Criar políticas de segurança do dispositivo no Mobilidade básica e segurança
Você pode usar Mobilidade básica e segurança para criar políticas de dispositivo que ajudam a proteger as informações da sua organização no Microsoft 365 contra acesso não autorizado. Você pode aplicar políticas a qualquer dispositivo móvel em sua organização, em que o usuário do dispositivo tem uma licença aplicável do Microsoft 365 e registrou o dispositivo em Mobilidade básica e segurança.
Antes de começar
Importante
Antes de criar uma política de dispositivo móvel, você deve ativar e configurar Mobilidade básica e segurança. Para obter mais informações, confira Visão geral do Mobilidade básica e segurança para o Microsoft 365.
- Saiba mais sobre os dispositivos, aplicativos de dispositivo móvel e as configurações de segurança que Mobilidade básica e segurança dá suporte. Consulte Recursos de Mobilidade básica e segurança.
- Crie grupos de segurança que incluam usuários do Microsoft 365 para os quais você deseja implantar políticas para e para usuários que talvez você queira excluir do acesso bloqueado ao Microsoft 365. Recomendamos que antes de implantar uma nova política em sua organização, teste a política implantando-a em um pequeno número de usuários. Você pode criar e usar um grupo de segurança que inclui apenas você ou um pequeno número de usuários do Microsoft 365 que podem testar a política para você. Para saber mais sobre grupos de segurança, consulte Criar, editar ou excluir um grupo de segurança.
- Para criar e implantar políticas de Mobilidade básica e segurança no Microsoft 365, você precisa ser um administrador global do Microsoft 365. Para obter mais informações, confira Funções e grupos de funções em conformidade com Microsoft Defender e Microsoft Purview.
- Antes de implantar políticas, informe sua organização sobre os possíveis impactos de registrar um dispositivo no Mobilidade básica e segurança. Dependendo de como você configurou as políticas, dispositivos não compatíveis podem ser impedidos de acessar o Microsoft 365 e dados, incluindo aplicativos instalados, fotos e informações pessoais em um dispositivo registrado e os dados podem ser excluídos.
Observação
Políticas e regras de acesso criadas em Mobilidade básica e segurança para Microsoft 365 Business Standard substituir Exchange ActiveSync políticas de caixa de correio de dispositivo móvel e regras de acesso ao dispositivo criadas no centro de administração do Exchange. Depois que um dispositivo é registrado em Mobilidade básica e segurança para Microsoft 365 Business Standard, qualquer Exchange ActiveSync política de caixa de correio do dispositivo móvel ou regra de acesso de dispositivo aplicada ao dispositivo é ignorada. Para saber mais sobre Exchange ActiveSync, consulte Exchange ActiveSync em Exchange Online.
Etapa 1: criar uma política de dispositivo e implantar em um grupo de teste
Antes de começar, certifique-se de ter ativado e configurado Mobilidade básica e segurança. Para obter instruções, consulte Visão geral do Mobilidade básica e segurança.
No navegador, vá para https://compliance.microsoft.com/basicmobilityandsecurity.
Na guia Políticas , selecione Criar.
Na página Nome da política , adicione e nome e uma descrição e selecione Avançar.
Na página Requisitos de acesso , especifique os requisitos que você deseja aplicar a dispositivos móveis em sua organização e selecione Avançar.
Na página Configurações , selecione requisitos de configuração para sua organização e selecione Avançar.
Na página Implantação , escolha um grupo de segurança para aplicar essa política.
Na página Examinar , verifique suas seleções e escolha Enviar.
A política é enviada por push para o dispositivo de cada usuário que a política se aplica à próxima vez que ele entrar no Microsoft 365 usando seu dispositivo móvel. Se os usuários não tiverem uma política aplicada ao dispositivo móvel antes, depois de implantar a política, eles receberão uma notificação em seu dispositivo que inclui as etapas para registrar e ativar Mobilidade básica e segurança. Para obter mais informações, consulte Registrar seu dispositivo móvel usando Mobilidade básica e segurança. Até concluir o registro em Mobilidade básica e segurança hospedados pelo Serviço de Intune, o acesso a email, OneDrive e outros serviços é restrito. Depois de concluir o registro usando o aplicativo Portal da Empresa do Intune, eles podem usar os serviços e a política é aplicada ao dispositivo.
Etapa 2: verificar se sua política funciona
Depois de criar uma política de dispositivo, marcar que a política funcione como você espera antes de implantá-la em sua organização.
- No navegador, vá para https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecione Exibir a lista de dispositivos gerenciados.
- Verifique o status de dispositivos do usuário com a política aplicada. Você deseja que o Estado dos dispositivos seja gerenciado.
- Você também pode fazer um apagamento completo ou seletivo em um dispositivo clicando em Redefinir de Fábrica ou Remover dados da empresa do botão Gerenciar depois de selecionar um dispositivo. Para obter instruções, consulte Apagar um dispositivo móvel no Mobilidade básica e segurança.
Etapa 3: implantar uma política em sua organização
Depois de criar uma política de dispositivo e verificar se ela funciona conforme o esperado, implante-a em sua organização.
- Do tipo de navegador: https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecione a política à qual deseja implantar e escolha Editar ao lado de Grupos aplicados.
- Pesquisa para um grupo adicionar e clicar em Selecionar.
- Selecione Fechar e Alterar configuração.
- Selecione Fechar e Editar política.
A política é enviada por push para o dispositivo móvel de cada usuário que a política se aplica à próxima vez que ele entrar no Microsoft 365 de seu dispositivo móvel. Se os usuários não tiverem uma política aplicada ao dispositivo móvel, eles receberão uma notificação em seu dispositivo com etapas para registrá-la e ativá-la para Mobilidade básica e segurança. Depois de concluir o registro, a política será aplicada ao dispositivo. Para obter mais informações, consulte Registrar seu dispositivo móvel usando Mobilidade básica e segurança.
Etapa 4: bloquear o acesso por email para dispositivos sem suporte
Para ajudar a proteger as informações da sua organização, você deve bloquear o acesso do aplicativo ao email do Microsoft 365 para dispositivos móveis que não têm suporte por Mobilidade básica e segurança. Para obter uma lista de dispositivos com suporte, consulte Dispositivos com suporte.
Para bloquear o acesso ao aplicativo:
No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.
Selecione Gerenciar configurações de acesso ao dispositivo em toda a organização.
Para bloquear dispositivos sem suporte, escolha Acessar em Se um dispositivo não tiver suporte por Mobilidade básica e segurança para o Microsoft 365 e selecione Salvar.
Etapa 5: Escolher grupos de segurança a serem excluídos de verificações de acesso condicional
Se quiser excluir algumas pessoas de verificações de acesso condicional em seus dispositivos móveis e você criou um ou mais grupos de segurança para essas pessoas, adicione os grupos de segurança aqui. As pessoas nesses grupos não terão políticas impostas para seus dispositivos móveis com suporte. Essa é a opção recomendada se você não quiser mais usar Mobilidade básica e segurança em sua organização.
No navegador, digite https://compliance.microsoft.com/basicmobilityandsecurity.
Selecione Gerenciar configurações de acesso ao dispositivo em toda a organização.
Selecione Adicionar para adicionar o grupo de segurança que tem usuários que você deseja excluir de ter acesso bloqueado ao Microsoft 365. Quando um usuário é adicionado a essa lista, ele pode acessar o email do Microsoft 365 quando estiver usando um dispositivo sem suporte.
Selecione o grupo de segurança que você deseja usar no painel Selecionar grupo .
Selecione o nome e adicione Salvar>.
No painel Configurações de acesso ao dispositivo em toda a organização , escolha Salvar.
Qual é o impacto das políticas de segurança em tipos diferentes de dispositivos?
Quando você aplica uma política a dispositivos de usuário, o impacto em cada dispositivo varia um pouco entre os tipos de dispositivo. Consulte a tabela a seguir para obter exemplos do impacto das políticas em dispositivos diferentes.
| Política de segurança | Android | Samsung KNOX | iOS | Observações |
|---|---|---|---|---|
| Exige backup criptografado | Não | Sim | Sim | Backup criptografado do iOS necessário. |
| Bloquear cópia de segurança na nuvem | Sim | Sim | Sim | Bloquear o backup do Google no Android (esmaecido), backup de nuvem no iOS supervisionado. |
| Bloquear sincronização de documento | Não | Não | Sim | iOS: bloquear documentos na nuvem em dispositivos iOS supervisionados. |
| Bloquear sincronização de fotos | Não | Não | Sim | iOS (nativo): Bloquear fluxo de foto. |
| Bloquear captura de tela | Não | Sim | Sim | Bloqueado quando tentado. |
| Bloquear videoconferência | Não | Não | Sim | FaceTime bloqueado em dispositivos iOS supervisionados, não no Skype ou em outros. |
| Bloquear o envio de dados de diagnóstico | Não | Sim | Sim | Bloquear o envio de relatório de falha do Google no Android. |
| Bloquear o acesso à loja de aplicativos | Não | Sim | Sim | Ícone da loja de aplicativos ausente na home page do Android, desabilitado no Windows e dispositivos iOS supervisionados. |
| Exigir senha para a loja de aplicativos | Não | Não | Sim | iOS: Senha necessária para compras do iTunes. |
| Bloquear a conexão ao armazenamento removível | Não | Sim | N/D | Android: O SD cartão está esmaecido nas configurações, o Windows notifica o usuário, os aplicativos instalados não estão disponíveis |
| Bloquear conexão Bluetooth | Ver anotações | Ver anotações | Sim | Não podemos desabilitar o BlueTooth como uma configuração no Android. Em vez disso, desabilitemos todas as transações que exigem BlueTooth: Distribuição avançada de áudio, controle remoto de áudio/vídeo, dispositivos mãos-livres, headset, Acesso à Lista telefônica e porta serial. Uma mensagem em caixa de informações aparece na parte inferior da página quando qualquer um desses dispositivos são usados. |
O que acontece quando você exclui uma política ou remove um usuário da política?
Quando você exclui uma política ou remove um usuário de um grupo para o qual a política foi implantada, as configurações de política, o perfil de email do Microsoft 365 e os emails armazenados em cache podem ser removidos do dispositivo do usuário. Consulte a tabela a seguir para ver o que é removido para os diferentes tipos de dispositivo.
| O que é removido | iOS | Android (incluindo Samsung KNOX) |
|---|---|---|
| Perfis de emailgerenciados 1 | Sim | Não |
| Bloquear cópia de segurança na nuvem | Sim | Não |
1 Se a política foi implantada com a opção Email perfil for gerenciado selecionado, o perfil de email gerenciado e os emails armazenados em cache nesse perfil serão excluídos do dispositivo de usuário.
A política é removida do dispositivo móvel para cada usuário que a política se aplica na próxima vez que seu dispositivo fizer check-in com Mobilidade básica e segurança. Se você implantar uma nova política que se aplique a esses dispositivos de usuário, eles serão solicitados a se registrar novamente em Mobilidade básica e segurança.
Você também pode apagar um dispositivo completamente ou apagar seletivamente as informações organizacionais do dispositivo. Para obter mais informações, consulte Limpar um dispositivo móvel no Mobilidade básica e segurança.
Conteúdo relacionado
Visão geral do Mobilidade básica e segurança (artigo)
Recursos de Mobilidade básica e segurança (artigo)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de