Adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise gerenciados

As políticas de configuração do Microsoft Intune fornecem configurações para aplicativos Google Play gerenciados em dispositivos Android Enterprise gerenciados. O desenvolvedor do aplicativo expõe as definições de configuração de aplicativos gerenciados pelo Android. O Intune usa essas configurações expostas para permitir que o administrador configure recursos para o aplicativo. A política de configuração do aplicativo é atribuída aos seus grupos de usuários. As configurações da política são usadas quando o aplicativo as verifica, normalmente na primeira vez em que é executado.

Nem todo aplicativo dá suporte à configuração do aplicativo. Verifique com o desenvolvedor do aplicativo se este dá suporte a políticas de configuração do aplicativo.

Observação

Este requisito não se aplica a dispositivos Android do Microsoft Teams, uma vez que estes dispositivos continuarão a ser suportados.

Para políticas de proteção de aplicativos do Intune e configuração de aplicativos fornecidos por meio de políticas de configuração de aplicativos de aplicativos gerenciados, o Intune exige o Android 9.0 ou superior.

Aplicativos do e-mail

O Android Enterprise tem vários métodos de registro. O tipo de registro depende de como o email é configurado no dispositivo:

  • Em Perfis de Trabalho Totalmente Gerenciados, Dedicados e Corporativos do Android Enterprise, use uma política de configuração de aplicativo e as etapas deste artigo. As políticas de configuração de aplicativo dão suporte a aplicativos de email do Gmail e Nine Work.
  • Em dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho, crie um perfil de configuração de dispositivo de email do Android Enterprise. Ao criar o perfil, você pode definir configurações para clientes de email que deem suporte a políticas de configuração de aplicativo. Ao usar o designer de configuração, o Intune inclui configurações de email específicas para os aplicativos Gmail e Nine Work.

Criar uma política de configuração de aplicativo

  1. Entre no Centro de administração do Microsoft Intune.

  2. Escolha Aplicativos>Políticas de configuração de aplicativos>Adicionar>Dispositivos gerenciados. Observe que você pode escolher entre Dispositivos gerenciados e Aplicativos gerenciados. Para obter mais informações, consulte Aplicativos com suporte para a configuração de aplicativos.

  3. Na página Básico, defina os seguintes detalhes:

    • Nome: o nome do perfil que aparece no portal.
    • Descrição: a descrição do perfil que aparece no portal.
    • Tipo de registro de dispositivo: essa configuração está definida como Dispositivos gerenciados.
  4. Selecione Android Enterprise como a Plataforma.

  5. Clique em Selecionar aplicativo ao lado de Aplicativo de destino. O painel Aplicativo associado é exibido.

  6. No painel Aplicativo de destino, escolha o aplicativo gerenciado para associar à política de configuração e clique em OK.

  7. Clique em Avançar para exibir a página Configurações.

  8. Clique em Adicionar para exibir o painel Adicionar permissões.

  9. Clique nas permissões que você deseja substituir. As permissões concedidas substituirão a política de “Permissões de aplicativo padrão” dos aplicativos selecionados.

  10. Defina o Estado de permissão para cada permissão. Você pode escolher entre Prompt, Concessão automática ou Negação automática.

    Observação

    A partir do Android 12, a configuração da concessão automática para as seguintes permissões não é suportada para o perfil de trabalho pertencente à coporate ou dispositivos dedicados pertencentes à empresa.

    • SMS (leitura)
    • Acesso à localização (abrangente)
    • Acesso à localização (tudo bem)
    • Câmera
    • Gravar áudio
    • Permitir dados do sensor do corpo
    • Localização em segundo plano
  11. Se o aplicativo gerenciado der suporte às definições de configuração, a caixa suspensa Formato das definições de configuração ficará visível. Selecione um dos seguintes métodos para adicionar informações de configuração:

    • Usar o designer de configuração
    • Inserir dados JSON

    Para obter detalhes sobre como usar o designer de configuração, consulte Usar o designer de configuração. Para obter detalhes sobre como inserir dados XML, consulte Inserir dados JSON.

  12. Caso precise habilitar os usuários a conectarem o aplicativo de destino nos perfis pessoais e de trabalho, selecione Habilitado ao lado de Aplicativos conectados.

    Captura de tela da política de configuração – Configurações

    Observação

    Essa configuração só funciona para dispositivos de perfil de trabalho de propriedade pessoal e corporativa.

    Alterar a configuração Aplicativos conectados para Não Configurado não removerá a política de configuração do dispositivo. Para remover a funcionalidade Aplicativos conectados de um dispositivo, você deve cancelar a atribuição da política de configuração relacionada.

  13. Clique em Avançar para exibir a página Marcas de escopo.

  14. [Opcional] Você pode configurar marcas de escopo para a política de configuração do aplicativo. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

  15. Clique em Avançar para exibir a página Tarefas.

  16. Na caixa suspensa ao lado de Atribuir para, selecione Adicionar grupos, Adicionar todos os usuários ou Adicionar todos os dispositivos para atribuir a política de configuração de aplicativo. Depois de selecionar um grupo de atribuição, você pode selecionar um filtro para refinar o escopo da atribuição ao implementar políticas de configuração de aplicativos para dispositivos gerenciados.

    Captura de tela das atribuições de política – Atribuições

  17. Selecione Todos os usuários na caixa suspensa.

    Captura de tela das atribuições de política – Opção de lista suspensa Todos os Usuários

  18. [Opcional] Clique em Editar filtro para adicionar um filtro e refinar o escopo da atribuição.

    Captura de tela das atribuições de política – Editar filtro

  19. Clique em Selecionar grupos a serem excluídos para exibir o painel relacionado.

  20. Escolha os grupos que deseja excluir e clique em Selecionar.

    Observação

    Ao adicionar um grupo, se algum outro grupo já tiver sido incluído para um determinado tipo de atribuição, ele será pré-selecionado e não poderá ser alterado para outros tipos de atribuição de inclusão. Portanto, esse grupo que foi usado não pode ser usado como grupo excluído.

  21. Clique em Avançar para exibir a página Revisar + criar.

  22. Clique em Criar para adicionar a política de configuração do aplicativo ao Intune.

Usar o designer de configuração

Você pode usar o designer de configuração para aplicativos Google Play gerenciados quando o aplicativo for projetado para dar suporte às definições de configuração. A configuração se aplica a dispositivos registrados no Intune. O designer permite que você configure valores de configuração específicos para as configurações expostas pelo aplicativo.

  1. Selecione Adicionar. Escolha a lista de definições de configuração que deseja inserir ao aplicativo.

    Se você estiver usando aplicativos de email do Gmail ou Nine Work, as configurações do dispositivo Android Enterprise para configurar o email terão mais informações sobre essas configurações específicas.

  2. Para cada chave e valor na configuração, defina:

    • Tipo de valor: o tipo de dados do valor da configuração. Para tipos de valor de cadeia, pode escolher opcionalmente uma variável ou perfil de certificado como o tipo de valor. Tenha em atenção que assim que a política for criada, estes tipos de valor serão apresentados como cadeia.
    • Valor da configuração: o valor da configuração. Se você selecionar uma variável ou certificado para o Tipo de valor, escolha a partir de uma lista de variáveis ou perfis de certificado. Se você escolher um certificado, o alias do certificado implantado no dispositivo será preenchido em runtime.

Variáveis com suporte para valores de configuração

Você poderá escolher as seguintes opções se escolher uma variável como o tipo de valor:

Opção Exemplo
ID do Dispositivo Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
AccountID fc0dc142-71d8-4b12-bbea-bae2a8514c81
ID de Dispositivo do Intune b9841cd9-9843-405f-be28-b2265c59ef97
Domínio contoso.com
Email john@contoso.com
UPN parcial julio
ID do Usuário 3ec2c00f-b125-4519-acf0-302ac3761822
Nome de usuário Júlio Pinto
Nome UPN john@contoso.com

Permitir apenas contas da organização configuradas em aplicativos

Como administrador do Microsoft Intune, você pode controlar quais contas corporativas ou de estudante são adicionadas aos aplicativos da Microsoft em dispositivos gerenciados. Você pode limitar o acesso apenas a contas de usuário da organização permitidas e bloquear contas pessoais em dispositivos registrados. Para dispositivos Android, use os seguintes pares de chave/valor em uma política de configuração de aplicativos de Dispositivos Gerenciados:

Chave com.microsoft.intune.mam.AllowedAccountUPNs
Valores
  • Um ou mais UPNs delimitados por ;.
  • Somente as contas permitidas são as contas de usuário gerenciadas definidas por essa chave.
  • Para dispositivos registrados no Intune, o token {{userprincipalname}} pode ser usado para representar a conta de usuário registrada.

Observação

Os aplicativos a seguir processam a configuração de aplicativo acima e permitem apenas contas da organização:

  • Copilot para Android (28.1.420328045 e posterior)
  • Edge para Android (42.0.4.4048 e posterior)
  • Office, Word, Excel, PowerPoint para Android (16.0.9327.1000 e posterior)
  • OneDrive para Android (5.28 e posterior)
  • OneNote para Android (16.0.13231.20222 ou posterior)
  • Outlook para Android (2.2.222 e posterior)
  • Teams para Android (1416/1.0.0.2020073101 and later)

Inserir dados JSON

Algumas definições de configuração em aplicativos (como aplicativos com Tipos de pacote) não podem ser definidas com o designer de configuração. Use o editor JSON para esses valores. As configurações são fornecidas automaticamente aos aplicativos quando eles são instalados.

  1. Para o Formato de definições de configuração, selecione Inserir editor JSON.
  2. No editor, você pode definir os valores JSON para as definições de configuração. Você pode escolher Baixar modelo JSON para baixar um arquivo de exemplo que pode ser configurado.
  3. Escolha OK e, em seguida, Adicionar.

A política é criada e mostrada na lista.

Quando o aplicativo atribuído for executado em um dispositivo, isso será feito com as configurações que você definiu na política de configuração do aplicativo.

Habilitar aplicativos conectados

Aplicável a:
Android 11 e acima

Os usuários de perfis de trabalho de propriedade pessoal devem ter o Portal da Empresa versão 5.0.5291.0 ou mais recente. Os usuários de perfis de trabalho de propriedade corporativa não precisam de uma versão específica do Microsoft Intune para obter suporte.

Você pode permitir que os usuários que usam perfis de trabalho de propriedade pessoal e corporativa do Android ativem as experiências de aplicativos conectados em aplicativos com suporte. Essa definição de configuração de aplicativo permite que os aplicativos se conectem e integrem dados de aplicativo entre as instâncias de aplicativo pessoal e de trabalho.

Para que um aplicativo forneça essa experiência, ele precisa se integrar ao SDK de aplicativos conectados do Google, portanto, somente aplicativos limitados dão suporte a ele. Você pode ativar a configuração de aplicativos conectados proativamente e, quando os aplicativos adicionarem suporte, os usuários poderão habilitar a experiência de aplicativos conectados.

Alterar a configuração Aplicativos conectados para Não Configurado não removerá a política de configuração do dispositivo. Para remover a funcionalidade Aplicativos conectados de um dispositivo, você deve cancelar a atribuição da política de configuração relacionada.

Aviso

Se você habilitar a funcionalidade de aplicativos conectados para um aplicativo, os dados de trabalho em aplicativos pessoais não serão protegidos por uma política de proteção de aplicativo.

Além disso, independentemente da configuração dos seus aplicativos conectados, alguns OEMs podem conectar determinados aplicativos automaticamente ou podem solicitar a aprovação do usuário para conectar aplicativos que você não configurou. Um exemplo de um aplicativo nesse caso pode ser o aplicativo de teclado de OEM.

Há duas formas para os usuários conectarem aplicativos pessoais e de trabalho depois de habilitar a configuração de aplicativos conectados:

  1. Um aplicativo com suporte pode optar por solicitar que um usuário aprove sua conexão entre perfis.
  2. Os usuários podem abrir o aplicativo Configurações e ir para a seção Trabalho conectado e aplicativos pessoais, na qual verão listados todos os aplicativos com suporte.

Importante

Se várias políticas de configuração de aplicativo forem atribuídas para o mesmo aplicativo direcionado ao mesmo dispositivo e uma política definir os Aplicativos Conectados como Enabled e a outra política não, a configuração do aplicativo relatará um conflito, e o comportamento resultante aplicado no dispositivo será de não permitir os aplicativos conectados.

Pré-configurar o estado de concessão de permissões para aplicativos

Você também pode pré-configurar permissões de aplicativo para acessar os recursos do dispositivo Android. Por padrão, os aplicativos Android que exigem permissões de dispositivo, como o acesso ao local ou à câmera do dispositivo, solicitam que os usuários aceitem ou neguem permissões.

Por exemplo, um aplicativo usa o microfone do dispositivo. O usuário é solicitado a conceder permissão ao aplicativo para usar o microfone.

  1. No Centro de administração do Microsoft Intune, selecione Aplicativos>Políticas de configuração de aplicativos>Adicionar>Dispositivos gerenciados.
  2. Adicione as seguintes propriedades:
    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a política de aplicativo de permissões de solicitação do Android Enterprise para toda a empresa.
    • Descrição. Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
    • Tipo de registro de dispositivo: essa configuração está definida como Dispositivos gerenciados.
    • Plataforma: selecione Android Enterprise.
  3. Selecione o Tipo de Perfil:
  4. Selecione o Aplicativo Direcionado. Escolha o aplicativo ao qual você deseja associar uma política de configuração. Selecione uma opção da lista de aplicativos de perfil de trabalho totalmente gerenciados do Android Enterprise que você aprovou e sincronizou com o Intune.
  5. Selecione Permissões>Adicionar. Na lista, selecione as permissões de aplicativo disponíveis >OK.
  6. Selecione uma opção para cada permissão a ser concedida com essa política:
    • Solicitação. Solicite que o usuário aceite ou negue algo.
    • Concessão automática. Aprove automaticamente sem notificar o usuário.
    • Negação automática. Negue automaticamente sem notificar o usuário.
  7. Para atribuir a política de configuração de aplicativo, selecione a política de configuração de aplicativo >Atribuição>Selecionar grupos. Escolha os grupos de usuários a serem atribuídos >Selecionar.
  8. Escolha Salvar para atribuir a política.

Informações adicionais

Próximas etapas

Continue a atribuir e monitorar o aplicativo.