Configurações de conformidade do dispositivo para administrador de dispositivo Android no Intune

Este artigo lista as configurações de conformidade que você pode configurar em dispositivos de administrador de dispositivos Android no Intune. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para marcar dispositivos enraizados como não compatíveis, definir um nível de ameaça permitido, habilitar o Google Play Protect e muito mais.

Para obter assistência na configuração da política de conformidade, consulte Usar políticas de conformidade para definir regras para dispositivos que você gerencia com o Intune.

Esse recurso aplica-se a:

• Administrador de dispositivo Android

Como administrador do Intune, use essas configurações de conformidade para ajudar a proteger seus recursos organizacionais. Para saber mais sobre políticas de conformidade e o que elas fazem, confira Introdução à conformidade do dispositivo.

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Antes de começar

Crie uma política de conformidade. Para Plataforma, selecione Administrador de dispositivo Android.

Microsoft Defender para Ponto de Extremidade

• Exigir que o dispositivo esteja na pontuação de risco do computador ou abaixo dela

  Selecione a pontuação máxima de risco de máquina permitida para dispositivos avaliados por Microsoft Defender para Ponto de Extremidade. Os dispositivos que excedem essa pontuação são marcados como não compatíveis.

  • Não configurado (padrão)
  • Clear
  • Baixo
  • Medium
  • High

Integridade do dispositivo

• Dispositivos gerenciados com o administrador do dispositivo
  Os recursos de administrador do dispositivo são substituídos pelo Android Enterprise.

  • Não configurado (padrão)
  • Bloquear – Bloquear o administrador do dispositivo orientará os usuários a migrar para o Android Enterprise Personally-Owned e Corporate-Owned gerenciamento do Perfil de Trabalho para recuperar o acesso.

• Dispositivos com root
  Impedir que dispositivos com raízes tenham acesso corporativo. (Esse marcar de conformidade tem suporte para Android 4.0 e superior.)

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Bloquear – Marque dispositivos com raízes como não compatíveis.

• Exigir que o dispositivo esteja no nível de ameaça do dispositivo ou abaixo dele
  Use essa configuração para fazer a avaliação de risco de um serviço de Defesa contra Ameaças Móveis conectado como condição para conformidade.

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Protegido – essa opção é a mais segura, pois o dispositivo não pode ter ameaças. Se o dispositivo for detectado com qualquer nível de ameaças, ele será avaliado como não compatível.
  • Baixo – o dispositivo é avaliado como compatível se apenas ameaças de baixo nível estiverem presentes. Qualquer coisa acima disso coloca o dispositivo no estado de não compatível.
  • Médio – o dispositivo é avaliado como compatível se as ameaças existentes no dispositivo forem de nível baixo ou médio. Se o dispositivo for detectado com ameaças de alto nível, ele será determinado como não compatível.
  • Alta – essa opção é a menos segura e permite todos os níveis de ameaça. Pode ser útil se você estiver usando essa solução apenas para fins de relatório.

Google Play Protect

Importante

Dispositivos que operam em países/regiões em que os Serviços Móveis do Google não estão disponíveis falharão nas avaliações de configuração da política de conformidade do Google Play Protect. Para obter mais informações, confira Gerenciando dispositivos Android em que os Serviços Móveis do Google não estão disponíveis.

• Google Play Services configurado
  Os serviços do Google Play permitem atualizações de segurança e é uma dependência de nível base para muitos recursos de segurança em dispositivos certificados do Google.

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – exija que o aplicativo de serviços do Google Play esteja instalado e habilitado.

• Provedor de segurança atualizado

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – exigir que um provedor de segurança atualizado possa proteger um dispositivo contra vulnerabilidades conhecidas.

• Verificação de ameaças em aplicativos

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – exigir que o recurso Aplicativos de Verificação do Android esteja habilitado.

  Observação

  Na plataforma Android herdada, esse recurso é uma configuração de conformidade. O Intune só pode marcar se essa configuração está habilitada no nível do dispositivo.

• Jogar veredicto de integridade
  Insira o nível de Integridade do Jogo do Google que deve ser atendido. Suas opções:

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Verificar a integridade básica
  • Verificar integridade básica & integridade do dispositivo

Observação

Para configurar as configurações do Google Play Protect usando políticas de proteção de aplicativo, consulte Configurações de política de proteção de aplicativo do Intune no Android.

Propriedades do Dispositivo

Versão do sistema operacional

• Versão mínima do SO
  Quando um dispositivo não atende ao requisito mínimo de versão do sistema operacional, ele é relatado como não compatível. Um link com informações sobre como atualizar é mostrado. O usuário final pode optar por atualizar seu dispositivo e, em seguida, obter acesso aos recursos da empresa.

  Por padrão, nenhuma versão está configurada.

• Versão máxima do SO
  Quando um dispositivo está usando uma versão do sistema operacional mais tarde do que a versão especificada na regra, o acesso aos recursos da empresa é bloqueado. O usuário deve entrar em contato com o administrador de TI. Até que uma regra seja alterada para permitir a versão do sistema operacional, esse dispositivo não poderá acessar recursos da empresa.

  Por padrão, nenhuma versão está configurada.

Segurança do Sistema

Criptografia

• Exigir criptografia do armazenamento de dados no dispositivo
  Com suporte no Android 4.0 e posterior, ou KNOX 4.0 e posterior.

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – Criptografar o armazenamento de dados em seus dispositivos. Os dispositivos são criptografados quando você escolhe a configuração Exigir uma senha para desbloquear dispositivos móveis .

Segurança do dispositivo

• Bloquear aplicativos de fontes desconhecidas
  Com suporte no Android 4.0 para Android 7.x. Não há suporte para Android 8.0 e posterior

  • Não configurada (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Bloquear – Bloquear dispositivos com fontes habilitadas para Fontes Desconhecidas de Segurança > (com suporte no Android 4.0 até Android 7.x. Não há suporte no Android 8.0 e posterior.).

  Para carregar aplicativos de carga lateral, fontes desconhecidas devem ser permitidas. Se você não estiver carregando aplicativos Android de lado, defina esse recurso como Bloquear para habilitar essa política de conformidade.

  Importante

  Aplicativos de carregamento lateral exigem que a configuração Bloquear aplicativos de fontes desconhecidas esteja habilitada. Imponha essa política de conformidade somente se você não estiver carregando aplicativos Android de lado em dispositivos.

• Integridade do runtime do aplicativo do portal da empresa

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.

  • Exigir – escolha Exigir para confirmar que o aplicativo Portal da Empresa atende a todos os seguintes requisitos:

    • Tem o ambiente de runtime padrão instalado
    • Está devidamente assinado
    • Não está no modo de depuração

• Bloquear depuração de USB no dispositivo
  (Com suporte no Android 4.2 ou posterior)

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Bloquear – impedir que os dispositivos usem o recurso de depuração USB.

• Nível mínimo do patch de segurança
  (Com suporte no Android 8.0 ou posterior)

  Selecione o nível de patch de segurança mais antigo que um dispositivo pode ter. Os dispositivos que não estão pelo menos neste nível de patch não são compatíveis. A data deve ser inserida no YYYY-MM-DD formato.

  Por padrão, nenhuma data está configurada.

• Aplicativos restritos
  Insira o nome do aplicativo e a ID do pacote de aplicativos para aplicativos que devem ser restritos e selecione Adicionar. Um dispositivo com pelo menos um aplicativo restrito instalado é marcado como não compatível.

Senha

As configurações disponíveis para senhas variam de acordo com a versão do Android no dispositivo.

Todos os dispositivos Android

As configurações a seguir têm suporte no Android 4.0 ou posterior e no Knox 4.0 e posterior.

• Máximo de minutos de inatividade antes que a senha seja exigida
  Essa configuração especifica o tempo sem entrada do usuário após o qual a tela do dispositivo móvel está bloqueada. As opções variam de 1 minuto a 8 horas. O valor recomendado é 15 Minutos.

  • Não configurado(padrão)

• Exigir uma senha para desbloquear os dispositivos móveis

  Essa configuração especifica se os usuários devem inserir uma senha antes que o acesso seja concedido a informações em seus dispositivos móveis. Valor recomendado: Obrigatório (esse marcar de conformidade tem suporte para dispositivos com versões do sistema operacional Android 4.0 e superior, ou KNOX 4.0 e superior.)

  • Não configurado(padrão)

Android 10 e posteriores

As configurações a seguir têm suporte no Android 10 ou posterior, mas não no Knox.

• Complexidade de senha
  Essa configuração tem suporte no Android 10 ou posterior, mas não no Samsung Knox. Em dispositivos que executam o Android 9 e anterior ou o Samsung Knox, as configurações para o comprimento da senha e o tipo substituem essa configuração para complexidade.

  Especifique a complexidade de senha necessária.

  • Nenhum(padrão) – nenhuma senha necessária.
  • Baixa – a senha atende a uma das seguintes condições:
    • Padrão
    • O PIN numérico tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468).
  • Médio – a senha atende a uma das seguintes condições:
    • O PIN numérico não tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468) e tem comprimento mínimo de 4.
    • Alfabético, com um comprimento mínimo de 4.
    • Alfanumérico, com um comprimento mínimo de 4.
  • Alta – a senha atende a uma das seguintes condições:
    • O PIN numérico não tem uma sequência repetida (4444) ou ordenada (1234, 4321, 2468) e tem comprimento mínimo de 8.
    • Alfabético, com um comprimento mínimo de 6.
    • Alfanumérico, com um comprimento mínimo de 6.

Android 9 e anterior ou Samsung Knox

As configurações a seguir têm suporte no Android 9.0 e anterior e em qualquer versão do Samsung Knox.

• Exigir uma senha para desbloquear os dispositivos móveis
  Essa configuração especifica se os usuários devem inserir uma senha antes que o acesso seja concedido a informações em seus dispositivos móveis. Valor recomendado: Exigir

  • Não configurado (padrão) – essa configuração não é avaliada para conformidade ou não conformidade.
  • Exigir – os usuários devem inserir uma senha antes de poderem acessar seu dispositivo.

  Quando definido como Obrigatório, a seguinte configuração pode ser configurada:

  Tipo de senha obrigatória
  Escolha se uma senha deve incluir apenas caracteres numéricos ou uma mistura de numerais e outros caracteres.

  • Padrão do dispositivo – para avaliar a conformidade com a senha, selecione uma força de senha diferente do padrão do dispositivo.
  • Biometria de baixa segurança
  • Pelo menos numérico
  • Complexo numérico – números repetidos ou consecutivos, como 1111 ou 1234, não são permitidos.
  • Pelo menos alfabético
  • Pelo menos alfanumérico
  • Pelo menos alfanumérico com símbolos

  Com base na configuração dessa configuração, uma ou mais das seguintes opções estão disponíveis:

  • Comprimento mínimo da senha
    Insira o número mínimo de dígitos ou caracteres que a senha do usuário deve ter.

  • Máximo de minutos de inatividade antes que a senha seja exigida
    Insira o tempo ocioso antes que o usuário precise reentrar sua senha. Quando você escolhe Não configurado (padrão), essa configuração não é avaliada para conformidade ou não conformidade.

  • Número de dias até que a senha expire
    Selecione o número de dias antes da expiração da senha e o usuário deve criar uma nova senha.

  • Número de senhas anteriores para evitar a reutilização
    Insira o número de senhas recentes que não podem ser reutilizados. Use essa configuração para restringir o usuário de criar senhas usadas anteriormente.

Próximas etapas

• Adicione ações para dispositivos não compatíveis e use marcas de escopo para filtrar políticas.
• Monitore suas políticas de conformidade.
• Consulte as configurações de política de conformidade para dispositivos Android Enterprise .