Políticas de caixa de correio de dispositivo móvel no Exchange Online
No Microsoft 365 ou Office 365, pode criar políticas de caixa de correio de dispositivos móveis para aplicar um conjunto comum de políticas ou definições de segurança a uma coleção de utilizadores. É criada uma política de caixa de correio de dispositivo móvel predefinida em todas as organizações do Microsoft 365 ou Office 365.
Visão geral de políticas de caixa de correio para dispositivos móveis
Você pode usar políticas de caixa de correio para dispositivos móveis para gerenciar várias configurações diferentes. Essas configurações incluem:
- Exigir uma senha
- Especificar o comprimento mínimo da senha
- Permitir um PIN numérico ou exigir caracteres especiais na senha
- Determinar por quanto tempo um dispositivo pode ficar inativo antes de exigir que o usuário insira novamente uma senha
- Apagar um dispositivo após um determinado número de falhas em tentativas de senha
Definições de palavra-passe e biometria de dispositivos móveis
Muitos dispositivos móveis suportam biometria, como o Apple Touch ID ou o Face ID. As políticas de caixa de correio de dispositivos móveis do Exchange não controlam se a biometria pode ser utilizada em vez de escrever o PIN do dispositivo. As políticas de caixa de correio de dispositivos móveis podem ser configuradas para exigir um PIN do dispositivo, mas os utilizadores controlam se utilizam biometria depois de cumprirem o requisito de PIN do dispositivo.
Os clientes que precisam de um controlo avançado sobre a utilização da biometria devem considerar soluções de inscrição de dispositivos, como Microsoft Intune. Para obter mais informações, veja Implementar as definições de configuração da aplicação Outlook para iOS e Android.
Definições de palavra-passe do dispositivo móvel e Android
O Android 9.0 e versões anteriores utilizam a funcionalidade de administração de dispositivos do Android para gerir as definições de palavra-passe do dispositivo definidas numa política de caixa de correio de dispositivo móvel.
Com o Android 10.0 e posterior, o Android removeu a funcionalidade de administrador do dispositivo. Em vez disso, as aplicações que necessitam de um bloqueio de ecrã consultam a complexidade do bloqueio de ecrã do dispositivo (ou do perfil de trabalho) com a API getPasswordComplexity . As aplicações que necessitam de um bloqueio de ecrã mais forte direcionam o utilizador para as definições de bloqueio de ecrã do sistema , permitindo que o utilizador atualize as definições de segurança para se tornar conforme. Em momento algum a aplicação tem conhecimento da palavra-passe do utilizador; a aplicação só tem conhecimento do nível de complexidade da palavra-passe. O Android suporta os seguintes quatro níveis de complexidade de palavras-passe:
| Nível de complexidade da palavra-passe | Requisitos de palavra-passe |
|---|---|
| Nenhum | Não existem requisitos de palavra-passe configurados. |
| Baixo | A palavra-passe pode ser um padrão ou um PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468). |
| Médio | Palavras-passe que cumprem um dos seguintes critérios:
|
| Alto | Palavras-passe que cumprem um dos seguintes critérios:
|
Os níveis de complexidade de palavras-passe do Android são mapeados para as seguintes definições de política de caixa de correio de dispositivos móveis do Exchange:
| Definição de política de caixa de correio de dispositivo móvel | Nível de complexidade da palavra-passe do Android |
|---|---|
| Palavra-passe ativada = falso | Nenhum |
| Permitir palavra-passe simples = verdadeiro Comprimento mínimo da < palavra-passe 4 |
Baixo |
| Palavra-passe alfanumérica necessária = falso Comprimento mínimo da >palavra-passe = 4 Comprimento mínimo da < palavra-passe 8 |
Médio |
| Palavra-passe alfanumérica necessária = verdadeiro Comprimento mínimo da < palavra-passe 6 |
Médio |
| Palavra-passe alfanumérica necessária = falso Comprimento mínimo da >palavra-passe = 8 |
Alto |
| Palavra-passe alfanumérica necessária = verdadeiro Comprimento mínimo da >palavra-passe = 6 |
Alto |
Configurações de política de caixa de correio do dispositivo móvel
A tabela seguinte resume as definições que pode especificar através de políticas de caixa de correio de dispositivos móveis: Definições de política de caixa de correio de dispositivos móveis
| Setting | Descrição |
|---|---|
| Permitir Bluetooth | Esta configuração especifica se um dispositivo móvel permite conexões Bluetooth. As opções disponíveis são Desativar, Apenas Mãos Livres e Permitir. O valor padrão é Allow. |
| Permitir Navegador | Esta definição especifica se o pocket internet Explorer é permitido no dispositivo móvel. Esta configuração não afeta navegadores de terceiros instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir Câmera | Esta configuração especifica se o dispositivo móvel da câmera pode ser utilizado. O valor padrão é $true. |
| Permitir Email do Consumidor | Esta configuração especifica se o usuário do dispositivo móvel pode configurar uma conta de email pessoal (POP3 ou IMAP4) no dispositivo móvel. O valor padrão é $true. Esta definição não controla o acesso a contas de e-mail que estejam a utilizar programas de e-mail de dispositivos móveis de terceiros. |
| Permitir Sincronização da Área de Trabalho | Esta configuração especifica se o dispositivo móvel pode ser sincronizado com um computador através de um cabo, Bluetooth ou conexão IrDA. O valor padrão é $true. |
| Permitir Gerenciamento de Dispositivo Externo | Esta configuração especifica se um programa de gerenciamento de dispositivo externo tem permissão para gerenciar o dispositivo móvel. |
| Permitir Email em HTML | Esta configuração especifica se o email sincronizado com o dispositivo móvel pode estar no formato HTML. Se esta definição estiver definida como $false, todos os e-mails são convertidos em texto simples. |
| Permitir Compartilhamento da Internet | Esta configuração especifica se o dispositivo móvel pode ser utilizado como um modem para um desktop ou computador portátil. O valor padrão é $true. |
| AllowIrDA | Esta configuração especifica se as conexões infravermelho são permitidas para e do dispositivo móvel. |
| Permitir Atualização de OTA Móvel | Esta configuração especifica se as configurações de política de caixa de correio para dispositivos móveis podem ser enviadas ao dispositivo móvel por uma conexão de dados de celular. O valor padrão é true. |
| Permitir dispositivos não configurados | Esta definição especifica se os dispositivos móveis que podem não suportar a aplicação de todas as definições de política estão autorizados a ligar a Office 365 através de Exchange ActiveSync. Permitir dispositivos móveis não provisionáveis tem implicações de segurança. Por exemplo, alguns dispositivos não aprovisionáveis podem não conseguir implementar os requisitos de palavra-passe de uma organização. |
| Permitir POPIMAPEmail | Esta configuração especifica se o usuário pode configurar uma conta de email POP3 ou IMAP4 no dispositivo móvel. O valor padrão é $true. Esta definição não controla o acesso por programas de e-mail de terceiros. |
| Permitir Área de Trabalho Remota | Esta configuração especifica se o dispositivo móvel pode iniciar uma conexão de área de trabalho remota. O valor padrão é $true. |
| Permitir senha simples | Esta configuração habilita ou desabilita a capacidade de utilizar senhas simples, como 1111 ou 1234. O valor padrão é $true. |
| Permitir negociação de algoritmo de criptografia S/MIME | Esta definição especifica se a aplicação de mensagens no dispositivo móvel pode negociar o algoritmo de encriptação se o certificado de um destinatário não suportar o algoritmo de encriptação especificado. |
| Permitir certificados de software S/MIME | Esta configuração especifica se certificados de software S/MIME são permitidos no dispositivo móvel. |
| Permitir cartão de armazenamento | Esta configuração especifica se o dispositivo móvel pode acessar informações armazenadas em um cartão de armazenamento. |
| Permitir mensagem de texto | Esta configuração especifica se mensagens de texto são permitidas a partir do dispositivo móvel. O valor padrão é $true. |
| Permitir aplicativos não assinados | Esta configuração especifica se aplicativos não assinados podem ser instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir pacotes de instalação não assinados | Esta configuração especifica se um pacote de instalação não assinado pode ser executado no dispositivo móvel. O valor padrão é $true. |
| Permitir Wi-Fi | Esta configuração especifica se o acesso à Internet sem fio é permitido no dispositivo móvel. O valor padrão é $true. |
| Senha alfanumérica necessária | Esta configuração exige que a senha contenha caracteres numéricos e não-numéricos. O valor padrão é $true. |
| Lista de aplicativos aprovados | Esta configuração armazena uma lista de aplicativos aprovados que podem ser executados no dispositivo móvel. |
| Anexos habilitados | Esta configuração permite que anexos sejam baixados para o dispositivo móvel. O valor padrão é $true. |
| Criptografia de dispositivo habilitada | Esta configuração permite criptografia no dispositivo móvel. Nem todos os dispositivos móveis podem aplicar criptografia. Para obter mais informações, consulte a documentação do sistema operacional do dispositivo e do dispositivo móvel. |
| Intervalo de atualização da política do dispositivo | Esta configuração especifica com que frequência a política de caixa de correio para dispositivos móveis é enviada do servidor para o dispositivo móvel. |
| IRM habilitado | Esta configuração especifica se o Gerenciamento de Direitos de Informação (IRM) está habilitado no dispositivo móvel. |
| Tamanho máximo do anexo | Esta configuração controla o tamanho máximo de anexos que podem ser baixados para o dispositivo móvel. O valor predefinido é Ilimitado. |
| Filtro de duração máxima do calendário | Esta configuração especifica o intervalo máximo de dias de calendário que podem ser sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: Todos TwoWeeks OneMonth TrêsMonths SixMonths |
| Filtro de duração máxima de email | Esta definição especifica o número máximo de dias para que os itens de e-mail sejam sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: Todos OneDay Três Dias OneWeek TwoWeeks OneMonth |
| Tamanho máximo para truncamento do corpo do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email são truncadas quando sincronizadas com o dispositivo móvel. O valor está em "kilobytes (KB)". |
| Tamanho máximo para truncamento do corpo em HTML do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email em HTML são truncadas quando sincronizadas com o dispositivo móvel. O valor está em "kilobytes (KB)". |
| Tempo de inatividade máximo para bloqueio | Este valor especifica o período de tempo durante o qual o dispositivo móvel pode estar inativo antes de ser necessária uma palavra-passe para a reativar. Pode introduzir qualquer intervalo entre 30 segundos e 1 hora. O valor predefinido é 15 minutos. |
| Máximo de tentativas fracassadas de senha | Esta configuração especifica quantas tentativas um usuário pode fazer para inserir a senha correta do dispositivo móvel. Pode introduzir qualquer número de 4 a 16. O valor predefinido é 8. |
| Mínimo de caracteres complexos na senha | Esta definição especifica o número mínimo de carateres complexos necessários na palavra-passe do dispositivo móvel. Um caráter complexo é um caráter que não é uma letra. |
| Tamanho mínimo da senha | Esta configuração especifica o número mínimo de caracteres da senha do dispositivo móvel. Pode introduzir qualquer número de 1 a 16. O valor predefinido é 4. |
| Senha habilitada | Esta configuração habilita a senha do dispositivo móvel. |
| Expiração da senha | Esta configuração permite que o administrador configure um período após o qual uma senha de dispositivo móvel deve ser alterada. |
| Histórico da senha | Esta configuração especifica o número de senhas antigas que podem ser armazenadas em uma caixa de correio do usuário. Um usuário não pode reutilizar uma senha armazenada. |
| Recuperação de senha habilitada | Quando essa configuração está habilitada, o dispositivo móvel gera uma senha de recuperação que é enviada ao servidor. Se o usuário esquecer a senha do dispositivo móvel, a senha de recuperação poderá ser utilizada para destravar o dispositivo móvel e permitir que o usuário crie uma nova senha para ele. |
| Exigir Criptografia do Dispositivo | Esta configuração especifica se a criptografia do dispositivo é necessária. Se estiver definido como $true, o dispositivo móvel tem de conseguir suportar e implementar a encriptação para sincronizar com o servidor. |
| Exigir mensagens S/MIME criptografadas | Esta configuração especifica se as mensagens S/MIME devem ser criptografadas. O valor padrão é $false. |
| Exigir algoritmo de criptografia S/MIME | Esta definição especifica o algoritmo a ser utilizado ao encriptar mensagens S/MIME. |
| Exigir sincronização manual durante o roaming | Esta configuração especifica se o dispositivo móvel deve ser sincronizado manualmente enquanto estiver em roaming. Permitir a sincronização automática enquanto o roaming conduz frequentemente a custos de dados maiores do que o esperado para o plano de dados do dispositivo móvel. |
| Exigir algoritmo S/MIME assinado | Esta definição especifica o algoritmo a ser utilizado ao assinar uma mensagem. |
| Exigir mensagens S/MIME assinadas | Esta configuração especifica se o dispositivo móvel deve enviar mensagens S/MIME assinadas. |
| Exigir criptografia do cartão de armazenamento | Esta configuração especifica se o cartão de armazenamento deve ser criptografado. Nem todos os sistemas operacionais dos dispositivos móveis suportam criptografia de cartão de repositório. Para obter mais informações, consulte a documentação do dispositivo móvel e do sistema operacional do dispositivo. |
| Lista de aplicativos InROM não aprovados | Esta configuração especifica uma lista de aplicativos que não podem ser executados em ROM. |
Gerir políticas de caixa de correio de dispositivos móveis
As políticas de caixa de correio de dispositivos móveis podem ser criadas, modificadas ou eliminadas no Centro de administração do Exchange (EAC) ou Exchange Online PowerShell. Se você criar uma política no EAC, poderá definir apenas um subconjunto das configurações disponíveis. Pode configurar o resto das definições com o Exchange Online PowerShell.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 15 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para obter informações sobre as permissões necessárias, consulte a funcionalidade "Dispositivos móveis" no artigo Permissões de funcionalidades no Exchange Online.
Para obter informações sobre como abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange no Exchange Online. Para obter informações sobre como ligar ao Exchange Online PowerShell, veja Ligar ao Exchange Online PowerShell.
Para obter informações sobre os atalhos de teclado que podem ser aplicados aos procedimentos neste artigo, consulte Atalhos de teclado para o Centro de administração do Exchange.
Criar uma nova política de caixa de correio de dispositivo móvel
Utilizar o EAC para criar uma nova política de caixa de correio de dispositivos móveis
No EAC, aceda àpolítica de caixa de correio do dispositivoMóvel> Mobile e, em seguida, selecione Novo
.Na página Detalhes da política nova caixa de correio de dispositivos móveis , utilize as várias caixas de verificação e listas pendentes para configurar as definições das seguintes secções:
- Criar uma política
- Adicionar definições de segurança
- Analisar e concluir
Selecione Criar.
Aviso
Selecione Esta é a política predefinida para tornar a nova política de caixa de correio móvel a predefinida. Depois de tornar uma política de caixa de correio móvel como a política predefinida, todos os novos utilizadores recebem esta política automaticamente quando são criados.
Utilizar o Exchange Online PowerShell para criar uma nova política de caixa de correio de dispositivos móveis
Pode criar uma nova política de caixa de correio de dispositivos móveis com o cmdlet New-MobileDeviceMailboxPolicy .
No Exchange Online PowerShell, execute o seguinte comando:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Como saber se funcionou?
Para verificar se criou com êxito uma política de caixa de correio de dispositivo móvel, utilize uma das seguintes opções:
No EAC, aceda àpolítica da caixa de correio do dispositivoMóvel> Mobile e verifique se a nova política é apresentada na vista Lista.
No Exchange Online PowerShell, execute o seguinte comando:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obter mais informações sobre este cmdlet, consulte Get-MobileDeviceMailboxPolicy.
Utilizar o EAC para editar uma política de caixa de correio de dispositivo móvel
Observação
Só pode editar um subconjunto de definições de política de caixa de correio de dispositivos móveis no EAC. Para editar todas as definições de política de caixa de correio de dispositivos móveis, tem de utilizar o Exchange Online PowerShell.
No EAC, aceda àpolítica de caixa de correio do dispositivoMóvel> Mobile.
Selecione uma política na vista Lista e, em seguida, selecione Editar
.Utilize os separadores Geral e Segurança para editar as definições de política da caixa de correio do dispositivo móvel.
Selecione Guardar para atualizar a política.
Utilizar o Exchange Online PowerShell para editar as definições de política da caixa de correio de dispositivos móveis
Pode editar uma política de caixa de correio de dispositivo móvel com o cmdlet Set-MobileDeviceMailboxPolicy .
- No Exchange Online PowerShell, execute o seguinte comando:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Como saber se funcionou?
Para verificar se editou com êxito uma política de caixa de correio de dispositivo móvel, siga um dos seguintes passos:
No EAC, aceda àpolítica de caixa de correio do dispositivo Móvel> Mobile e, em seguida, escolha uma política específica. No painel que mostra os detalhes da política de caixa de correio, verá várias definições de política listadas.
No Exchange Online PowerShell, execute o seguinte comando.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obter mais informações sobre este cmdlet, consulte Get-MobileDeviceMailboxPolicy.