Lista de definições de dispositivos Android Enterprise para permitir ou restringir funcionalidades em dispositivos pessoais com o Intune

  • Artigo

Este artigo descreve as diferentes definições que pode controlar em dispositivos Android Enterprise. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para permitir ou desativar funcionalidades, controlar a segurança e muito mais.

Esse recurso aplica-se a:

  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho (BYOD)

Dica

Antes de começar

Criar um perfil de configuração de restrições de dispositivos Android.

Configurações de perfil de trabalho

Estas definições aplicam-se a dispositivos pessoais android Enterprise com um perfil de trabalho (BYOD).

Configurações gerais

  • Copiar e colar entre perfis de trabalho e pessoais: Bloquear impede a cópia e a colagem entre aplicações pessoais e de trabalho. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores partilhem dados através de copiar e colar com aplicações no perfil pessoal.

  • Partilha de dados entre perfis pessoais e profissionais: escolha se as aplicações no perfil de trabalho podem partilhar com aplicações no perfil pessoal. Por exemplo, pode controlar ações de partilha em aplicações, como a opção Partilhar... na aplicação do browser Chrome. Esta definição não se aplica ao comportamento da área de transferência copiar/colar. Suas opções:

    • Predefinição do dispositivo: a partilha do perfil de trabalho para o perfil pessoal está bloqueada. É permitida a partilha do perfil pessoal para o perfil de trabalho.
    • As aplicações no perfil de trabalho podem processar pedidos de partilha de perfil pessoal: ativa a funcionalidade incorporada do Android que permite a partilha do perfil pessoal para o perfil de trabalho. Quando ativado, um pedido de partilha de uma aplicação no perfil pessoal pode partilhar com aplicações no perfil de trabalho.
    • Sem restrições na partilha: ativa a partilha entre os limites do perfil de trabalho em ambas as direções. Quando seleciona esta definição, as aplicações no perfil de trabalho podem partilhar dados com aplicações não banidas no perfil pessoal. Esta definição permite que as aplicações geridas no perfil de trabalho partilhem com aplicações no lado não gerido do dispositivo. Por isso, utilize esta definição cuidadosamente.

  • Notificações do perfil de trabalho enquanto o dispositivo está bloqueado: Bloquear impede que as notificações de janela, incluindo alertas, chamadas recebidas, chamadas efetuadas, alertas do sistema e erros do sistema sejam apresentados em dispositivos bloqueados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar notificações.

  • Permissões predefinidas da aplicação: define a política de permissões predefinida para todas as aplicações no perfil de trabalho. A partir do Android 6, é pedido aos utilizadores que concedam determinadas permissões necessárias às aplicações quando a aplicação é iniciada. Esta definição de política permite-lhe decidir se é pedido aos utilizadores que concedam permissões para todas as aplicações no perfil de trabalho. Por exemplo, atribui uma aplicação ao perfil de trabalho que requer acesso à localização. Normalmente, essa aplicação pede aos utilizadores para aprovarem ou negarem o acesso à localização à aplicação. Utilize esta política para conceder automaticamente permissões sem um pedido, negar automaticamente permissões sem um pedido ou permitir que os utilizadores decidam. Suas opções:

    • Predefinição do dispositivo
    • Prompt
    • Concessão automática
    • Negar automaticamente

    Também pode utilizar uma política de configuração de aplicações para conceder permissões para aplicações individuais (Políticas de configuração de aplicações>).

  • Adicionar e remover contas: esta definição permite ou impede que as contas sejam adicionadas ao perfil de trabalho, incluindo contas Google. Suas opções:

    • Permitir todos os tipos de contas, exceto contas Google (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode permitir a adição de contas no perfil de trabalho.

      Numa versão anterior, esta definição era denominada Não configurada.

    • Permitir todos os tipos de conta: permite todas as contas, incluindo contas Google. Estas contas Google estão impedidas de instalar aplicações a partir da Google Play Store Gerida.

      Também pode configurar:

      • Lista de permissões do domínio Google: restringe os utilizadores a adicionar apenas determinados domínios de conta Google no perfil de trabalho. Pode importar uma lista de domínios permitidos no seguinte formato:

        contoso.com
microsoft.com

        Em alternativa, adicione os domínios individualmente com o contoso.com formato . Quando deixado em branco, por predefinição, o SO pode permitir a adição de todos os domínios google no perfil de trabalho.

      Esta definição requer:

      • Versão da aplicação Google Play 80970100 ou superior

    • Bloquear todos os tipos de conta: impede que os utilizadores adicionem ou removam contas manualmente no perfil de trabalho. Por exemplo, quando implementa a aplicação Gmail no perfil de trabalho, pode impedir que os utilizadores adicionem ou removam contas neste perfil de trabalho.

    Observação

    Em dispositivos pessoais com um perfil de trabalho (BYOD) e dispositivos pertencentes à empresa com perfil de trabalho (COPE), as contas Google não podem ser adicionadas à aplicação > Definições Contas>De Trabalho.

  • Partilha de contactos através de Bluetooth: a opção Ativar permite a partilha e acesso a dispositivos pessoais com contactos de perfil de trabalho de outro dispositivo, incluindo um carro, que é emparelhado com Bluetooth. Ativar esta definição pode permitir que determinados dispositivos Bluetooth coloquem em cache contactos de trabalho na primeira ligação. Desativar esta política após um emparelhamento/sincronização inicial pode não remover os contactos de trabalho de um dispositivo Bluetooth.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não partilhar contactos profissionais.

    Esta definição aplica-se a:

    • Android 8.0 e dispositivos pessoais mais recentes com um perfil de trabalho

  • Captura de ecrã: Bloquear impede capturas de ecrã ou capturas de ecrã no dispositivo no perfil de trabalho. Também impede que os conteúdos sejam apresentados em dispositivos de visualização que não tenham uma saída de vídeo segura. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a obtenção de capturas de ecrã.

  • Apresentar o ID do autor da chamada do contacto profissional no perfil pessoal: Bloquear não mostra o número do autor da chamada de contacto profissional no perfil pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar os detalhes do chamador do contacto profissional.

    Esta definição aplica-se a:

    • Android 8.0 e dispositivos pessoais mais recentes com um perfil de trabalho

  • Procurar contactos de trabalho a partir do perfil pessoal: bloquear impede que os utilizadores procurem contactos de trabalho em aplicações no perfil pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a pesquisa de contactos de trabalho no perfil pessoal.

  • Câmara: Bloquear impede o acesso à câmara no dispositivo no perfil de trabalho pessoal. Esta definição não afeta a câmara no lado pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o acesso à câmara.

  • Permitir widgets a partir de aplicações de perfil de trabalho: Ativar permite que os utilizadores coloquem widgets expostos por aplicações no ecrã principal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode desativar esta funcionalidade.

    Por exemplo, o Outlook está instalado no perfil de trabalho dos seus utilizadores. Quando definido como Ativar, os utilizadores podem colocar o widget agenda no ecrã principal do dispositivo.

Palavra-passe do Perfil de Trabalho

Estas definições de palavra-passe aplicam-se à palavra-passe do perfil de trabalho em dispositivos pessoais com um perfil de trabalho.

Todos os dispositivos Android

  • Exigir Palavra-passe de Perfil de Trabalho: Exigir força uma política de código de acesso que só se aplica a aplicações no perfil de trabalho. Por predefinição, os utilizadores podem utilizar os dois PINs definidos separadamente. Em alternativa, os utilizadores podem combinar os PINs no mais forte dos dois PINs. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores utilizem aplicações de trabalho sem introduzir uma palavra-passe.

    Esta definição aplica-se a:

    • Android 8.0 e dispositivos pessoais mais recentes com um perfil de trabalho

  • Máximo de minutos de inatividade até o perfil de trabalho bloquear: introduza o período de tempo em que os dispositivos têm de estar inativos antes de o ecrã ser bloqueado automaticamente. Os utilizadores têm de introduzir as respetivas credenciais para recuperar o acesso. Por exemplo, introduza 5 para bloquear o dispositivo após 5 minutos de inatividade. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição.

    Nos dispositivos, os utilizadores não podem definir um valor de tempo superior ao tempo configurado no perfil. Os utilizadores podem definir um valor de tempo inferior. Por exemplo, se o perfil estiver definido como 15 minutos, os utilizadores podem definir o valor como 5 minutos. Os utilizadores não podem definir o valor como 30 minutos.

  • Número de falhas de início de sessão antes de limpar o dispositivo: introduza o número de palavras-passe erradas permitidas antes de o perfil de trabalho no dispositivo ser apagado, de 4 a 11. Quando o valor está em branco, o Intune utiliza o valor predefinido nesta definição.

  • Expiração da palavra-passe (dias): introduza o número de dias até as palavras-passe de utilizador serem alteradas (de 1-365).

  • Impedir a reutilização de palavras-passe anteriores: utilize esta definição para impedir que os utilizadores criem palavras-passe utilizadas anteriormente. Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam definir uma nova palavra-passe para a palavra-passe atual ou qualquer uma das quatro palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Desbloqueio facial: bloquear impede que os utilizadores utilizem o reconhecimento facial do dispositivo para desbloquear o perfil de trabalho pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo através do reconhecimento facial.

  • Desbloqueio por impressão digital: bloquear impede que os utilizadores utilizem o detetor de impressões digitais do dispositivo para desbloquear o perfil de trabalho pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo com uma impressão digital.

  • Desbloqueio da íris: bloquear impede que os utilizadores utilizem o scanner de íris do dispositivo para desbloquear o perfil de trabalho pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo com o scanner de íris.

  • Smart Lock e outros agentes de fidedignidade: bloquear impede que o Smart Lock ou outros agentes de confiança ajustem as definições do ecrã de bloqueio em dispositivos compatíveis. Se os dispositivos estiverem numa localização fidedigna, esta funcionalidade, também conhecida como agente de confiança, permite desativar ou ignorar a palavra-passe do ecrã de bloqueio do dispositivo. Por exemplo, ignore a palavra-passe do perfil de trabalho quando os dispositivos estão ligados a um dispositivo Bluetooth específico ou quando os dispositivos estão próximos de uma etiqueta NFC. Utilize esta definição para impedir que os utilizadores configurem o Smart Lock.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

  • Um bloqueio para o dispositivo e o perfil de trabalho: bloquear impede que os utilizadores utilizem a mesma palavra-passe para o ecrã de bloqueio no dispositivo e no perfil de trabalho. Os utilizadores finais têm de introduzir a palavra-passe do dispositivo para desbloquear o dispositivo e introduzir a respetiva palavra-passe de perfil de trabalho para aceder ao respetivo perfil de trabalho.

    Quando definido como Não Configurado (predefinição), o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode permitir que os utilizadores acedam ao respetivo perfil de trabalho com uma única palavra-passe.

Android 12 e posterior

  • Complexidade da palavra-passe: utilize esta definição para definir os requisitos de complexidade da palavra-passe. Suas opções:

    • Nenhum: o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode não exigir uma palavra-passe.
    • Baixo: é permitido um padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
    • Médio: o PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) está bloqueada. O comprimento, o comprimento alfabético ou o comprimento alfanumérico têm de ter, pelo menos, quatro carateres.
    • Alto: o PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) está bloqueada. O comprimento tem de ter, pelo menos, oito carateres. O comprimento alfabético ou alfanumérico tem de ter, pelo menos, seis carateres.

    Em dispositivos pessoais com um perfil de trabalho, existem duas palavras-passe afetadas por esta definição de complexidade da palavra-passe :

    • A palavra-passe do dispositivo que desbloqueia o dispositivo
    • A palavra-passe do perfil de trabalho que permite aos utilizadores aceder ao perfil de trabalho

    Se a complexidade da palavra-passe do dispositivo for demasiado baixa, a palavra-passe do dispositivo é alterada automaticamente para exigir uma Complexidade elevada . Os utilizadores finais têm de atualizar a palavra-passe do dispositivo para cumprir os requisitos de complexidade. Em seguida, iniciam sessão no perfil de trabalho e é-lhe pedido que atualizem a complexidade do perfil de trabalho configurada na definição Complexidade da palavra-passe na sua política.

    Importante

    Antes de a definição Complexidade da palavra-passe estar disponível, foram utilizadas as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe . Estas definições ainda estão disponíveis, mas são preteridas pela Google para dispositivos pessoais Android 12+ com um perfil de trabalho. Para obter informações sobre estas definições, aceda ao Android 11 e anterior (neste artigo).

    Eis o que precisa de saber:

    • Se as definições Tipo de palavra-passe necessária e Comprimento mínimo da palavra-passe forem alteradas dos valores predefinidos numa política, então:

      • Os dispositivos Android Enterprise 12+ inscritos recentemente utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade. Por isso, se não quiser uma elevada complexidade de palavras-passe, crie uma nova política para dispositivos Android Enterprise 12+ e configure a definição Complexidade da palavra-passe .

      • Os dispositivos Android Enterprise 12+ existentes continuarão a utilizar as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe e os valores existentes que já estão configurados.

        Se alterar uma política existente com as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe já configurado, os dispositivos Android Enterprise 12+ utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade.

        Para dispositivos Android Enterprise 12+ é recomendado configurar a definição Complexidade da palavra-passe .

    • Se as definições Tipo obrigatório de palavra-passe e Comprimento mínimo da palavra-passe não forem alteradas dos valores predefinidos numa política, nenhuma política de palavra-passe é aplicada automaticamente a dispositivos Android Enterprise 12+ recentemente inscritos.

Android 11 e anterior

Importante

  • A Google está a preterir estas definições tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe para dispositivos android 12+ pessoais com um perfil de trabalho e substituí-lo por novos requisitos de complexidade de palavras-passe. Para obter mais informações sobre esta alteração, aceda a Suporte do Dia zero para Android 13.
  • Em dispositivos Android Enterprise com mais de 12 anos, utilize a definição Complexidade da palavra-passe .

  • Tipo de palavra-passe obrigatório: introduza o nível de complexidade da palavra-passe necessário e se os dispositivos biométricos podem ser utilizados. Suas opções:

    • Predefinição do dispositivo (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode não necessitar de uma palavra-passe.
    • Biometria de baixa segurança: biometria forte vs. fraca (abre o site do Android)
    • Required
    • Pelo menos numérico: inclui carateres numéricos, como 123456789.
    • Complexo numérico: não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, .
    • Pelo menos alfabético: inclui letras no alfabeto. Não são necessários números e símbolos.
    • Pelo menos alfanumérico: inclui letras maiúsculas, letras minúsculas e carateres numéricos.
    • Pelo menos alfanumérico com símbolos: inclui letras maiúsculas, letras minúsculas, carateres numéricos, marcas de pontuação e símbolos.

  • Comprimento mínimo da palavra-passe: introduza o comprimento mínimo que a palavra-passe tem de ter, entre 4 (predefinição) e 16 carateres.

Senha

Estas definições de palavra-passe aplicam-se à palavra-passe do dispositivo em dispositivos pessoais com um perfil de trabalho.

Todos os dispositivos Android

  • Máximo de minutos de inatividade até o ecrã bloquear: introduza o período de tempo em que os dispositivos têm de estar inativos antes de o ecrã ser bloqueado automaticamente. Os utilizadores têm de introduzir as respetivas credenciais para recuperar o acesso. Por exemplo, introduza 5 para bloquear o dispositivo após 5 minutos de inatividade. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição.

    Nos dispositivos, os utilizadores não podem definir um valor de tempo superior ao tempo configurado no perfil. Os utilizadores podem definir um valor de tempo inferior. Por exemplo, se o perfil estiver definido como 15 minutos, os utilizadores podem definir o valor como 5 minutos. Os utilizadores não podem definir o valor como 30 minutos.

  • Número de falhas de início de sessão antes de limpar o dispositivo: introduza o número de palavras-passe erradas permitidas antes de o perfil de trabalho pessoal no dispositivo ser apagado, de 4 a 11. 0 (zero) pode desativar a funcionalidade de eliminação de dados do dispositivo. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Expiração da palavra-passe (dias): introduza o número de dias, até que a palavra-passe do dispositivo tenha de ser alterada, de 1 a 365. Por exemplo, introduza 90 para expirar a palavra-passe após 90 dias. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Impedir a reutilização de palavras-passe anteriores: utilize esta definição para impedir que os utilizadores criem palavras-passe utilizadas anteriormente. Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam definir uma nova palavra-passe para a palavra-passe atual ou qualquer uma das quatro palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.

  • Desbloqueio por impressão digital: bloquear impede que os utilizadores utilizem o detetor de impressões digitais do dispositivo para desbloquear o dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo com uma impressão digital.

  • Desbloqueio facial: bloquear impede que os utilizadores utilizem o reconhecimento facial do dispositivo para desbloquear o dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo através do reconhecimento facial.

  • Desbloqueio da íris: bloquear impede que os utilizadores utilizem o scanner de íris do dispositivo para desbloquear o dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo com o scanner de íris.

  • Smart Lock e outros agentes de fidedignidade: bloquear impede que o Smart Lock ou outros agentes de confiança ajustem as definições do ecrã de bloqueio em dispositivos compatíveis. Se os dispositivos estiverem numa localização fidedigna, esta funcionalidade, também conhecida como agente de confiança, permite desativar ou ignorar a palavra-passe do ecrã de bloqueio do dispositivo. Por exemplo, ignore a palavra-passe do perfil de trabalho pessoal quando os dispositivos estão ligados a um dispositivo Bluetooth específico ou quando os dispositivos estão próximos de uma etiqueta NFC. Utilize esta definição para impedir que os utilizadores configurem o Smart Lock.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

Android 12 e posterior

  • Complexidade da palavra-passe: utilize esta definição para definir os requisitos de complexidade da palavra-passe. Suas opções:

    • Nenhum: o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode não exigir uma palavra-passe.
    • Baixo: é permitido um padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
    • Médio: o PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) está bloqueada. O comprimento, o comprimento alfabético ou o comprimento alfanumérico têm de ter, pelo menos, quatro carateres.
    • Alto: o PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) está bloqueada. O comprimento tem de ter, pelo menos, oito carateres. O comprimento alfabético ou alfanumérico tem de ter, pelo menos, seis carateres.

    Em dispositivos pessoais com um perfil de trabalho, existem duas palavras-passe afetadas por esta definição de complexidade da palavra-passe :

    • A palavra-passe do dispositivo que desbloqueia o dispositivo
    • A palavra-passe do perfil de trabalho que permite aos utilizadores aceder ao perfil de trabalho

    Se a complexidade da palavra-passe do dispositivo for demasiado baixa, a palavra-passe do dispositivo é alterada automaticamente para exigir uma Complexidade elevada . Os utilizadores finais têm de atualizar a palavra-passe do dispositivo para cumprir os requisitos de complexidade. Em seguida, iniciam sessão no perfil de trabalho e é-lhe pedido que atualizem a complexidade do perfil de trabalho configurada na definição Complexidade da palavra-passe na sua política.

    Importante

    Antes de a definição Complexidade da palavra-passe estar disponível, foram utilizadas as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe . Estas definições ainda estão disponíveis, mas são preteridas pela Google para dispositivos pessoais Android 12+ com um perfil de trabalho. Para obter mais informações sobre estas definições, aceda ao Android 11 e anterior (neste artigo).

    Eis o que precisa de saber:

    • Se as definições Tipo de palavra-passe necessária e Comprimento mínimo da palavra-passe forem alteradas dos valores predefinidos numa política, então:

      • Os dispositivos Android Enterprise 12+ inscritos recentemente utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade. Por isso, se não quiser uma elevada complexidade de palavras-passe, crie uma nova política para dispositivos Android Enterprise 12+ e configure a definição Complexidade da palavra-passe .

      • Os dispositivos Android Enterprise 12+ existentes continuarão a utilizar as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe e os valores existentes que já estão configurados.

        Se alterar uma política existente com as definições Tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe já configurado, os dispositivos Android Enterprise 12+ utilizarão automaticamente a definição Complexidade da palavra-passe com elevada complexidade.

        Para dispositivos Android Enterprise 12+ é recomendado configurar a definição Complexidade da palavra-passe .

    • Se as definições Tipo obrigatório de palavra-passe e Comprimento mínimo da palavra-passe não forem alteradas dos valores predefinidos numa política, nenhuma política de palavra-passe é aplicada automaticamente a dispositivos Android Enterprise 12+ recentemente inscritos.

Android 11 e anterior

Importante

  • A Google está a preterir estas definições tipo de palavra-passe obrigatório e Comprimento mínimo da palavra-passe para dispositivos android 12+ pessoais com um perfil de trabalho e substituí-lo por novos requisitos de complexidade de palavras-passe. Para obter mais informações sobre esta alteração, aceda a Suporte do Dia zero para Android 13.
  • Em dispositivos Android Enterprise com mais de 12 anos, utilize a definição Complexidade da palavra-passe .

  • Tipo de palavra-passe obrigatório: introduza o nível de complexidade da palavra-passe necessário e se os dispositivos biométricos podem ser utilizados. Suas opções:

    • Predefinição do dispositivo (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode não necessitar de uma palavra-passe.
    • Biometria de baixa segurança: biometria forte vs. fraca (abre o site do Android)
    • Required
    • Pelo menos numérico: inclui carateres numéricos, como 123456789.
    • Complexo numérico: não são permitidos números repetidos ou consecutivos, como 1111 ou 1234, .
    • Pelo menos alfabético: inclui letras no alfabeto. Não são necessários números e símbolos.
    • Pelo menos alfanumérico: inclui letras maiúsculas, letras minúsculas e carateres numéricos.
    • Pelo menos alfanumérico com símbolos: inclui letras maiúsculas, letras minúsculas, carateres numéricos, marcas de pontuação e símbolos.

  • Comprimento mínimo da palavra-passe: introduza o comprimento mínimo que a palavra-passe tem de ter, entre 4 (predefinição) e 16 carateres.

Segurança do sistema

  • Análise de ameaças em aplicações: é necessário impor que a definição Verificar Aplicações esteja ativada para perfis pessoais e profissionais. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Esta definição aplica-se a:

    • Android 8 (Oreo) e dispositivos pessoais mais recentes com um perfil de trabalho

  • Impedir instalações de aplicações de origens desconhecidas no perfil pessoal: por predefinição, os dispositivos pessoais android Enterprise com um perfil de trabalho não podem instalar aplicações de outras origens que não a Play Store. Esta definição permite aos administradores um maior controlo das instalações de aplicações a partir de origens desconhecidas. Bloquear impede instalações de aplicações de outras origens que não a Google Play Store no perfil pessoal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir instalações de aplicações de origens desconhecidas no perfil pessoal. Por natureza, os dispositivos pessoais com um perfil de trabalho destinam-se a ter um perfil duplo:

    • Um dispositivo pessoal com um perfil de trabalho gerido através de MDM.
    • Um perfil pessoal isolado da gestão de MDM.

Conectividade

  • VPN Sempre Ativada: a opção Ativar define um cliente VPN para ligar e voltar a ligar automaticamente à VPN. As conexões VPN Sempre ativado permanecem conectadas. Em alternativa, ligue-se imediatamente quando os utilizadores bloquearem o dispositivo, o dispositivo reiniciar ou a rede sem fios for alterada.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode desativar a VPN sempre ativada para todos os clientes VPN.

    Importante

    Certifique-se de que implementa apenas uma política de VPN AlwaysOn num único dispositivo. A implementação de várias políticas Always VPN num único dispositivo não é suportada.

  • Cliente VPN: escolha um cliente VPN que suporte AlwaysOn. Suas opções:

    • Cisco AnyConnect
    • F5 Access
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • Personalizado
      • ID do Pacote: introduza o ID do pacote da aplicação na Google Play Store. Por exemplo, se o URL da aplicação na Play Store for https://play.google.com/store/details?id=com.contosovpn.android.prod, o ID do pacote será com.contosovpn.android.prod.

    Importante

    • O cliente VPN que escolher tem de estar instalado no dispositivo. Também tem de suportar VPN por aplicação em dispositivos pessoais com um perfil de trabalho. Caso contrário, ocorrerá um erro.
    • Tem de aprovar a aplicação cliente VPN na Google Play Store Gerida, sincronizar a aplicação com o Intune e implementar a aplicação no dispositivo. Depois de o fazer, a aplicação é instalada nos dispositivos pessoais do utilizador com um perfil de trabalho.
    • Podem existir problemas conhecidos ao utilizar a VPN por aplicação com o F5 Access para Android 3.0.4. Para obter mais informações, veja Notas de versão do F5 para f5 Access para Android 3.0.4.

  • Modo de bloqueio: Ativar força todo o tráfego de rede a utilizar o túnel VPN. Se não for estabelecida uma ligação à VPN, o dispositivo não terá acesso à rede.

    Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que o tráfego flua através do túnel VPN ou através da rede móvel.

Próximas etapas

Atribuir o perfil e monitorar seu status.

Configurar e resolver problemas de dispositivos Android Enterprise no Microsoft Intune.