Partilhar via

Gerir IA no Android com Intune – Um Guia para Administradores de TI

No Microsoft Intune, pode gerir e restringir a utilização de IA geradora em dispositivos Android inscritos no Intune. Pode bloquear (ou permitir) aplicações de IA, sites, experiências condicionadas por ecrã, serviços de IA no dispositivo e funcionalidades de IA específicas do OEM.

Este artigo lista as diferentes formas como as experiências de IA podem estar disponíveis em dispositivos Android e como pode utilizar Intune para bloquear estas experiências.

Quando utiliza os passos neste guia, pode gerir e restringir as experiências de IA nos seus dispositivos Android.

Aplicável a:

  • Android Enterprise

Pré-requisitos

Requisitos da plataforma de dispositivos

Os administradores de TI e os engenheiros de segurança podem permitir/bloquear a IA geradora nos seguintes tipos de inscrição do Android:

  • Dispositivos totalmente geridos (COBO) pertencentes à empresa Android Enterprise
  • Dispositivos Android Enterprise dedicados de propriedade corporativa (COSU)
  • Dispositivos pertencentes à empresa Android Enterprise com um perfil de trabalho (COPE)
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho (BYOD)

Para saber mais sobre as diferentes opções de inscrição do Android, consulte o Guia de inscrição do Android.

Requisitos de configuração do dispositivo

  • Dispositivos inscritos no Intune, incluindo dispositivos cogeridos
  • Conta do Managed Google Play associada no centro de administração do Intune (Dispositivos > Android > Enrollment > Managed Google Play)

Requisitos de funções

Para configurar as políticas, utilize uma conta com a seguinte função:

Antes de começar

  • Quando cria as políticas de IA, pode atribuí-las aos grupos Todos os Utilizadores e Todos os Dispositivos . Embora esta atribuição seja a abordagem mais simples, pode direcionar as suas políticas para utilizadores e dispositivos específicos.

    Para saber mais, confira:

  • Para dispositivos pertencentes à empresa com um perfil de trabalho (COPE) e dispositivos pessoais com um perfil de trabalho (BYOD), a maioria dos controlos só está disponível no perfil de trabalho. Não estão disponíveis no perfil pessoal.

  • Os passos neste guia mostram-lhe como bloquear experiências de IA. Se quiser permitir experiências de IA específicas, pode utilizar os mesmos passos, mas configurá-los para permitir em vez de bloquear.

  • Quando cria uma política e a atribui, os dispositivos recebem a política da próxima vez que marcar com Intune. Para saber mais, veja Intune intervalos de atualização da política.

Como a IA aparece no Android

Em dispositivos Android, a IA está disponível de várias formas:

  • Aplicações de IA – as aplicações autónomas, como ChatGPT, Microsoft Copilot e Perplexidade, podem ser transferidas e utilizadas nos dispositivos.
  • Sites de IA – os utilizadores podem aceder a sites de IA através de aplicações de browser, como o Microsoft Edge e o Chrome.
  • Experiências baseadas no ecrã e no Assistente – as funcionalidades integradas no SO que leem conteúdos no ecrã (como a Circle to Search) ou fornecem assistente ajuda são normalmente instaladas e disponíveis por predefinição.
  • Serviços de IA no dispositivo – o Android pode executar o modelo fundamental Gemini Nano no dispositivo localmente com o AICore. Aplicações como Mensagens, Gravador ou GBoard utilizam Gemini Nano para responder a mensagens, gerar resumos e sugerir respostas inteligentes.
  • Serviços de IA específicos do OEM – os OEMs podem implementar as suas próprias capacidades de IA, como o Galaxy AI da Samsung.

Bloquear aplicações de IA

Objetivo – Os utilizadores finais não podem instalar aplicações de IA a partir da Google Play Store

As aplicações de IA como ChatGPT, Copilot, Perplexity e Claude podem ser instaladas a partir da Google Play Store. Pode utilizar Intune para impedir que estas aplicações sejam instaladas nos seus dispositivos.

Tipos de inscrição suportados:

  • Dispositivos totalmente geridos pela empresa (COBO)
  • Dispositivos dedicados pertencentes à empresa (COSU)
  • Dispositivos pertencentes à empresa com um perfil de trabalho (COPE)

Passo 1 – Determinar a estratégia da aplicação

Determine a estratégia de aplicação da sua organização – Bloquear ou Permitir:

  • Estratégia de bloqueio – nenhuma aplicação na Google Play Store pode ser transferida, a menos que seja atribuída por administradores. Apenas as aplicações atribuídas estão disponíveis no dispositivo.

    Esta estratégia é a predefinição para dispositivos pertencentes à empresa.

  • Estratégia de permissão – todas as aplicações podem ser transferidas, a menos que sejam especificamente bloqueadas pelos administradores.

    Se a seguinte definição estiver definida como Permitir num perfil de configuração de restrições de dispositivos, é provável que a sua organização esteja a utilizar uma estratégia Permitir. Esta definição permite que as aplicações especificadas não administrativas sejam transferidas:

    • Dispositivos>Android Enterprise>Configuração>Criar>Nova Política>Modelos>Restrições de Dispositivos>Aplicações>Permitir o acesso a todas as aplicações na Google Play Store

Passo 2 – Implementar a sua estratégia de aplicação

Neste passo, implemente a sua estratégia de aplicação para bloquear ou permitir aplicações de IA.

Estratégia de bloqueio (predefinição)

Com uma estratégia bloquear, nenhuma aplicação na Google Play Store pode ser transferida, a menos que seja explicitamente permitido. Utilize os seguintes passos para se certificar de que a aplicação que pretende bloquear ainda não está implementada nos seus dispositivos.

  1. No centro de administração do Intune, aceda a Aplicações aplicações > Android > Android.
  2. Selecione o nome > da aplicação Propriedades.
  3. Certifique-se de que a opção Atribuições não está definida como Obrigatório, não está definida como Disponível para dispositivos inscritos ou não está definida como Disponível com ou sem inscrição.

Se todas estas opções não estiverem definidas, a aplicação não foi implementada por uma política de Intune. Se alguma destas opções estiver definida, a aplicação será implementada. Neste cenário, pode alterar a atribuição para Desinstalar para removê-la dos dispositivos.

Permitir estratégia

Com uma estratégia Permitir, todas as aplicações na Google Play Store podem ser transferidas.

  1. Determine se a definição Permitir acesso a todas as aplicações na Google Play Store está definida para permitir.

    Se utilizar o Copilot, pode pedir ao Copilot para marcar esta definição por si. Também pode criar um novo perfil de restrições de dispositivos para configurar esta definição.

    1. No centro de administração do Intune, aceda aConfiguração>de Dispositivos>Criar>Nova Política

    2. Configure as seguintes propriedades e selecione Criar:

      • Plataforma: selecione Android Enterprise.
      • Tipo de perfil: selecione Modelos Totalmente Geridos>, Dedicados e Corporate-Ownedrestrições de Dispositivos de Perfil > de Trabalho.

    3. Expanda a categoria Aplicações e defina a definição Permitir acesso a todas as aplicações na Google Play Store como Permitir.

    4. Selecione Seguinte e continue a criar o perfil. Para obter instruções passo a passo, consulte Criar perfis de dispositivo.

  2. Adicione as aplicações que pretende bloquear.

    Quando forem adicionadas a Intune, pode bloquear as aplicações. Em seguida, são consideradas aplicações geridas.

    1. No centro de administração do Intune, aceda a Aplicações > Android > Criar > aplicação Google Play Gerida.
    2. Selecione a aplicação de IA que pretende bloquear >a Sincronização.
    3. Em Aplicações >> Android Aplicações Android, certifique-se de que a aplicação é apresentada na lista. A sincronização pode demorar alguns minutos.

  3. Bloqueia aplicações específicas ao atribuí-las para Desinstalar:

    Se as aplicações já estiverem instaladas em dispositivos, atribuí-las para Desinstalar remove-as dos dispositivos.

    1. No centro de administração do Intune, aceda a Aplicações aplicações > Android > Android.
    2. Selecione a aplicação de IA que pretende desinstalar >Propriedades.
    3. Selecione Editar Tarefas>.
    4. Em Desinstalar, adicione um grupo, utilizadores ou dispositivos.

Bloquear Sites de IA

Objetivo – Bloquear sites de IA em aplicações de browser

Pode utilizar Intune políticas de configuração de aplicações para bloquear o acesso a sites de IA em aplicações de browser, como o Microsoft Edge e o Chrome. Apenas os sites introduzidos são bloqueados. Por isso, também pode utilizar esta abordagem para permitir apenas sites de IA específicos. Se utilizar vários browsers, terá de criar uma política separada para cada aplicação de browser.

Tipos de inscrição suportados:

  • Dispositivos totalmente geridos pela empresa (COBO)
  • Dispositivos dedicados pertencentes à empresa (COSU)
  • Dispositivos pertencentes à empresa com um perfil de trabalho (COPE)
  • Dispositivos pessoais com um perfil de trabalho (BYOD)

Passo 1 – Adicionar o browser como uma aplicação gerida

Para configurar as definições do browser, primeiro tem de adicionar a aplicação do browser ao Intune para que se torne uma aplicação gerida.

Para obter os passos, consulte:

Passo 2 – Criar uma política de configuração de aplicações

Utilize os seguintes passos para criar uma política de configuração de aplicações que configure a sua aplicação de browser para bloquear o acesso aos sites de IA introduzidos.

  1. No centro de administração do Intune, aceda a Configuração > de Aplicações > Criar > dispositivos geridos.

  2. No básico, configure as seguintes propriedades:

    • Nome: introduza um nome para a política, como Bloquear Sites de IA no Edge.

    • Plataforma: selecione Android Enterprise.

    • Tipo de perfil: selecione o tipo de inscrição:

      • Totalmente Gerido, Dedicado e Apenas Perfil de Trabalho Corporate-Owned
      • Dispositivos de Perfil de Trabalho Pessoal

    • Aplicação de destino: selecione a aplicação do browser que adicionou, como o Microsoft Edge ou o Chrome.

  3. Selecione Avançar.

  4. Em Definições> Formato dasdefinições de configuração, selecione Introduzir dados JSON. Introduza a lista de URLs a bloquear. Por exemplo, digite:

    {
  "key": "URLBlocklist",
  "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ]
}

  5. Selecione Seguinte e continue a criar a política. Para obter instruções passo a passo, consulte Adicionar Políticas de Configuração de Aplicativos para Dispositivos Android Enterprise Geridos.

Bloquear experiências de IA Screen-Driven

Objetivo – Bloquear funcionalidades que podem ler conteúdo no ecrã

As funcionalidades de IA podem ler conteúdo no ecrã e fornecer informações & recomendações de capturas de ecrã e conteúdos apresentados no ecrã. Algumas destas funcionalidades estão incorporadas no SO, como a Circle to Search e outras são fornecidas por aplicações assistente.

Para bloquear estas funcionalidades, pode utilizar Intune para restringir as capacidades de captura de ecrã e bloquear a partilha de conteúdos com aplicações com privilégios.

Tipos de inscrição suportados:

  • Dispositivos totalmente geridos pela empresa (COBO)
  • Dispositivos dedicados pertencentes à empresa (COSU)

Passo 1 – Implementar a Cobertura Básica

Este passo cria uma política de catálogo de definições que configura a definição Bloquear ajuda na partilha de conteúdos com aplicações privilegiadas .

Esta definição bloqueia o envio de conteúdos de assistência, como capturas de ecrã e detalhes da aplicação, para uma aplicação com privilégios, como uma aplicação assistente. A definição pode ser utilizada nas capacidades de IA do Android, como Círculo para Procurar. Esta definição não afeta as capacidades gerais de captura de ecrã.

  1. No Intune centro de administração, aceda a Configuração > de Dispositivos > Criar > Nova política.

  2. Insira as seguintes propriedades:

    • Plataforma: selecione Android Enterprise.
    • Tipo de perfil: selecione Catálogo de definições.

  3. Selecione Criar.

  4. Em Noções básicas, introduza um Nome para o perfil e selecione Seguinte.

  5. Selecione Adicionar definições.

  6. Selecione a definição >Categoria geralBloquear ajuda na partilha de conteúdos com aplicações privilegiadas. Defina o respetivo valor como Verdadeiro.

  7. Selecione Seguinte e continue a criar o perfil. Para obter instruções passo a passo, veja Utilizar o catálogo de definições de Intune para configurar as definições.

Passo 2 – Implementar Uma Cobertura Abrangente (Opcional)

Para uma proteção mais abrangente, também pode restringir as capacidades de captura de ecrã e outras funcionalidades ao bloquear capturas de ecrã.

Esta definição impede que as funcionalidades de IA acedam ao conteúdo no ecrã, mas também desativa capturas de ecrã em todo o dispositivo.

  1. No Intune centro de administração, aceda a Configuração > de Dispositivos > Criar > Nova política.

  2. Insira as seguintes propriedades:

    • Plataforma: selecione Android Enterprise.
    • Tipo de perfil: selecione Catálogo de definições.

  3. Selecione Criar.

  4. Em Noções básicas, introduza um Nome para o perfil e selecione Seguinte.

  5. Selecione Adicionar definições.

  6. Selecione a definição Captura de ecrã de bloco categoria > Geral. Defina o respetivo valor como Verdadeiro.

    Esta definição impede que as funcionalidades de IA acedam ao conteúdo no ecrã. Os utilizadores finais não podem efetuar capturas de ecrã no dispositivo.

  7. Selecione Seguinte e continue a criar o perfil. Para obter instruções passo a passo, veja Utilizar o catálogo de definições de Intune para configurar as definições.

Desativar a aplicação do sistema de IA no dispositivo

Objetivo – Bloquear o processamento de IA local da Google

Gemini Nano é o modelo de base no dispositivo da Google e processa interações de IA no dispositivo. Permite capacidades de resposta de mensagens e resumo de IA em Mensagens, Gravador, GBoard e outros serviços. Pode utilizar Intune para desativar a aplicação de sistema AICore.

Tipos de inscrição suportados:

  • Dispositivos totalmente geridos pela empresa (COBO)
  • Dispositivos dedicados pertencentes à empresa (COSU)
  • Dispositivos pertencentes à empresa com um perfil de trabalho (COPE)
  • Dispositivos pessoais com um perfil de trabalho (BYOD)

Utilize os seguintes passos para desativar a aplicação de sistema AICore.

  1. No centro de administração do Intune, selecione Aplicações > Que o Android > Criar.

  2. Em Selecionar tipo de aplicação, selecione Outra > aplicação de sistema Android Enterprise e, em seguida, selecione Selecionar.

  3. Em Informações da aplicação, configure as seguintes propriedades e, em seguida, selecione Seguinte:

    • Nome: introduza AICore.
    • Publicador: introduza Google Android.
    • Nome do Pacote: introduza com.google.android.aicore.

  4. Em Marcas de escopo, selecione Avançar.

  5. Em Atribuições Desinstalar>, selecione as atribuições de grupo para a aplicação. Quando seleciona Desinstalar, a aplicação é desativada.

    Selecione Avançar.

  6. Em Rever + criar, reveja os valores e definições que introduziu para a aplicação. Quando terminar, selecione Criar.

Desativar as Capacidades de IA do OEM-Specific

Objetivo – Desativar as funcionalidades de IA fornecidas pelo OEM

Os OEMs podem incluir as suas próprias funcionalidades e capacidades de IA no dispositivo, como as experiências do Samsung Galaxy AI através do Plug-in do Serviço Knox. Normalmente, estas funcionalidades são geridas através da aplicação OEMConfig do OEM. Com Intune, pode configurar a aplicação OEMConfig para gerir estas funcionalidades de IA.

Para configurar a aplicação OEMConfig, tem de saber as definições de IA disponíveis na aplicação. Contacte os OEMs para obter uma lista dos controlos de IA disponíveis nas respetivas aplicações OEMConfig.

Para obter uma lista das aplicações OEMConfig suportadas, veja OEMConfig no Intune – Aplicações OEMConfig suportadas.

Tipos de inscrição suportados:

  • Dispositivos totalmente geridos pela empresa (COBO)
  • Dispositivos dedicados pertencentes à empresa (COSU)
  • Dispositivos pertencentes à empresa com um perfil de trabalho (COPE)
  • Dispositivos pessoais com um perfil de trabalho (BYOD)

Utilize os seguintes passos para adicionar, implementar e configurar a aplicação OEMConfig e as respetivas capacidades de IA.

Passo 1 – Adicionar a aplicação OEMConfig

  1. No centro de administração do Intune, aceda a Aplicações > Android > Criar > aplicação > Google Play Gerida Selecione.
  2. Selecione a aplicação OEMConfig que pretende configurar.
  3. Selecione Selecionar>Sincronização.

Certifique-se de que a aplicação é apresentada na lista (Aplicações android > aplicações Android>). A sincronização pode demorar alguns minutos.

Passo 2 – Implementar a aplicação OEMConfig

  1. No centro de administração do Intune, aceda a Aplicações aplicações > Android > Android.

  2. Selecione a aplicação OEMConfig que adicionou.

  3. SelecioneAtribuições de Propriedades>>Editar.

  4. Adicione o seu grupo e/ou utilizadores às seguintes Atribuições:

    • Obrigatório
    • Disponível para dispositivos registrados
    • Disponível com ou sem inscrição

  5. Reveja e guarde as alterações.

Passo 3 – Configurar a aplicação OEMConfig

  1. No centro de administração do Intune, aceda a Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política.

  2. Insira as seguintes propriedades:

    • Plataforma: selecione Android Enterprise.
    • Tipo de perfil: selecione Modelos > OEMConfig.

  3. Selecione Criar.

  4. No básico, configure as seguintes propriedades e, em seguida, selecione Seguinte:

    • Nome: introduza um nome para o perfil.
    • Aplicação OEMConfig: selecione a aplicação OEMConfig que adicionou e atribuiu.

  5. Em Definições de configuração, selecione Estruturador de configuração ou editor JSON para configurar as definições disponíveis na aplicação OEMConfig. Se selecionar Estruturador de configuração, poderá utilizar a caixa de pesquisa Localizar para encontrar definições relacionadas com IA.

    As definições disponíveis dependem da aplicação OEMConfig que selecionar. Contacte o seu OEM para obter uma lista dos controlos de IA disponíveis nas respetivas aplicações OEMConfig.

  6. Selecione Seguinte e continue a criar o perfil. Para obter instruções passo a passo, consulte Utilizar e gerir dispositivos Android Enterprise com o OEMConfig.

    Certifique-se de que atribui o perfil aos mesmos grupos e/ou utilizadores aos quais atribuiu a aplicação OEMConfig.

Conteúdo relacionado

  • Last updated on