Guia de implantação: gerenciar dispositivos Android no Microsoft Intune
O Intune dá suporte ao MDM (gerenciamento de dispositivo móvel) de dispositivos Android para que as pessoas tenham acesso seguro ao email, aos dados e aos aplicativos de trabalho. Este guia oferece recursos específicos do Android para ajudar você a configurar o registro no Intune e a implantar aplicativos e políticas para usuários e dispositivos.
Pré-requisitos
Antes de começar, cumpra estes pré-requisitos para habilitar o gerenciamento de dispositivos Android no Intune. Para obter informações mais detalhadas sobre como configurar, integrar ou mover para o Intune, consulte o Guia de implantação de instalação do Intune.
- Adicionar usuários e grupos
- Atribuir licenças a usuários
- Define uma autoridade de gerenciamento de dispositivo móvel
Para obter informações sobre as funções e permissões do Microsoft Intune, veja RBAC com o Microsoft Intune. As funções Administrador Global do Microsoft Entra e Administrador do Intune têm direitos totais no Microsoft Intune. O Administrador Global tem mais permissões do que as necessárias para muitas tarefas de gestão de dispositivos no Microsoft Intune. Recomendamos que utilize a função com menos privilégios necessária para concluir tarefas. Por exemplo, a função com menos privilégios que pode concluir tarefas de inscrição de dispositivos é o Gestor de Políticas e Perfis, uma função incorporada do Intune.
Planejar sua implantação
Use o Guia de planejamento do Microsoft Intune para obter ajuda com o planejamento, o projeto e a implementação do Microsoft Intune na organização. O guia fornece informações para ajudar você a:
- Determinar as metas, os cenários de caso de uso e os requisitos.
- Criar planos de distribuição e de comunicação.
- Criar planos de suporte, teste e validação.
Importante
O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.
Criar regras de conformidade
Use políticas de conformidade para definir as regras e as condições que os usuários e os dispositivos devem atender para acessar os recursos protegidos da organização. Você também pode criar políticas de acesso condicional, que funcionam junto com os resultados de conformidade do dispositivo para bloquear o acesso a recursos de dispositivos sem conformidade. Para obter uma explicação detalhada sobre políticas de conformidade e como começar, consulte Usar políticas de conformidade para definir regras aos dispositivos gerenciados com o Intune.
As tarefas a seguir se aplicam às plataformas de administrador de dispositivo Android Enterprise e Android.
Tarefa | Detalhe |
---|---|
Criar uma política de conformidade | Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade a grupos de usuários e de dispositivos. |
Adicionar ações de não conformidade | Escolha o que acontece quando os dispositivos não atendem mais às condições da sua política de conformidade. Você pode adicionar ações de não conformidade ao configurar uma política de conformidade do dispositivo ou, posteriormente, ao editar a política. |
Crie uma política de acesso condicional com base no dispositivo ou no aplicativo. | Especifique o aplicativo ou os serviços que você quer proteger e defina as condições de acesso. |
Bloquear o acesso aos aplicativos que não usam autenticação moderna | Crie uma política de acesso condicional com base no aplicativo para bloquear aplicativos que usam métodos de autenticação diferentes do OAuth2. Por exemplo, você pode bloquear aplicativos que usam autenticação básica e baseada em formulário. Antes de bloquear qualquer acesso, inicie sessão no Microsoft Entra ID e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a utilizar a autenticação básica para aceder a elementos essenciais (como quiosques do calendário da sala de reuniões) de que se esqueceu ou de que não tem conhecimento. |
Configurar a segurança de ponto de extremidade
Use os recursos de segurança do ponto de extremidade do Intune para configurar a segurança do dispositivo e gerenciar as tarefas de segurança dos aparelhos em risco.
As tarefas a seguir se aplicam às plataformas de administrador de dispositivo Android Enterprise e Android.
Tarefa | Detalhe |
---|---|
Gerenciar dispositivos com recursos de segurança do ponto de extremidade | Use as configurações de Segurança de ponto de extremidade no Intune para gerenciar efetivamente a segurança do dispositivo e corrigir problemas dos dispositivos. |
Habilitar o conector de MTD (defesa contra ameaças móveis) para dispositivos registrados | Habilite a conexão de MTD no Intune para que os aplicativos de parceiros de MTD possam trabalhar com o Intune e com suas políticas de conformidade de dispositivo de MTD. Se você não estiver usando o Microsoft Defender para Ponto de Extremidade, considere habilitar o conector para que você possa usar outra solução de defesa contra ameaças móveis. Você também pode habilitar o conector de MTD para dispositivos que não estão registrados no Intune. |
Criar a política de proteção do aplicativo MTD | Crie uma política de proteção de aplicativo do Intune que avalie os riscos e limite o acesso de um dispositivo a aplicativos corporativos ou de estudante. |
Criar uma política de conformidade de dispositivo de MTD | Crie uma política de proteção de aplicativo do Intune que avalie o risco e limite o acesso corporativo de um dispositivo com base no nível de ameaça. |
Adicionar e atribuir aplicativos MTD | Adicionar e implantar aplicativos de MTD no Intune. Esses aplicativos funcionam em conjunto com a conformidade do dispositivo e as políticas de proteção de aplicativo para identificar ameaças ao dispositivo e ajudar a corrigi-las. Você também pode atribuir aplicativos de MTD a dispositivos que não estão registrados no Intune. |
Definir as configurações do dispositivo
Use o Microsoft Intune para habilitar ou desabilitar configurações e recursos nos dispositivos. Para configurar e impor essas configurações, crie um perfil de dispositivo e atribua-o a grupos na organização. Os dispositivos recebem o perfil depois de serem registrados.
Tarefa | Detalhe | Plataforma |
---|---|---|
Criar um perfil de dispositivo no Microsoft Intune | Saiba mais sobre os diferentes tipos de perfis de dispositivo que você pode criar para sua organização. | Administrador de dispositivo Android Enterprise e Android |
Configurar o perfil de Wi-Fi | Esse perfil permite que as pessoas localizem e se conectem à rede Wi-Fi da sua organização. Para ver uma descrição das configurações nessa área, confira a referência de configurações de Wi-Fi das configurações de Wi-Fi do Android Enterprise ou das configurações de Wi-Fi do administrador de dispositivo Android. | Administrador de dispositivo Android Enterprise e Android |
Configurar Perfil VPN | Configure uma opção de VPN segura, como o Microsoft Tunnel, para pessoas que se conectam à rede da sua organização. Para ver uma descrição das configurações nessa área, confira a referência de configurações de VPN das configurações de VPN do Android Enterprise ou das configurações de VPN do administrador de dispositivo Android. | Administrador de dispositivo Android Enterprise e Android |
Configurar perfil de e-mail | Defina as configurações de e-mail para que as pessoas possam se conectar a um servidor para acessarem os e-mails corporativos ou de estudante. Para ver uma descrição das configurações nessa área, confira as configurações de email do Android Enterprise ou as configurações de email do administrador de dispositivo Android. | Administrador de dispositivo Android Enterprise e Android |
Restringir os recursos do dispositivo | Proteja os usuários contra acessos não autorizados e distrações limitando os recursos do dispositivo que eles podem usar no trabalho ou na escola. Para ver uma descrição das configurações nessa área, confira as configurações de dispositivo Android Enterprise ou as configurações de dispositivo do administrador de dispositivo Android. | Administrador de dispositivo Android Enterprise e Android |
Definir configurações personalizadas para o administrador de dispositivo Android | Adicione ou crie configurações personalizadas que não são internas no Intune, como um perfil VPN por aplicativo e a proteção da Web com o Microsoft Defender para Ponto de Extremidade. | Administrador de dispositivo Android |
Configurar aplicativos Samsung KNOX | Crie um perfil personalizado para permitir e bloquear os aplicativos nos dispositivos Samsung Knox Standard. | Administrador de dispositivo Android |
Criar um perfil personalizado para Android Enterprise | Adicione ou crie configurações personalizadas que não são internas no Intune para dispositivos de propriedade pessoal. | Android Enterprise |
Configurar o perfil MX (Mobility Extensions) da Zebra | Use os perfis MX (Mobility Extensions) da Zebra para personalizar ou adicionar mais configurações específicas da Zebra no Intune. | Administrador de dispositivo Android |
Criar um perfil de configuração do OEMConfig | Use o OEMConfig para adicionar, criar e personalizar configurações específicas do OEM para dispositivos Android Enterprise. | Android Enterprise |
Personalizar a identidade visual e a experiência de registro | Personalize o Portal da Empresa do Intune e os aplicativos do Microsoft Intune com a identidade visual da organização para criar uma experiência familiar para as pessoas que registram dispositivos. | Administrador de dispositivo Android Enterprise e Android |
Configurar métodos de autenticação segura
Configure os métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acessem seus recursos internos. O Intune dá suporte à autenticação multifator, aos certificados SCEP e PKCS e a credenciais derivadas. Os certificados também são usados na assinatura e criptografia de e-mail usando S/MIME.
Tarefa | Detalhe | Plataforma |
---|---|---|
Exigir a autenticação multifator (MFA) | Exija que as pessoas forneçam duas formas de credenciais no momento da inscrição. | Android Enterprise |
Criar um perfil de certificado confiável | Crie e implante um perfil de certificado confiável antes de criar um perfil de certificado SCEP, PKCS ou PKCS importado. O perfil de certificado confiável implanta o certificado raiz confiável nos dispositivos usando certificados SCEP, PKCS e PKCS importados. | Administrador de dispositivo Android Enterprise e Android |
Usar certificados SCEP com o Intune | Saiba o que é necessário para utilizar certificados SCEP com o Intune e configure a infraestrutura necessária. Depois de fazer isso, você pode criar um perfil de certificado SCEP ou configurar uma autoridade de certificação de terceiros com o SCEP. | Android Enterprise |
Usar os certificados PKCS com o Intune | Configure a infraestrutura necessária (como conectores de certificado locais), exporte um certificado PKCS e adicione certificados a um perfil de configuração de dispositivo do Intune. | Administrador de dispositivo Android Enterprise e Android |
Usar certificados PKCS importados com o Intune | Configure os certificados PKCS importados que permitem que você Configure e use S/MIME para criptografar e-mails. | Administrador de dispositivo Android Enterprise e Android |
Configurar um emissor de credenciais derivadas | Provisione dispositivos Android com certificados derivados dos cartões inteligentes do usuário. | Android Enterprise |
Implante os aplicativos
Ao configurar aplicativos e políticas de aplicativo, pense nos requisitos da organização, como as plataformas que contarão com suporte, as tarefas que as pessoas precisam realizar, os tipos de aplicativos necessários para realizar essas tarefas e os grupos que precisam desses aplicativos. Você pode usar o Intune para gerenciar o dispositivo (incluindo aplicativos) ou para apenas gerenciar os aplicativos.
Tarefa | Detalhe | Plataforma |
---|---|---|
Adicionar aplicativos da Google Play Store | Adicione aplicativos Android da Google Play Store. | Administrador de dispositivo Android |
Adicionar aplicativos do Google Play gerenciado | Adicione aplicativos da Google Play Store, aplicativos LOB (de linha de negócios) e aplicativos Web por meio da Google Play Store gerenciada. | Android Enterprise |
Adicionar aplicativos do sistema Android Enterprise | Use o Intune para habilitar e desabilitar os aplicativos do sistema Android Enterprise. | Android Enterprise |
Adicionar aplicativos Web | Adicione aplicativos Web ao Intune e atribua-os a grupos. | Administrador de dispositivo Android |
Adicionar aplicativos internos | Adicione aplicativos internos ao Intune e atribua-os a grupos. | Administrador de dispositivo Android |
Adicionar aplicações de linha de negócio | Adicione aplicativos LOB (de linha de negócios) ao Intune e atribua-os a grupos. | Administrador de dispositivo Android |
Atribuir aplicativos a grupos | Atribua aplicativos a usuários e dispositivos. | Administrador de dispositivo Android Enterprise e Android |
Incluir e excluir atribuições de aplicações | Controle o acesso e a disponibilidade de um aplicativo incluindo e excluindo os grupos selecionados da atribuição. | Administrador de dispositivo Android Enterprise e Android |
Criar uma política de proteção de aplicativo Android | Mantenha os dados da sua organização contidos em aplicativos gerenciados, como o Outlook e o Word. Para obter detalhes de cada configuração, confira Configurações de política de proteção de aplicativo Android. | Administrador de dispositivo Android Enterprise e Android |
Validar a política de proteção de aplicativo | Verifique se a política de proteção de aplicativo está configurada e funcionando corretamente antes de implantá-la em toda a organização. | Administrador de dispositivo Android Enterprise e Android |
Criar uma política de configuração de aplicativo | Aplique definições de configuração personalizadas a aplicativos Android em dispositivos registrados. Você também pode aplicar esses tipos de políticas a aplicativos gerenciados sem registro de dispositivo. | Administrador de dispositivo Android Enterprise e Android |
Configurar o Microsoft Edge | Use as políticas de configuração e proteção de aplicativo do Intune com o Microsoft Edge para Android a fim de garantir os que sites corporativos sejam acessados com proteções em vigor. | Administrador de dispositivo Android Enterprise e Android |
Configurar o Google Chrome | Use uma política de configuração de aplicativos do Intune para configurar o Google Chrome nos dispositivos Android registrados no Intune. | Android Enterprise |
Configurar a aplicação Ecrã Principal Gerido da Microsoft | Configure a Tela Inicial Gerenciada nos dispositivos Android Enterprise dedicados e de propriedade corporativa, inscritos por meio do Intune e em execução no modo de quiosque de vários aplicativos. | Android Enterprise |
Configurar a aplicação Microsoft Launcher | Configure o Microsoft Launcher para personalizar a experiência de tela inicial nos dispositivos totalmente gerenciados da organização. | Android Enterprise |
Configurar os aplicativos do Microsoft Office | Use a proteção de aplicativos e a configuração de políticas do Intune com o Office para garantir que os arquivos corporativos sejam acessados com as proteções em vigor. | Android Enterprise |
Configurar o Microsoft Teams | Use as políticas de configuração e proteção de aplicativo do Intune com o Teams para garantir que as experiências colaborativas da equipe sejam acessadas com proteções em vigor. | Android Enterprise |
Configurar o Microsoft Outlook | Use a proteção de aplicativos e a configuração de políticas do Intune com o Outlook para garantir que o e-mail e os calendários corporativos sejam acessados com as proteções em vigor. | Android Enterprise |
Registrar dispositivos
A inscrição de dispositivos permite-lhes receber as políticas que criar, pelo que os grupos de utilizadores e grupos de dispositivos do Microsoft Entra estão prontos.
O Intune dá suporte aos seguintes métodos de registro para dispositivos Android:
- BYOD (Traga seu próprio dispositivo): dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- Dispositivos Android Enterprise dedicados de propriedade corporativa
- Android Enterprise propriedade corporativa e totalmente gerenciado
- Perfil de trabalho de propriedade corporativa do Android Enterprise
- Administrador de dispositivo Android
Para obter informações sobre cada método de registro e como escolher o ideal para sua organização, confira o Guia de registro de dispositivo Android para Microsoft Intune.
Tarefa | Detalhe | Plataforma |
---|---|---|
Conectar a conta do Intune com a conta do Google Play gerenciado | Para habilitar o gerenciamento do Android Enterprise no Intune, conecte sua conta de locatário do Intune com sua conta do Google Play gerenciado. | Android Enterprise |
Configurar a inscrição de perfis de trabalho para dispositivos pessoais | Configure o gerenciamento de perfil de trabalho para dispositivos de propriedade pessoal. Esse método de registro cria uma área separada no dispositivo para dados relacionados a trabalho para que os itens pessoais permaneçam inalterados. | Android Enterprise |
Configurar o registro do perfil de trabalho para dispositivos de propriedade corporativa | Configure o gerenciamento do perfil de trabalho para dispositivos de propriedade corporativa destinados a uso pessoal e de trabalho. Esse método de registro cria uma área separada no dispositivo para dados relacionados a trabalho para que os itens pessoais permaneçam inalterados. | Android Enterprise |
Configurar o registro para dispositivos dedicados | Configure o registro para dispositivos de propriedade corporativa e de uso único no estilo de quiosque. | Android Enterprise |
Configurar o registro para dispositivos totalmente gerenciados | Configure o registro para dispositivos de propriedade corporativa que são associados a um só usuário e usados exclusivamente para trabalho. | Android Enterprise |
Registrar dispositivos com perfil de trabalho dedicados, totalmente gerenciados ou de propriedade corporativa | Depois de configurar o Intune para o registro do Android Enterprise, registre os dispositivos usando um dos cinco métodos de registro com suporte. | Android Enterprise |
Configurar o registro de administrador do dispositivo | Configure o registro de administrador de dispositivo Android. Esse método de gerenciamento de dispositivos foi substituído pelo Android Enterprise. Portanto, não recomendamos registrar novos dispositivos dessa maneira. | Administrador de dispositivo Android |
Usar o Samsung KNOX Mobile Enrollment para registrar dispositivos Android automaticamente | Configure o Intune para o KME (Samsung KNOX Mobile Enrollment), que permite registrar automaticamente um grande número de dispositivos Android de propriedade corporativa. | Administrador de dispositivo Android Enterprise e Android |
Identificar os dispositivos como dispositivos de propriedade corporativa | Atribua status de propriedade corporativa a dispositivos para habilitar mais recursos de gerenciamento e identificação no Intune. O status de propriedade corporativa não pode ser atribuído a dispositivos registrados pelo Apple Business Manager. | Administrador de dispositivo Android Enterprise e Android |
Alterar a propriedade do dispositivo | Depois que um dispositivo tiver sido registrado, você poderá alterar seu rótulo no Intune para propriedade corporativa ou pessoal. Esse ajuste altera a maneira como você pode gerenciar o dispositivo. | Administrador de dispositivo Android Enterprise e Android |
Solucionar problemas de registro | Solucione problemas e encontre resoluções dos problemas que ocorrem durante o registro. | Administrador de dispositivo Android Enterprise e Android |
Executar ações remotas
Depois que os dispositivos são configurados, você pode usar as ações remotas no Intune para gerenciar e solucionar problemas dos dispositivos remotamente. A disponibilidade varia de acordo com a plataforma do dispositivo. Se uma ação está ausente ou desabilitada no portal, não há suporte para ela no dispositivo.
Tarefa | Detalhe |
---|---|
Executar ações remotas no Intune | Saiba como fazer realizar uma busca detalhada, gerenciar remotamente e solucionar problemas dos dispositivos individuais no Intune. Este artigo lista todas as ações remotas disponíveis no Intune e links desses procedimentos. |
Corrigir as vulnerabilidades identificadas pelo Microsoft Defender para Ponto de Extremidade | Integre o Intune ao Microsoft Defender para Ponto de Extremidade a fim de aproveitar o gerenciamento de vulnerabilidades e ameaças do Defender e usar o Intune para corrigir as vulnerabilidades do ponto de extremidade identificadas pela funcionalidade de gerenciamento de vulnerabilidades do Defender. |
Apagar os dados da empresa de aplicativos gerenciados pelo Intune | Remova seletivamente os dados relacionados a trabalho de um dispositivo. |
Próximas etapas
Confira estes tutoriais de registro para saber como fazer algumas das principais tarefas do Intune. Os tutoriais têm conteúdo de nível 100 a 200, tanto para pessoas novas no Intune como para cenários específicos.
- Percorrer o centro de administração do Intune
- Configurar o Slack para usar o Intune para EMM (gerenciamento de mobilidade corporativa) e na configuração de aplicativos
Para obter a versão deste guia para iOS/iPadOS, confira Guia de implantação: gerenciar dispositivos IOS/iPadOS no Microsoft Intune.