para dispositivos de propriedade pessoal | Aplique estas definições para configurar um nível de segurança básico ou elevado em dispositivos que sejam pessoalmente propriedade com perfil de trabalho. |
| Configurar definições de segurança para dispositivos totalmente geridos | Aplique estas definições para configurar um nível básico, melhorado ou elevado de segurança em dispositivos corporativos totalmente geridos. |
Criar regras de conformidade
Utilize políticas de conformidade para definir as regras e condições que os utilizadores e dispositivos devem reunir para aceder aos recursos protegidos da sua organização. Também pode criar políticas de Acesso Condicional, que funcionam em conjunto com os resultados de conformidade do seu dispositivo para bloquear o acesso a recursos de dispositivos não conformes. Para obter uma explicação detalhada sobre as políticas de conformidade e como começar, consulte use as políticas de conformidade para definir regras para dispositivos que gere com o Intune.
As seguintes tarefas aplicam-se tanto às plataformas de administrador de dispositivos Android Enterprise e Android.
| Tarefa | Detalhes |
|---|---|
| Criar uma política de conformidade | Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade aos grupos de utilizador e dispositivo. |
| Adicionar ações de não conformidade | Escolha o que acontece quando os dispositivos já não satisfazem as condições da sua política de conformidade. Pode adicionar ações de incumprimento quando configurar uma política de conformidade do dispositivo ou, posteriormente, editando a política. |
| Crie uma política de acesso condicional baseada em dispositivos ou baseada em aplicativos. | Especifique a aplicação ou serviços que pretende proteger e definir as condições de acesso. |
| Bloquear acesso a apps que não usam autenticação moderna | Crie uma política de acesso condicional baseada em aplicativos para bloquear aplicações que usam métodos de autenticação que não o OAuth2. Por exemplo, pode bloquear aplicações que usam a autenticação básica e baseada em formulários. Antes de bloquear qualquer acesso, inscreva-se no Azure AD e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a usar a autenticação básica para aceder a coisas essenciais (como quiosques de calendário de sala de reuniões) que esqueceu ou desconhece. |
Configurar a segurança do ponto final
Utilize as funcionalidades de segurança do ponto final Intune para configurar a segurança do dispositivo e para gerir tarefas de segurança para dispositivos em risco.
As seguintes tarefas aplicam-se tanto às plataformas de administrador de dispositivos Android Enterprise e Android.
| Tarefa | Detalhes | Plataforma |
|---|---|---|
| Gerir dispositivos com funcionalidades de segurança de ponto final | Utilize as definições de segurança Endpoint no Intune para gerir eficazmente a segurança do dispositivo e remediar problemas para dispositivos. | |
| Ativar o conector de defesa de ameaças móveis (MTD) para dispositivos matriculados | Ative a ligação MTD no Intune para que as aplicações parceiras do MTD possam trabalhar com o Intune e as suas políticas de conformidade com o dispositivo MTD. Se não estiver a utilizar o Microsoft Defender para o Endpoint, considere ativar o conector para que possa utilizar outra solução de defesa de ameaças móveis. Também pode ativar o conector MTD para dispositivos não matriculados no Intune. | |
| Criar política de proteção de aplicações MTD | Crie uma política de proteção de aplicações Intune que avalie os riscos e limite o acesso de um dispositivo a aplicações de trabalho ou escolas. | |
| Criar política de conformidade com dispositivos MTD | Crie uma política de proteção de aplicações Intune que avalie o risco e limite o acesso corporativo de um dispositivo com base no nível de ameaça. | |
| Adicionar e atribuir aplicações MTD | Adicione e implemente aplicativos MTD no Intune. Estas aplicações funcionam com as políticas de conformidade do seu dispositivo e proteção de aplicações para identificar e ajudar a corrigir as ameaças do dispositivo. Também pode atribuir aplicações MTD a dispositivos não matriculados no Intune. |
Configurar definições de dispositivos
Utilize Microsoft Intune para ativar ou desativar configurações e funcionalidades nos dispositivos. Para configurar e impor estas definições, crie um perfil de dispositivo e, em seguida, atribua o perfil a grupos da sua organização. Os dispositivos recebem o perfil assim que se inscrevem.
| Tarefa | Detalhes | Plataforma |
|---|---|---|
| Criar um perfil de dispositivo no Microsoft Intune | Conheça os diferentes tipos de perfis de dispositivo que pode criar para a sua organização. | Android Enterprise, administrador de dispositivos Android |
| Configurar Wi-Fi perfil | Este perfil permite que as pessoas encontrem e se conectem à rede de Wi-Fi da sua organização. Para uma descrição das definições nesta área, consulte a referência de definições Wi-Fi para as definições de Wi-Fi Android ou para as definições do administrador de dispositivos Android Wi-Fi. | Android Enterprise, administrador de dispositivos Android |
| Configure o perfil VPN | Crie uma opção VPN segura, como o Microsoft Tunnel, para pessoas que se ligam à rede da sua organização. Para uma descrição das definições nesta área, consulte a referência de definições VPN para as definições de VPN do Android Enterprise ou para as definições de VPN do administrador de dispositivos Android. | Android Enterprise, administrador de dispositivos Android |
| Configure o perfil de e-mail | Configure as definições de e-mail para que as pessoas possam ligar-se a um servidor de correio e aceder ao seu trabalho ou e-mail escolar. Para obter uma descrição das definições nesta área, consulte as definições de email do Android Enterprise ou as definições de e-mail do administrador de dispositivo Android. | Android Enterprise, administrador de dispositivos Android |
| Restringir as funcionalidades do dispositivo | Proteja os utilizadores de acessos e distrações não autorizados limitando as funcionalidades do dispositivo que podem usar no trabalho ou na escola. Para obter uma descrição das definições nesta área, consulte as definições do dispositivo Android Enterprise ou as definições do dispositivo de administrador de dispositivos Android. | Android Enterprise, administrador de dispositivos Android |
| Configurar configurações personalizadas para administrador de dispositivos Android | Adicione ou crie configurações personalizadas que não sejam incorporadas no Intune, como um perfil VPN por aplicação e proteção web com o Microsoft Defender para Endpoint. | Android device administrator (Administrador de dispositivos Android) |
| Configure aplicações Samsung Knox | Crie um perfil personalizado para permitir e bloquear aplicações para dispositivos Samsung Knox Standard. | Android device administrator (Administrador de dispositivos Android) |
| Crie um perfil personalizado para Android Enterprise | Adicione ou crie configurações personalizadas que não sejam incorporadas no Intune para dispositivos de propriedade pessoal. | Android Enterprise |
| Configure o perfil de extensões de mobilidade de zebra (MX) | Utilize os perfis de Extensões de Mobilidade da Zebra (MX) para personalizar ou adicionar mais definições específicas da Zebra no Intune. | Android device administrator (Administrador de dispositivos Android) |
| Criar perfil de configuração OEMConfig | Utilize o OEMConfig para adicionar, criar e personalizar configurações específicas do OEM para dispositivos Android Enterprise. | Android Enterprise |
| Personalizar a experiência de marca e inscrição | Personalize as aplicações Portal da Empresa do Intune e Microsoft Intune com a marca da sua organização para criar uma experiência familiar para as pessoas que matriculam os seus dispositivos. | Android Enterprise, administrador de dispositivos Android |
Configurar métodos de autenticação segura
Crie métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acedam aos seus recursos internos. A Intune suporta a autenticação de vários fatores, certificados SCEP e PKCS e credenciais derivadas. Os certificados também podem ser usados para a assinatura e encriptação de e-mail usando S/MIME.
| Tarefa | Detalhes | Plataforma |
|---|---|---|
| Requerem autenticação de vários fatores (MFA) | Exigir que as pessoas forneçam duas formas de credenciais no momento da inscrição. | Android Enterprise |
| Criar um perfil de certificado de confiança | Crie e implemente um perfil de certificado de confiança antes de criar um perfil de certificado importado SCEP, PKCS ou PKCS. O perfil de certificado fidedigno implanta o certificado de raiz fidedigno para dispositivos que utilizam certificados importados SCEP, PKCS e PKCS. | Android Enterprise, administrador de dispositivos Android |
| Utilizar certificados SCEP com Intune | Saiba o que é necessário para usar certificados SCEP com Intune, e configuure a infraestrutura necessária. Depois de o fazer, pode criar um perfil de certificado SCEP ou criar uma autoridade de certificação de terceiros com a SCEP. | Android Enterprise |
| Utilizar certificados PKCS com Intune | Configure a infraestrutura necessária (como conectores de certificado no local), exporte um certificado PKCS e adicione o certificado a um perfil de configuração do dispositivo Intune. | Android Enterprise, administrador de dispositivos Android |
| Utilizar certificados PKCS importados com Intune | Configurar certificados PKCS importados, que lhe permitem configurar e utilizar o S/MIME para encriptar o e-mail. | Android Enterprise, administrador de dispositivos Android |
| Criar um emitente de credenciais derivado | Fornecimento de dispositivos Android com certificados derivados de cartões inteligentes do utilizador. | Android Enterprise |
Implementar aplicações
Ao configurar apps e políticas de aplicações, pense nos requisitos da sua organização, como as plataformas que irá suportar, as tarefas que as pessoas precisam de fazer, o tipo de apps que precisam para completar essas tarefas, e os grupos que precisam dessas aplicações. Pode utilizar o Intune para gerir todo o dispositivo (incluindo aplicações) ou utilizar o Intune apenas para gerir aplicações.
| Tarefa | Detalhes | Plataforma |
|---|---|---|
| Adicionar aplicações da Google Play Store | Adicione aplicativos Android da Google Play Store. | Android device administrator (Administrador de dispositivos Android) |
| Adicionar aplicações geridas do Google Play | Adicione aplicações de loja, aplicações de linha de negócios (LOB) e aplicações web através da gerida Google Play Store. | Android Enterprise |
| Adicionar aplicativos de sistema Android Enterprise | Utilize o Intune para ativar e desativar as aplicações do sistema Android Enterprise. | Android Enterprise |
| Adicionar aplicativos web | Adicione aplicativos web ao Intune e atribua a grupos. | Android device administrator (Administrador de dispositivos Android) |
| Adicionar aplicativos incorporados | Adicione aplicativos incorporados ao Intune e atribua a grupos. | Android Enterprise, administrador de dispositivos Android |
| Adicionar aplicativos de linha de negócio | Adicione aplicações de linha de negócios Android (LOB) ao Intune e atribua a grupos. | Android device administrator (Administrador de dispositivos Android) |
| Atribuir aplicativos a grupos | Atribuir aplicações a utilizadores e dispositivos. | Android Enterprise, administrador de dispositivos Android |
| Incluir e excluir atribuições de aplicações | Controlar o acesso e a disponibilidade a uma aplicação, incluindo e excluindo grupos selecionados da atribuição. | Android Enterprise, administrador de dispositivos Android |
| Criar uma política de proteção de aplicativos Android | Mantenha os dados da sua organização contidos em apps geridas como Outlook e Word. Para obter detalhes sobre cada configuração, consulte as definições da política de proteção de aplicações do Android. | Android Enterprise, administrador de dispositivos Android |
| Valide a sua política de proteção de aplicações | Valide que a sua política de proteção de aplicações está corretamente configurada e a funcionar antes de a implementar em toda a sua org. | Android Enterprise, administrador de dispositivos Android |
| Criar uma política de configuração de aplicação | Aplicar configurações personalizadas para aplicações Android em dispositivos inscritos. Também pode aplicar este tipo de políticas a aplicações geridas, sem inscrição de dispositivos. | Android Enterprise, administrador de dispositivos Android |
| Configure Microsoft Edge (Configurar o Microsoft Edge) | Utilize políticas de proteção e configuração de aplicações Intune com Microsoft Edge para Android para garantir que os sites corporativos são acedidos com salvaguardas no local. | Android Enterprise, administrador de dispositivos Android |
| Configure Google Chrome | Utilize uma política de configuração de aplicações Intune para configurar o Google Chrome em dispositivos Android matriculados no Intune. | Android Enterprise |
| Configure a aplicação de ecrã doméstico gerido pela Microsoft | Crie o Ecrã Doméstico Gerido em dispositivos dedicados à Empresa Android Enterprise matriculados via Intune e em modo de quiosque multi-aplicações. | Android Enterprise |
| Configurar Microsoft Launcher app | Configurar Microsoft Launcher de personalizar a experiência do ecrã principal nos dispositivos totalmente geridos da sua organização. | Android Enterprise |
| Configurar aplicativos de Microsoft Office | Utilize políticas de proteção e configuração de aplicações Intune com aplicações Office para garantir que os ficheiros corporativos são acedidos com salvaguardas no local. | Android Enterprise |
| Configure Microsoft Teams (Configurar o Microsoft Teams) | Utilize políticas de proteção e configuração de aplicações Intune com Teams para garantir que as experiências colaborativas da equipa sejam acedidas com salvaguardas no local. | Android Enterprise |
| Configurar o microsoft Outlook | Utilize políticas de proteção e configuração de aplicações Intune com Outlook para garantir que os e-mails corporativos e calendários são acedidos com salvaguardas no local. | Android Enterprise |
Inscrever dispositivos
Os dispositivos de inscrição permitem-lhes receber as políticas que cria, por isso, tenha os grupos de utilizadores AZure AD prontos.
A Intune suporta os seguintes métodos de inscrição para dispositivos Android:
- Bring-your-own-device (BYOD): Android Enterprise pessoalmente propriedade de dispositivos com um perfil de trabalho
- Android Enterprise empresa privada de dispositivos dedicados
- Android Enterprise corporativo detido totalmente gerido
- Perfil de trabalho corporativo da Android Enterprise
- Android device administrator (Administrador de dispositivos Android)
Para obter informações sobre cada método de inscrição e como escolher um que seja adequado para a sua organização, consulte o guia de inscriçãodo dispositivo Android para Microsoft Intune .
| Tarefa | Detalhes | Plataforma |
|---|---|---|
| Ligação Conta Intune para gerir a conta do Google Play | Para ativar a gestão do Android Enterprise no Intune, ligue a sua conta de inquilino Intune à sua conta gerida no Google Play. | Android Enterprise |
| Configurar inscrição de perfil de trabalho para dispositivos de propriedade pessoal | Configurar a gestão do perfil de trabalho para dispositivos de propriedade pessoal. Este método de inscrição cria uma área separada no dispositivo para dados relacionados com o trabalho, de modo a que as coisas pessoais não permaneçam afetadas. | Android Enterprise |
| Configurar inscrição de perfil de trabalho para dispositivos de propriedade corporativa | Configurar a gestão do perfil de trabalho para dispositivos de propriedade corporativa destinados ao trabalho e ao uso pessoal. Este método de inscrição cria uma área separada no dispositivo para dados relacionados com o trabalho, de modo a que as coisas pessoais não permaneçam afetadas. | Android Enterprise |
| Configurar inscrições para dispositivos dedicados | Configurar a inscrição para dispositivos de propriedade corporativa, de uso único, estilo quiosque. | Android Enterprise |
| Configurar inscrição para dispositivos totalmente geridos | Configurar a inscrição para dispositivos de propriedade corporativa que estejam associados a um único utilizador e utilizados exclusivamente para o trabalho. | Android Enterprise |
| Inscreva dispositivos dedicados, totalmente geridos ou de perfil de trabalho corporativo | Depois de configurar intune para inscrição no Android Enterprise, inscreva dispositivos usando um dos cinco métodos de inscrição suportados. | Android Enterprise |
| Configurar a inscrição do administrador do dispositivo | Configurar a inscrição do administrador de dispositivos Android. Este método de gestão de dispositivos foi substituído pela Android Enterprise, pelo que não recomendamos a inscrição de novos dispositivos desta forma. | Android device administrator (Administrador de dispositivos Android) |
| Utilize a Inscrição Móvel Samsung Knox para inscrever automaticamente dispositivos Android | Configurar o Intune para a Samsung Knox Mobile Registration (KME), que lhe permite inscrever automaticamente um grande número de dispositivos Android de propriedade corporativa. | Android Enterprise, administrador de dispositivos Android |
| Identificar os dispositivos como pertencentes à empresa | Atribuir o estatuto de propriedade corporativa a dispositivos para permitir mais capacidades de gestão e identificação no Intune. O estatuto de propriedade corporativa não pode ser atribuído a dispositivos matriculados através do Apple Business Manager. | Android Enterprise, administrador de dispositivos Android |
| Alterar a propriedade dos dispositivos | Depois de um dispositivo ter sido matriculado, pode alterar a sua etiqueta de propriedade no Intune para propriedade corporativa ou pessoal. Este ajuste altera a forma como pode gerir o dispositivo. | Android Enterprise, administrador de dispositivos Android |
| Resolver problemas de inscrição | Resolução de problemas e encontrar resoluções para problemas que ocorrem durante a inscrição. | Android Enterprise, administrador de dispositivos Android |
Executar ações remotas
Após a configuração dos dispositivos, pode utilizar ações remotas no Intune para gerir e resolver problemas à distância. A disponibilidade varia por plataforma do dispositivo. Se uma ação estiver ausente ou desativada no portal, então não é suportada no dispositivo.
| Tarefa | Detalhes |
|---|---|
| Executar ações remotas em Intune | Aprenda a perfurar e a gerir remotamente e a resolver dispositivos individuais em Intune. Este artigo lista todas as ações remotas disponíveis no Intune e liga-se a esses procedimentos. |
| Corrigir vulnerabilidades identificadas pelo Microsoft Defender para Endpoint | Integre Intune com o Microsoft Defender para Endpoint para aproveitar a Gestão de Vulnerabilidades e Ameaças do Defender, e use o Intune para corrigir a fraqueza do ponto final identificada pela capacidade de gestão de vulnerabilidade do Defender. |
| Limpe os dados corporativos de aplicações geridas pela Intune | Remova seletivamente os dados relacionados com o trabalho de um dispositivo. |
Passos seguintes
Confira estes tutoriais de inscrição para aprender a fazer algumas das principais tarefas em Intune. Os tutoriais são conteúdos de 100 a 200 níveis para pessoas novas no Intune ou um cenário específico.
- Caminhe pela Intune em Microsoft Endpoint Manager
- Configure a Slack para usar o Intune para a gestão da mobilidade empresarial (EMM) e a configuração de aplicações
Para a versão iOS/iPadOS deste guia, consulte o guia de implementação: Gerir os dispositivos iOS/iPadOS em Microsoft Intune.