Definições de conformidade do dispositivo para administrador de dispositivo Android no Intune
Este artigo lista as definições de conformidade que pode configurar em dispositivos de administrador de dispositivos Android no Intune. Como parte da solução de gestão de dispositivos móveis (MDM), utilize estas definições para marcar os dispositivos desbloqueados por rooting (jailbreak) como não conformes, defina um nível de ameaça permitido, ative o Google Play Protect e muito mais.
Esta funcionalidade aplica-se a:
- Android device administrator (Administrador de dispositivos Android)
Enquanto administrador do Intune, utilize estas definições de conformidade para ajudar a proteger os recursos da sua organização. Para saber mais sobre as políticas de conformidade e para o que servem, veja a introdução à conformidade de dispositivos.
Antes de começar
Criar uma política de conformidade. Para plataforma, selecione administrador de dispositivo Android.
Microsoft Defender para Ponto Final
Exigir que o dispositivo esteja na pontuação de risco da máquina ou sob a pontuação de risco da máquina
Selecione a pontuação máxima de risco de máquina permitida para dispositivos avaliados pelo Microsoft Defender para Endpoint. Os dispositivos que excedam esta pontuação ficam marcados como incompatíveis.
- Não configurado (padrão)
- Limpar
- Baixo
- Medium
- Alto
Estado de Funcionamento do Dispositivo
Dispositivos geridos com administrador de dispositivos
As capacidades de administrador de dispositivos são substituídos pela Android Enterprise.- Não configurado (padrão)
- Bloquear - Bloquear o administrador do dispositivo irá orientar os utilizadores a mudarem-se para a Personally-Owned do Android Enterprise e Corporate-Owned gestão do Perfil de Trabalho para recuperar o acesso.
Dispositivos enraizados
Evitar que os dispositivos enraizados tenham acesso corporativo. (Esta verificação de conformidade é suportada para Android 4.0 ou superior.)- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Bloquear - Mark rooted (jailbroken) dispositivos como não conformes.
Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou sob o nível de ameaça do dispositivo
Utilize esta definição para tirar a avaliação de risco de um serviço de Defesa de Ameaças Móveis conectado como condição para o cumprimento.- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Seguro - Esta opção é a mais segura, uma vez que o dispositivo não pode ter ameaças. Se forem detetadas ameaças de qualquer nível no dispositivo, o mesmo será avaliado como não conforme.
- Baixo - O dispositivo é avaliado como conforme se apenas ameaças de baixo nível estiverem presentes. Qualquer nível mais alto coloca o dispositivo num estado de não conforme.
- Médio - O dispositivo é avaliado como conforme se as ameaças existentes no dispositivo forem de baixo ou médio nível. Se forem detetadas ameaças de nível alto no dispositivo, este será determinado como não conforme.
- Alta - Esta opção é a menos segura, e permite todos os níveis de ameaça. Poderá ser útil se utilizar esta solução apenas para fins de relatórios.
Google Play Protect
Os Serviços Google Play estão configurados
Os serviços do Google Play permitem realizar atualizações de segurança, que são uma dependência de nível base de várias funcionalidades de segurança dos dispositivos Google certificados.- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Exigir - Exigir que a aplicação de serviços da Google Play seja instalada e ativada.
Prestador de segurança atualizado
- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Exigir - Exigir que um fornecedor de segurança atualizado possa proteger um dispositivo de vulnerabilidades conhecidas.
Análise de ameaças nas aplicações
- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Exigir - Exigir que a funcionalidade Aplicações de Verificação do Android esteja ativada.
Nota
Na plataforma Android legada, esta funcionalidade é uma definição de conformidade. O Intune só consegue verificar se esta definição está ativada ao nível do dispositivo.
Atestado de dispositivo SafetyNet
introduza o nível do Atestado SafetyNet que tem de ser cumprido. As opções são:- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Verificação de integridade básica
- Verificação de integridade básica e de dispositivos certificados
Nota
Para configurar definições do Google Play Protect através de políticas de proteção de aplicações, veja Definições de políticas de proteção de aplicações do Intune no Android.
Propriedades do Dispositivo
Versão do Sistema Operativo
Versão mínima do SO
quando um dispositivo não cumpre o requisito de versão mínima do SO, será reportado como não conforme. É apresentada uma ligação com informações sobre como atualizar. O utilizador final pode optar por atualizar o dispositivo e, em seguida, obter acesso aos recursos da empresa.Por predefinição, nenhuma versão está configurada.
Versão máxima do SO
quando um dispositivo utiliza uma versão do SO posterior à versão especificada na regra, o acesso aos recursos da empresa é bloqueado. Pede-se ao utilizador que contacte a administração de TI. Até que uma regra seja alterada para permitir a versão OS, este dispositivo não pode aceder aos recursos da empresa.Por predefinição, nenhuma versão está configurada.
Segurança do sistema
Encriptação
Encriptação do armazenamento de dados num dispositivo
Suportado no Android 4.0 e posterior, ou KNOX 4.0 e mais tarde.- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Require - Criptografe o armazenamento de dados nos seus dispositivos. Os dispositivos são encriptados quando seleciona a definição Palavra-passe obrigatória para desbloquear os dispositivos móveis.
Segurança do Dispositivo
Bloqueie aplicativos de fontes desconhecidas
Suportado no Android 4.0 para Android 7.x. Não suportado pelo Android 8.0 e mais tarde- Não configurado (padrão)- esta definição não é avaliada para conformidade ou incumprimento.
- Bloquear - Bloquear dispositivos com segurança > Fontes Desconhecidas habilitadas -suportado no Android 4.0 através do Android 7.x. Não suportado no Android 8.0 e mais tarde.
Para aplicações de sideload, as origens desconhecidas têm de ser permitidas. Se não tiver aplicações Android de sideload, defina esta funcionalidade como Bloquear para ativar esta política de conformidade.
Importante
As aplicações de sideload requerem a ativação da definição Bloquear aplicações de origens desconhecidas. Aplique esta política de conformidade apenas se não tiver aplicações Android de sideload nos dispositivos.
Integridade do tempo de execução do portal da empresa
Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
Exigir - Escolha Exigir confirmar que a aplicação Portal da Empresa cumpre todos os seguintes requisitos:
- Tem o ambiente de tempo de execução predefinido instalado
- Está corretamente assinada
- Não está no modo de depuração
Bloqueio USB depurando no dispositivo
(Suportado no Android 4.2 ou posterior)- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Bloco - Evite que os dispositivos utilizem a função de depuramento USB.
Nível mínimo de correção de segurança
(Suportado no Android 6.0 ou posterior)selecione o nível de correção de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não tiverem pelo menos este nível de correção serão considerados como não conformes. A data tem de ser introduzida no formato
YYYY-MM-DD.Por predefinição, nenhuma data está configurada.
Aplicações restritas
Introduza o nome da App e o ID do pacote de aplicações para aplicações que devem ser restringidas e, em seguida, selecione Add. Um dispositivo com pelo menos uma aplicação restrita instalada é marcado como não conforme.
Palavra-passe
As definições disponíveis para palavras-passe variam de acordo com a versão do Android no dispositivo.
Todos os dispositivos Android
As seguintes definições são suportadas no Android 4.0 ou mais tarde, e Knox 4.0 e mais tarde.
Minutos máximos de inatividade antes da senha ser necessária
Esta definição especifica o período de tempo sem a entrada do utilizador após o qual o ecrã do dispositivo móvel está bloqueado. As opções variam de 1 Minuto a 8 Horas. O valor recomendado é de 15 Minutos.- Não configurado (padrão)
Android 10 e mais tarde
As seguintes definições são suportadas no Android 10 ou posteriormente, mas não no Knox.
Complexidade da palavra-passe
Esta configuração é suportada no Android 10 ou posteriormente, mas não na Samsung Knox. Nos dispositivos que executam o Android 9 e anteriores ou o Samsung Knox, as definições para o comprimento da palavra-passe e o tipo substituem esta definição para complexidade.Especifique a complexidade da palavra-passe necessária.
- Nenhuma (predefinição) - Não é necessária senha.
- Baixa - A palavra-passe satisfaz uma das seguintes condições:
- Padrão
- PIN numérico tem uma sequência de repetição (4444) ou ordenada (1234, 4321, 2468).
- Média - A palavra-passe satisfaz uma das seguintes condições:
- Pin numérico não tem uma sequência de repetição (4444) ou encomendada (1234, 4321, 2468) e tem um comprimento mínimo de 4.
- Alfabético, com um comprimento mínimo de 4.
- Alfanumérico, com um comprimento mínimo de 4.
- Alta - A palavra-passe satisfaz uma das seguintes condições:
- Pin numérico não tem uma sequência de repetição (4444) ou encomendada (1234, 4321, 2468) e tem um comprimento mínimo de 8.
- Alfabético, com um comprimento mínimo de 6.
- Alfanumérico, com um comprimento mínimo de 6.
Android 9 e anterior ou Samsung Knox
As seguintes definições são suportadas no Android 9.0 e mais cedo, e em qualquer versão da Samsung Knox.
Palavra-passe obrigatória para desbloquear os dispositivos móveis
Esta definição especifica quando deve ser exigido aos utilizadores que introduzam uma palavra-passe antes de ser concedido o acesso a informações nos respetivos dispositivos móveis. Valor recomendado: Exigir- Não configurado (padrão)- Esta definição não é avaliada para conformidade ou incumprimento.
- Exigir - Os utilizadores devem introduzir uma palavra-passe antes de poderem aceder ao seu dispositivo.
Quando definido para Exigir, a seguinte definição pode ser configurada:
Tipo obrigatório de palavra-passe
escolha se uma palavra-passe deve incluir apenas carateres numéricos ou uma combinação de números e de outros carateres.- Padrão do dispositivo - Para avaliar a conformidade com a palavra-passe, certifique-se de selecionar uma força de senha diferente do dispositivo por defeito.
- Biométrica de segurança baixa
- Pelo menos numérica
- Complexo numérico - Não são permitidos algarismos repetidos ou consecutivos, tais como
11111234ou, não são permitidos. - Pelo menos alfabética
- Pelo menos alfanumérica
- Pelo menos alfanumérica com símbolos
Com base na configuração desta definição, uma ou mais das seguintes opções estão disponíveis:
Comprimento mínimo da palavra-passe
introduza o número mínimo de dígitos ou carateres que a palavra-passe do utilizador tem de conter.Minutos máximos de inatividade antes da senha ser necessária
introduza o tempo de inatividade antes de o utilizador ter de reintroduzir a palavra-passe. Quando seleciona Não configurado (predefinição), esta definição não é avaliada quanto à conformidade ou não conformidade.Número de dias até que a senha expire
selecione o número de dias antes de a palavra-passe expirar e ser necessário que o utilizador final crie uma nova.Número de senhas anteriores para evitar a reutilização
introduza o número de palavras-passe recentes que não podem ser reutilizadas. Utilize esta definição para impedir o utilizador final de criar palavras-passe utilizadas anteriormente.