Partilhar via

Definições da Política de Proteção de Aplicações Android no Microsoft Intune

Este artigo descreve as definições de política de proteção de aplicações para dispositivos Android. As definições de política descritas podem ser configuradas para uma política de proteção de aplicações no painel Definições no portal. Existem três categorias de definições de política: definições de proteção de dados, requisitos de acesso e iniciação condicional. Neste artigo, o termo aplicativos gerenciados por política refere-se a aplicativos configurados com políticas de proteção de aplicativo.

Importante

O Portal da Empresa do Intune é necessário no dispositivo para receber Políticas de Proteção de Aplicações para dispositivos Android.

Proteção de dados

Transferência de dados

Setting Como usar Valor padrão
Criar cópias de segurança de dados da organização para serviços de cópia de segurança do Android Selecione Bloquear para impedir que esta aplicação faça uma cópia de segurança dos dados escolares ou profissionais para o Serviço de Cópia de Segurança do Android.

Selecione Permitir para permitir que esta aplicação faça uma cópia de segurança dos dados escolares ou profissionais.		 Permitir
Enviar dados da organização para outras aplicações Especifique quais aplicativos podem receber dados desse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas para outros aplicativos gerenciados por política.
  • Todas as Aplicações: permitir a transferência para qualquer aplicação.
  • Nenhuma: não permitir a transferência de dados para nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Existem algumas aplicações e serviços isentos para os quais Intune podem permitir a transferência de dados por predefinição. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Para obter mais informações, veja Isenções de transferência de dados.

Esta política também pode ser aplicada a Ligações de Aplicações Android.

Observação

Intune não suporta atualmente a funcionalidade Aplicações Instantâneas do Android. Intune bloqueia qualquer ligação de dados de ou para a aplicação. Para obter mais informações, veja Android Instant Apps (Aplicações Instantâneas do Android ) na documentação do Android Developer (Programador Android).

Se Enviar dados da organização para outras aplicações estiver configurado para Todas as Aplicações, os dados de texto ainda podem ser transferidos através da partilha do SO para a área de transferência.

 Todas as Aplicações
    Selecionar aplicativos para isentar
 Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior.
    Salvar cópias de dados da organização
 Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados.

Observação:
  • Esta definição é suportada para o Microsoft Excel, OneNote, PowerPoint, Word e Microsoft Edge. Também pode ser suportado por aplicações não Microsoft e LOB.
  • Esta definição só é configurável quando a definição Enviar dados da organização para outras aplicações está definida como Aplicações geridas por políticas.
  • Esta definição é "Permitir" quando a definição Enviar dados da organização para outras aplicações está definida como Todas as Aplicações.
  • Esta definição é "Bloquear" sem localizações de serviço permitidas quando a definição Enviar dados da organização para outras aplicações está definida como **Nenhum".
  • Esta definição guarda os ficheiros como encriptados se a opção Encriptar dados da organização estiver definida como **Exigir".
Permitir
      Permitir que o usuário salve uma cópia para serviços selecionados
 Os utilizadores podem guardar nos serviços selecionados (OneDrive, SharePoint, Biblioteca de Fotografias, Box, iManage, Egnyte e Armazenamento Local). Todos os outros serviços estão bloqueados. 0 selecionado
    Transferir dados de telecomunicações para
 Normalmente, quando um utilizador seleciona um número de telefone hiperligado numa aplicação, é aberta uma aplicação de marcador com o número de telefone pré-preenchido e pronto para ligar. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Um aplicativo discador específico: Permita que um aplicativo discador específico inicie o contato quando um número de telefone for detectado.
  • Qualquer aplicação de marcador gerida por políticas: permita que qualquer aplicação de marcador gerida por política inicie o contacto quando for detetado um número de telefone.
  • Qualquer aplicativo discador: Permita que qualquer aplicativo discador seja usado para iniciar o contato quando um número de telefone for detectado.
 Qualquer aplicativo discador
      ID do Pacote de Aplicação do Dialer
 Quando uma aplicação de marcador específica tiver sido selecionada, tem de fornecer o ID do pacote de aplicação. Blank
      Nome da Aplicação Do Marcador
 Quando uma aplicação de marcador específica tiver sido selecionada, tem de indicar o nome da aplicação de marcador. Blank
    Transferir dados de mensagens para
 Quando um utilizador seleciona um número de telefone hiperligado para uma aplicação de mensagens numa aplicação, é aberta uma aplicação de mensagens com o número de telefone pré-preenchido e pronto para enviar uma mensagem. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Uma aplicação de mensagens específica: permita que uma aplicação de mensagens específica seja utilizada para iniciar o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de mensagens gerida por políticas: permita que qualquer aplicação de mensagens gerida por políticas seja utilizada para iniciar o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de mensagens: permita que qualquer aplicação de mensagens seja utilizada para iniciar o contacto quando for detetado um número de telefone.
 Qualquer aplicação de mensagens
      ID do Pacote da Aplicação de Mensagens
 Quando uma aplicação de mensagens específica tiver sido selecionada, tem de fornecer o ID do pacote de aplicação. Blank
      Nome da Aplicação de Mensagens
 Quando uma aplicação de mensagens específica tiver sido selecionada, tem de indicar o nome da aplicação de mensagens. Blank
Receber dados de outros aplicativos Especifique quais aplicativos podem transferir dados para esse aplicativo:
  • Aplicativos gerenciados por política: permita a transferência apenas de outros aplicativos gerenciados por política.
  • Todas as Aplicações: permitir a transferência de dados a partir de qualquer aplicação.
  • Nenhuma: não permita a transferência de dados a partir de nenhuma aplicação, incluindo outras aplicações geridas por políticas.

Existem algumas aplicações e serviços isentos a partir dos quais Intune podem permitir a transferência de dados. Veja Isenções de transferência de dados para obter uma lista completa de aplicações e serviços.

 Todas as Aplicações
    Abrir dados em documentos da organização
 Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir.

Quando definido como Bloquear, você pode configurar o Permitir que o usuário abra dados de serviços selecionados para especificar quais serviços são permitidos para os locais de dados da organização.

Observação:
  • Esta configuração pode ser definida somente quando a opção Receber dados de outros aplicativos estiver definida como Aplicativos gerenciados por política.
  • Esta definição é "Permitir" quando a definição Receber dados de outras aplicações está definida como Todas as Aplicações.
  • Esta definição é "Bloquear" sem localizações de serviço permitidas quando a definição Receber dados de outras aplicações está definida como Nenhuma.
  • Os seguintes aplicativos dão suporte a essa configuração:
    • OneDrive 6.14.1 ou posterior.
    • Outlook para Android 4.2039.2 ou posterior.
    • Teams para Android 1416/1.0.0.2021173701 ou posterior.

Permitir
      Permitir que os usuários abram dados dos serviços selecionados
 Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. Selecionar nenhum serviço impede que os utilizadores abram dados.

Serviços com suporte:
  • OneDrive for Business
  • SharePoint Online
  • Câmera
  • Biblioteca de Fotos
Nota: A câmara não inclui acesso a Fotografias ou Galeria de Fotografias. Ao selecionar a Biblioteca de Fotografias (inclui a ferramenta Seletor de fotografias do Android) na definição Permitir que os utilizadores abram dados a partir de serviços selecionados no Intune, pode permitir que as contas geridas permitam a receção de imagens/vídeos do armazenamento local dos respetivos dispositivos para as respetivas aplicações geridas.		 Todos selecionados
Restringir recortar, copiar e colar com outros aplicativos Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Escolha entre:
  • Bloqueado: não permita ações cortar, copiar e colar entre esta aplicação e qualquer outra aplicação.
  • Aplicativos gerenciados por política: permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política com Colar Em: permita o recorte ou a cópia entre esse aplicativo e outros aplicativos gerenciados por política. Permita que dados de qualquer aplicativo sejam colados nesse aplicativo.
  • Qualquer aplicativo: sem restrições para recortar, copiar e colar para e desse aplicativo.
Observação:
  • Ao utilizar teclados de terceiros, os utilizadores poderão ver a mensagem "Os dados da sua organização não podem ser colados aqui" na pré-visualização da área de transferência do teclado durante as ações de cópia. Isto ocorre se a aplicação de teclado não estiver integrada com Intune e, por conseguinte, não conseguir desencriptar o texto da área de transferência codificada. Os utilizadores ainda podem copiar e colar dados conforme esperado através da ação colar texto nas aplicações geridas, se permitido pela organização.
  • Alguns teclados de terceiros fornecem a sua própria área de transferência ou funcionalidades de sugestão de texto que podem inserir texto diretamente numa aplicação. Quando isto ocorre, a aplicação recebe o texto como entrada de utilizador padrão e as restrições de colagem não se aplicam a estas inserções iniciadas por teclado.
 Qualquer aplicativo
    Limite de caracteres de recorte e cópia para qualquer aplicativo
 Especifique o número de carateres que podem ser cortados ou copiados de contas e dados da organização. Isto permite a partilha do número especificado de carateres para qualquer aplicação, incluindo aplicações não geridas, quando de outra forma seria bloqueada pela definição "Restringir cortar, copiar e colar com outras aplicações".

Valor padrão = 0

Nota: requer Portal da Empresa do Intune versão 5.0.4364.0 ou posterior.

 0
Captura de ecrã e Assistente do Google Selecione Bloquear para bloquear a captura de ecrã, bloqueie Círculo para Pesquisa e bloqueie o Acesso do Assistente google aos dados da organização no dispositivo ao utilizar esta aplicação. Selecionar Bloquear também desfoca a imagem de pré-visualização do comutador de aplicações ao utilizar esta aplicação com uma conta escolar ou profissional.

Nota: o Assistente do Google pode estar acessível aos utilizadores para cenários que não acedem aos dados da organização.

 Permitir
Teclados aprovados Selecione Exigir e, em seguida, especifique uma lista de teclados aprovados para esta política.

Os utilizadores que não estão a utilizar um teclado aprovado recebem um pedido para transferir e instalar um teclado aprovado antes de poderem utilizar a aplicação protegida. Esta definição requer que a aplicação tenha o SDK Intune para Android versão 6.2.0 ou posterior.

 Não obrigatório
    Selecionar teclados a aprovar
 Esta opção está disponível quando seleciona Exigir para a opção anterior. Selecione Selecionar para gerir a lista de teclados e métodos de entrada que podem ser utilizados com aplicações protegidas por esta política. Pode adicionar mais teclados à lista e remover qualquer uma das opções predefinidas. Tem de ter, pelo menos, um teclado aprovado para guardar a definição. Ao longo do tempo, a Microsoft poderá adicionar mais teclados à lista de novas Políticas de Proteção de Aplicações, o que requer que os administradores revejam e atualizem as políticas existentes conforme necessário.

Para adicionar um teclado, especifique:

  • Nome: um nome amigável que identifica o teclado e é visível para o utilizador.
  • ID do Pacote: o ID do Pacote da aplicação na Google Play Store. Por exemplo, se o URL da aplicação na Play Store for https://play.google.com/store/details?id=com.contoskeyboard.android.prod, o ID do Pacote é com.contosokeyboard.android.prod. Este ID de pacote é apresentado ao utilizador como uma ligação simples para transferir o teclado a partir do Google Play.

Nota: Um utilizador com múltiplas Políticas de Proteção de Aplicações tem permissão para utilizar apenas os teclados aprovados comuns a todas as políticas.

Criptografia

Setting Como usar Valor padrão
Encriptar dados da organização Selecione Exigir para ativar a encriptação de dados escolares ou profissionais nesta aplicação. Intune utiliza um esquema de encriptação AES wolfSSL de 256 bits, juntamente com o sistema Android Keystore, para encriptar os dados da aplicação de forma segura. Os dados são encriptados de forma síncrona durante as tarefas de E/S do ficheiro. Os conteúdos no armazenamento do dispositivo são sempre encriptados e só podem ser abertos por aplicações que suportem políticas de proteção de aplicações do Intune e tenham a política atribuída. Os novos ficheiros são encriptados com chaves de 256 bits. Os ficheiros encriptados de 128 bits existentes são submetidos a uma tentativa de migração para chaves de 256 bits, mas o processo não é garantido. Os ficheiros encriptados com chaves de 128 bits permanecem legíveis.

O método de encriptação é FIPS 140-2 validado; Para obter mais informações, veja wolfCrypt FIPS 140-2 e FIPS 140-3.		 Exigir
    Encriptar dados da organização em dispositivos inscritos
 Selecione Exigir para impor a encriptação de dados da organização com Intune encriptação de camada de aplicação em todos os dispositivos. Selecione Não necessário para não impor a encriptação de dados da organização com Intune encriptação de camada de aplicação em dispositivos inscritos. Exigir

Funcionalidade

Setting Como usar Valor padrão
Sincronizar dados do aplicativo gerenciado por política com suplementos ou aplicativos nativos Selecione Bloquear para impedir que as aplicações geridas por políticas guardem dados nas aplicações nativas do dispositivo (Contactos, Calendário e widgets) e para impedir a utilização de suplementos nas aplicações geridas por políticas. Se não for suportado pela aplicação, é permitido guardar dados em aplicações nativas e utilizar suplementos.

Se você escolher Permitir, o aplicativo gerenciado por política poderá salvar dados nos aplicativos nativos ou usar suplementos, se esses recursos forem compatíveis e habilitados no aplicativo gerenciado por política.

As aplicações podem fornecer controlos adicionais para personalizar o comportamento da sincronização de dados para aplicações nativas específicas ou não respeitar este controlo.

Nota: quando efetua uma eliminação seletiva para remover dados escolares ou profissionais da aplicação, os dados sincronizados diretamente a partir da aplicação gerida por políticas para a aplicação nativa são removidos. Os dados sincronizados da aplicação nativa para outra origem externa não serão apagados.

Nota: as seguintes aplicações suportam esta funcionalidade: 		Permitir
Imprimindo dados da organização Selecione Bloquear para impedir que a aplicação imprima dados escolares ou profissionais. Se deixar esta definição como Permitir, o valor predefinido, os utilizadores podem exportar e imprimir todos os dados da Organização. Permitir
Restringir a transferência de conteúdo Web com outros aplicativos Especifique como o conteúdo da Web (links http/https) é aberto de aplicativos gerenciados por política. Escolha entre:
  • Qualquer aplicativo: permitir links da Web em qualquer aplicativo.
  • Microsoft Edge: Permita que o conteúdo da Web seja aberto somente no Microsoft Edge. Esse navegador é um navegador gerenciado por política.
  • Browser não-gerenciado:Permita que o conteúdo da Web abra somente no navegador não gerenciado definido pela configuração Protocolo do navegador não gerenciado. O conteúdo Web não é gerido no browser de destino.
    Nota: requer Portal da Empresa do Intune versão 5.0.4415.0 ou posterior.

    • As Ligações da Aplicação Android são geridas pela definição de política Permitir que a aplicação transfira dados para outras aplicações .

    Registro do dispositivo do Intune
    Se estiver usando o Intune para gerenciar seus dispositivos, confira Gerenciar o acesso à Internet usando políticas do navegador gerenciado com o Microsoft Intune.

    Microsoft Edge gerenciado por política
    O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) agora é compatível com políticas de proteção de aplicativo do Intune. Os utilizadores que iniciam sessão com as respetivas contas de Microsoft Entra empresariais na aplicação de browser Microsoft Edge estão protegidos por Intune. O browser Microsoft Edge integra o SDK da APLICAÇÃO e suporta todas as políticas de proteção de dados, exceto para impedir:

    • Guardar como: o browser Microsoft Edge não permite que um utilizador adicione ligações diretas na aplicação a fornecedores de armazenamento na cloud (como o OneDrive).
    • Sincronização de contactos: o browser Microsoft Edge não guarda em listas de contactos nativas.
    Nota:o SDK da APLICAÇÃO não consegue determinar se uma aplicação de destino é um browser. Em dispositivos Android, são permitidas outras aplicações de browser gerido que suportem a intenção http/https.
 Não configurado
    ID do Browser Não Gerido
 Introduza o ID da aplicação para um único browser. O conteúdo Web (ligações http/https) das aplicações geridas por políticas é aberto no browser especificado. O conteúdo Web não é gerido no browser de destino. Blank
    Nome do Browser Não Gerido
 Introduza o nome da aplicação para o browser associado ao ID do Browser Não Gerido. Este nome é apresentado aos utilizadores se o browser especificado não estiver instalado. Blank
Notificações de dados da organização Especifique a quantidade de dados da organização que são partilhados através de notificações do SO para contas de organização. Esta definição de política afeta o dispositivo local e quaisquer dispositivos ligados, como wearables e altifalantes inteligentes. As aplicações podem fornecer controlos adicionais para personalizar o comportamento das notificações ou podem optar por não respeitar todos os valores. Selecione:
  • Bloquear: não partilhe notificações.
    • Se não for suportado pela aplicação, são permitidas notificações.
  • Bloquear dados da organização: não partilhe dados da organização em notificações. Por exemplo, "Tem correio novo"; "Tem uma reunião."
    • Se não for suportado pela aplicação, as notificações são bloqueadas.
  • Permitir: partilha dados da organização nas notificações

Nota: esta definição requer suporte de aplicações:

  • Outlook para Android 4.0.95 ou posterior
  • Teams para Android 1416/1.0.0.2020092202 ou posterior.
 Permitir

Isenções de transferência de dados

Existem algumas aplicações e serviços de plataforma isentos que Intune políticas de proteção de aplicações permitem a transferência de e para os dados. Por exemplo, todas as aplicações geridas por Intune no Android têm de conseguir transferir dados de e para a Conversão de Texto em Voz da Google, para que o texto do ecrã do seu dispositivo móvel possa ser lido em voz alta. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.

Isenções completas

Estas aplicações e serviços são totalmente permitidos para transferência de dados de e para aplicações geridas Intune.

Nome da aplicação/serviço Descrição
com.android.phone Aplicação para telemóvel nativa
com.android.vending Google Play Store
com.google.android.webview WebView, que é necessário para muitas aplicações, incluindo o Outlook.
com.android.webview Webview, que é necessário para muitas aplicações, incluindo o Outlook.
com.google.android.tts Conversão de texto em voz do Google
com.android.providers.settings Definições do sistema Android
com.android.settings Definições do sistema Android
com.azure.authenticator Azure aplicação Authenticator, que é necessária para uma autenticação bem-sucedida em muitos cenários.
com.microsoft.windowsintune.companyportal Portal da Empresa do Intune
com.android.providers.contacts Aplicação de contactos nativos
com.samsung.android.providers.contacts Fornecedor de contactos da Samsung. Permitido para dispositivos Samsung.
com.android.providers.blockednumber Fornecedor de números do Bloco Android. Permitido para dispositivos Android.

Isenções condicionais

Estas aplicações e serviços só são permitidos para transferência de dados de e para aplicações geridas Intune em determinadas condições.

Nome da aplicação/serviço Descrição Condição de isenção
com.android.chrome Navegador Google Chrome O Chrome é utilizado para alguns componentes do WebView no Android 7.0+ e nunca é ocultado da vista. No entanto, o fluxo de dados de e para a aplicação é sempre restrito.
com.skype.raider Skype A aplicação Skype só é permitida para determinadas ações que resultem numa chamada telefónica.
com.android.providers.media Fornecedor de conteúdos multimédia Android O fornecedor de conteúdos multimédia só é permitido para a ação de seleção de toques.
com.google.android.gms; com.google.android.gsf Pacotes do Google Play Services Estes pacotes são permitidos para ações do Google Cloud Messaging, como notificações push.
com.google.android.apps.maps Google Maps Os endereços são permitidos para navegação.
com.android.documentsui Seletor de Documentos do Android Permitido ao abrir ou criar um ficheiro.
com.google.android.documentsui Seletor de Documentos do Android (Android 10+) Permitido ao abrir ou criar um ficheiro.

Para obter mais informações, veja Data transfer policy exceptions for apps (Exceções da política de transferência de dados para aplicações).

Requisitos de acesso

Setting Como usar
PIN para acesso Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante.

Valor predefinido = Exigir

Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso.

Nota: Os utilizadores finais com permissão para aceder à aplicação podem repor o PIN da aplicação. Esta definição pode não estar visível em alguns casos em dispositivos Android. Os dispositivos Android têm uma limitação máxima de quatro atalhos disponíveis. Quando o máximo for atingido, o utilizador final tem de remover quaisquer atalhos personalizados (ou aceder ao atalho de uma vista de aplicação gerida diferente) para ver o atalho repor PIN da Aplicação. Em alternativa, o utilizador final pode afixar o atalho à respetiva home page.

    Tipo de PIN
 Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial.

Valor predefinido = Numérico

Nota: Os carateres especiais permitidos incluem os carateres especiais e símbolos no teclado de idioma android inglês.
    PIN Simples
 Selecione Permitir para permitir que os utilizadores utilizem sequências de PIN simples, como 1234, 1111, abcd ou aaaa. Selecione Blocos para impedir que utilizem sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Bloquear estiver configurado, 1235 ou 1112 não seria aceite como PIN definido pelo utilizador final, mas 1122 seria permitido.

Valor predefinido = Permitir

Nota: Se o PIN do tipo de código de acesso estiver configurado e o PIN Simples estiver definido como Permitir, o utilizador precisará de, pelo menos, uma letra ou , pelo menos, um caráter especial no PIN. Se o PIN do tipo código de acesso estiver configurado e o PIN Simples estiver definido como Bloquear, o utilizador precisará de, pelo menos, um número e uma letra e , pelo menos, um caráter especial no PIN.
    Selecionar comprimento mínimo do PIN
 Especifique o número mínimo de dígitos em uma sequência de PIN.

Valor predefinido = 4
    Biometria em vez de PIN para acesso
 Selecione Permitir para permitir que o utilizador utilize biometria para autenticar utilizadores em dispositivos Android. Se for permitido, a biometria é utilizada para aceder à aplicação em dispositivos Android 10 ou superior.
    Substituir biometria com PIN após o tempo limite
 Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade.

Valor predefinido = Exigir
      Tempo limite (minutos de inatividade)
 Especifique um tempo em minutos após o qual um código de acesso ou um PIN numérico (conforme configurado) substitui a utilização de um biométrico. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)".

Valor predefinido = 30
    Biometria de classe 3 (Android 9.0+)
 Selecione Exigir para exigir que o utilizador inicie sessão com biometria de classe 3. Para obter mais informações sobre a biometria da classe 3, veja Biomettrics na documentação da Google.
    Substituir biometria com PIN após atualizações biométricas
 Selecione Exigir para substituir a utilização de biometria com PIN quando for detetada uma alteração na biometria.

OBSERVAÇÃO:
Esta definição só entra em vigor depois de uma biométrica ter sido utilizada para aceder à aplicação. Consoante o fabricante do dispositivo Android, nem todas as formas de biometria podem ser suportadas para operações criptográficas. Atualmente, as operações criptográficas são suportadas para qualquer biometria (por exemplo, impressão digital, íris ou rosto) no dispositivo que cumpra ou exceda os requisitos de biometria de Classe 3, conforme definido na documentação do Android. Veja a BIOMETRIC_STRONG constante da interface BiometricManager.Authenticators e o authenticate método da classe BiometricPrompt . Poderá ter de contactar o fabricante do dispositivo para compreender as limitações específicas do dispositivo.
    Redefinir PIN após número de dias
 Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias.

Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária.

Valor predefinido = Não
      Número de dias
 Configure o número de dias antes que a redefinição do PIN seja necessária.

Valor predefinido = 90
    Selecionar o número de valores de PIN anteriores a manter
 Esta definição especifica o número de PINs anteriores que Intune mantém. Os novos PINs têm de ser diferentes dos que Intune mantém.

Valor predefinido = 0
    PIN do aplicativo quando o PIN do dispositivo for gerenciado
 Selecione Não necessário para desativar o PIN da aplicação quando for detetado um bloqueio de dispositivo num dispositivo inscrito com Portal da Empresa configurado.

Valor predefinido = Exigir.
Credenciais de conta corporativa ou de estudante para acesso Selecione Exigir para exigir que o utilizador inicie sessão com a respetiva conta escolar ou profissional em vez de introduzir um PIN para acesso à aplicação. Quando definido como Exigir e os pedidos de PIN ou biométricos estiverem ativados, são apresentadas as credenciais empresariais e o PIN ou os pedidos biométricos.

Valor predefinido = Não necessário
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure a seguinte definição:
  • Tempo limite: esta definição é o número de minutos antes de os requisitos de acesso (definidos anteriormente na política) serem novamente verificados. Por exemplo, um administrador ativa o PIN e Bloqueia dispositivos rooting na política, um utilizador abre uma aplicação gerida Intune, tem de introduzir um PIN e tem de estar a utilizar a aplicação num dispositivo nãorotado. Ao utilizar esta definição, o utilizador não terá de introduzir um PIN ou submeter-se a outro marcar de deteção de raiz em qualquer aplicação gerida Intune durante um período de tempo igual ao valor configurado.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor predefinido = 30 minutos

    Nota: No Android, o PIN é partilhado com todas as aplicações geridas Intune. O temporizador do PIN é reposto assim que a aplicação sair do primeiro plano do dispositivo. O utilizador não terá de introduzir um PIN em nenhuma aplicação gerida Intune que partilhe o PIN durante o tempo limite definido nesta definição.

Observação

Para saber mais sobre como várias definições de proteção de aplicações Intune configuradas na secção Access para o mesmo conjunto de aplicações e utilizadores funcionam no Android, veja Intune perguntas mais frequentes sobre MAM e Eliminar dados seletivamente através de ações de acesso da política de proteção de aplicações no Intune.

Inicialização condicional

Configure as definições de iniciação condicional para definir os requisitos de segurança de início de sessão para a política de proteção de aplicações.

Por predefinição, são fornecidas várias definições com valores e ações pré-configurados. Pode eliminar algumas definições, como a versão mínima do SO. Também pode selecionar mais definições na lista pendente Selecionar uma .

Condições da aplicação

Setting Como usar
Máximo de tentativas de PIN Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o utilizador não conseguir introduzir o PIN após as tentativas máximas de PIN, o utilizador terá de repor o pin depois de iniciar sessão com êxito na conta e concluir um desafio de autenticação multifator (MFA), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo.

Ações incluem:

  • Redefinir o PIN – o usuário precisa redefinir o PIN.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Valor padrão = 5
Período de cortesia offline O número de minutos em que as aplicações geridas podem ser executadas offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente.

Ações incluem:

  • Bloquear o acesso (minutos) – o número de minutos em que as aplicações geridas podem ser executadas offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Após este período expirar, a aplicação requer a autenticação do utilizador para Microsoft Entra ID para que a aplicação possa continuar a ser executada.

    Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor predefinido = 1440 minutos (24 horas)

    Nota: Configurar o temporizador do período de tolerância Offline para bloquear o acesso para ser inferior ao valor predefinido pode resultar em interrupções mais frequentes do utilizador à medida que a política é atualizada. Escolher um valor inferior a 30 minutos não é recomendado, uma vez que pode resultar em interrupções do utilizador em cada início ou currículo da aplicação.
  • Apagar dados (dias) – após estes dias (definidos pelo administrador) de execução offline, a aplicação requer que o utilizador se ligue à rede e reautentica. Se o utilizador se autenticar com êxito, pode continuar a aceder aos respetivos dados e o intervalo offline é reposto. Se o utilizador não conseguir autenticar-se, a aplicação efetua uma eliminação seletiva da conta e dos dados do utilizador. Para obter mais informações, veja How to wipe only corporate data from Intune-managed apps (Como eliminar apenas dados empresariais de aplicações geridas por Intune). Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 90 dias
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo.

Ações incluem:

  • Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de controle de versão diferentes entre si, crie uma política com uma versão mínima de aplicativo que direciona um aplicativo (por exemplo, política de versão do Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Além disso, pode configurar onde os utilizadores finais podem obter uma versão atualizada de uma aplicação de linha de negócio (LOB). Os utilizadores finais veem isto na caixa de diálogo de início condicional da versão mínima da aplicação , que pede aos utilizadores finais que atualizem para uma versão mínima da aplicação LOB. No Android, esta funcionalidade utiliza o Portal da Empresa. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define qual o arquivo a partir do qual o utilizador final transfere a aplicação. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa.
Conta desabilitada Não existe nenhum valor a definir para esta definição.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador está bloqueado porque a conta foi desativada.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Tempo de descanso Não existe nenhum valor a definir para esta definição.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador é bloqueado porque a conta de utilizador associada à aplicação está em tempo de descanso.
  • Avisar – o utilizador vê uma notificação se a conta de utilizador associada à aplicação estiver em tempo de descanso. A notificação pode ser dispensada.
Nota: esta definição só tem de ser configurada se o inquilino tiver sido integrado com a API de Tempo Útil. Para obter mais informações sobre como integrar esta definição com a API de Tempo Útil, consulte Limitar o acesso ao Microsoft Teams quando os trabalhadores de primeira linha estão fora do turno. Configurar esta definição sem integrar com a API de Tempo Útil pode fazer com que as contas possam ser bloqueadas devido à falta de tempo útil status para a conta gerida associada à aplicação.

As seguintes aplicações suportam esta funcionalidade com Portal da Empresa v5.0.5849.0 ou posterior:

  • Teams para Android v1416/1.0.0.2023226005 (2023226050) ou posterior
  • Microsoft Edge para Android v125.0.2535.96 ou posterior

Condições do dispositivo

Setting Como usar
Dispositivos com jailbreak/desbloqueados por rooting Especifique se pretende bloquear o acesso ao dispositivo ou apagar os dados do dispositivo para dispositivos desbloqueados por jailbreak/rooting. Ações incluem:
  • Bloquear acesso – impeça que esse aplicativo seja executado em dispositivos com jailbreak ou desbloqueados por rooting. O utilizador continua a poder utilizar esta aplicação para tarefas pessoais, mas tem de utilizar um dispositivo diferente para aceder aos dados escolares ou profissionais nesta aplicação.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Versão mínima do sistema operacional Especifique um sistema operativo Android mínimo necessário para utilizar esta aplicação. As versões do SO abaixo da versão mínima do SO especificada acionam as ações. Ações incluem:
  • Avisar – o utilizador vê uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão máxima do sistema operacional Especifique um sistema operativo Android máximo necessário para utilizar esta aplicação. As versões do SO abaixo da versão máxima do SO especificada acionam as ações. Ações incluem:
  • Avisar – o utilizador vê uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão mínima do patch Exigir que os dispositivos tenham um patch de segurança android mínimo lançado pela Google.
  • Avisar – o utilizador vê uma notificação se a versão do Android no dispositivo não cumprir os requisitos. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se a versão do Android no dispositivo não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Esta definição de política suporta o formato de data AAAA-MM-DD.
Fabricantes de dispositivos Especifique uma lista separada por ponto e vírgula de fabricantes. Estes valores não são sensíveis a maiúsculas e minúsculas. Ações incluem:
  • Permitir especificado (Bloquear não especificado) – apenas os dispositivos que correspondam ao fabricante especificado podem utilizar a aplicação. Todos os outros dispositivos estão bloqueados.
  • Permitir especificado (apagamento não especificado) – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como aplicar essa configuração, confira o tópico Ações de inicialização condicional.
Reproduzir veredicto de integridade Proteção de aplicativos políticas suportam algumas das APIs de Integridade do Google Play. Esta definição, em particular, configura a Integridade de Reprodução da Google marcar em dispositivos de utilizador final para validar a integridade desses dispositivos. Especifique integridade básica ou Integridade básica e integridade do dispositivo.

A integridade básica informa-o sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. Integridade básica & dispositivos certificados informa-o sobre a compatibilidade do dispositivo com os serviços da Google. Apenas os dispositivos não modificados certificados pela Google podem passar este marcar.

Se selecionar Reproduzir veredicto de integridade conforme necessário para o lançamento condicional, pode especificar que um marcar de integridade forte é utilizado como o tipo de avaliação. A presença de uma integridade forte marcar, uma vez que o tipo de avaliação indica uma maior integridade de um dispositivo. A política de MAM bloqueia dispositivos que não suportam verificações de integridade fortes se forem visados por esta definição. A forte integridade marcar fornece uma deteção de raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detetados de forma fiável por uma solução apenas de software. Na APLICAÇÃO, o atestado de hardware é ativado ao definir o tipo de avaliação de veredicto de integridade de reprodução como Verificar a integridade forte assim que o veredicto da integridade da reprodução estiver configurado e o tipo de avaliação Required SafetyNet para uma integridade forte marcar assim que a integridade do dispositivo marcar estiver configurada. O atestado com suporte para hardware utiliza um componente baseado em hardware que foi enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala.

Importante: Os dispositivos que não suportam este tipo de avaliação são bloqueados ou apagados com base na ação marcar integridade do dispositivo. As organizações que gostariam de utilizar esta funcionalidade precisam de garantir que os utilizadores têm dispositivos suportados. Para obter mais informações sobre os dispositivos recomendados da Google, consulte Requisitos recomendados do Android Enterprise.

Ações incluem:

  • Avisar – o utilizador vê uma notificação se o dispositivo não cumprir a integridade do dispositivo da Google marcar com base no valor configurado. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se o dispositivo não cumprir a integridade do dispositivo da Google marcar com base no valor configurado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para perguntas mais frequentes relacionadas com esta definição, veja Perguntas mais frequentes sobre a MAM e a proteção de aplicações.
Exigir análise de ameaças nas aplicações Proteção de aplicativos políticas suportam algumas das APIs do Google Play Protect. Esta definição, em particular, garante que a análise verificar aplicações da Google está ativada para dispositivos de utilizador final. Se estiver configurado, o acesso do utilizador final é bloqueado até ativar a análise de aplicações da Google no respetivo dispositivo Android. Ações incluem:
  • Avisar – o utilizador vê uma notificação se a análise verificar aplicações da Google no dispositivo não estiver ativada. Essa notificação pode ser descartada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se a análise verificar aplicações da Google no dispositivo não estiver ativada.
Os resultados da análise Verificar Aplicações da Google são apresentados no relatório Aplicações Potencialmente Prejudiciais na consola do .
Tipo de avaliação SafetyNet necessário O atestado com suporte de hardware melhora o serviço de atestado SafetyNet existente marcar. Pode definir o valor como Chave suportada por hardware depois de definir o atestado de dispositivo SafteyNet.
Exigir bloqueio do dispositivo Esta definição determina se o dispositivo Android tem um PIN de dispositivo que cumpre o requisito mínimo de palavra-passe. A política de Proteção de aplicativos pode tomar medidas se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.

Os valores incluem:

  • Baixa Complexidade
  • Complexidade Média
  • Elevada Complexidade

Este valor de complexidade destina-se ao Android 12+. Para dispositivos que operam no Android 11 e anterior, definir um valor de complexidade de predefinições baixas, médias ou altas para o comportamento esperado para Baixa Complexidade. Para obter mais informações, veja a documentação do programador da Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH.

Ações incluem:

  • Avisar – o utilizador vê uma notificação se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe. A notificação pode ser dispensada.
  • Bloquear o acesso – o acesso do utilizador é bloqueado se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.
  • Apagar dados – a conta de utilizador associada à aplicação é eliminada do dispositivo se o bloqueio do dispositivo não cumprir o requisito mínimo de palavra-passe.
Versão mínima Portal da Empresa Ao utilizar a versão min Portal da Empresa, pode especificar uma versão definida mínima específica do Portal da Empresa que é imposta num dispositivo de utilizador final. Esta definição de iniciação condicional permite-lhe definir valores para Bloquear acesso, Eliminar dados e Avisar as ações possíveis quando cada valor não for cumprido. Os formatos possíveis para este valor seguem o padrão [Major].[ Menor], [Major].[ Menor]. [Build], or [Major].[ Menor]. [Build]. [Revisão].

Nota: O suporte para android Portal da Empresa versões anteriores à 5.0.5421.0 terminou a 1 de outubro de 2025.

Dado que alguns utilizadores finais podem não preferir uma atualização forçada de aplicações no local, a opção "avisar" pode ser ideal para configurar esta definição. A Google Play Store faz um bom trabalho ao enviar apenas bytes delta para atualizações de aplicações, mas ainda pode ser uma grande quantidade de dados que o utilizador poderá não querer utilizar se estiver a utilizar dados no momento da atualização. Forçar uma atualização e, assim, transferir uma aplicação atualizada pode resultar em custos de dados inesperados no momento da atualização. Para obter mais informações, consulte Definições de política do Android.
Duração máxima da versão Portal da Empresa (dias) Pode definir um número máximo de dias como a idade da versão de Portal da Empresa (CP) para dispositivos Android. Esta definição garante que os utilizadores finais estão dentro de um determinado intervalo de versões da CP (em dias). O valor tem de estar entre 0 e 365 dias. Quando a definição para os dispositivos não é cumprida, a ação para esta definição é acionada. As ações incluem Bloquear acesso, Apagar dados ou Avisar. Para obter informações relacionadas, veja Definições de política do Android. Nota: A idade da Portal da Empresa é determinada pelo Google Play no dispositivo do utilizador final.
Atestado de dispositivo Samsung Knox Especifique se o atestado do dispositivo Samsung Knox marcar é necessário. Apenas os dispositivos não modificados que tenham sido verificados pela Samsung podem passar este marcar. Para obter a lista de dispositivos suportados, consulte samsungknox.com.

Ao utilizar esta definição, Microsoft Intune também verifica a comunicação do Portal da Empresa para o serviço Intune foi enviado a partir de um dispositivo em bom estado de funcionamento.

Ações incluem:
  • Avisar – o utilizador vê uma notificação, se o dispositivo não cumprir o atestado de dispositivos Samsung Knox marcar. Esta notificação pode ser dispensada em dispositivos Samsung suportados.
  • Bloquear o acesso – a conta de utilizador está bloqueada de acesso, se o dispositivo não cumprir o atestado de dispositivo Knox da Samsung marcar.
  • Apagar dados – a conta de utilizador associada à aplicação é eliminada do dispositivo, se o dispositivo não cumprir o atestado do dispositivo Samsung Knox marcar.
  • Bloquear o acesso em dispositivos suportados – a conta de utilizador está bloqueada de acesso se um dispositivo Samsung com o Android 15 com a One UI 7.0 ou superior não cumprir o atestado de dispositivos Knox da Samsung marcar. Os dispositivos Samsung em execução em DISPOSITIVOS mais antigos ou dispositivos de outro fabricante não são afetados por esta opção.

Nota: Tenha em atenção ao selecionar as ações "Avisar", "Bloquear acesso" e "Apagar Dados":

  • Estas definições aplicam-se a todos os dispositivos visados Samsung e outros fabricantes.
  • Em dispositivos não Samsung, os utilizadores não podem aceitar os termos de serviço do Knox e estão bloqueados. Utilize filtros de atribuição de "Aplicações geridas" para direcionar apenas dispositivos Samsung suportados. Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.
  • Os dispositivos Samsung com as versões One UI 7.0 ou anterior exigem que os utilizadores aceitem os termos do Samsung Knox antes de o atestado do dispositivo marcar poder ser executado. Se não for aceite, ocorrerá a ação especificada.
Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador será bloqueado se o nível de ameaça determinado pela aplicação de fornecedor da Defesa Contra Ameaças para Dispositivos Móveis (MTD) escolhida no dispositivo de utilizador final não cumprir este requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como utilizar esta definição, consulte Ativar o conector de Defesa Contra Ameaças para Dispositivos Móveis no Intune para dispositivos não inscritos.
Serviço MTD principal Se tiver configurado vários conectores Intune MTD, especifique a aplicação principal do fornecedor mtd que deve ser utilizada no dispositivo do utilizador final.

Os valores incluem:

  • Microsoft Defender para Ponto de Extremidade - se o conector MTD estiver configurado, especifique Microsoft Defender para Ponto de Extremidade forneça as informações do nível de ameaça do dispositivo.
  • Defesa Contra Ameaças para Dispositivos Móveis (Não Microsoft) – se o conector MTD estiver configurado, especifique o MTD não Microsoft que fornece as informações de nível de ameaça do dispositivo.

Tem de configurar a definição "Nível máximo de ameaça de dispositivo permitido" para utilizar esta definição.

Não existem Ações para esta definição.
  • Last updated on