Políticas de caixa de correio do dispositivo móvel no Exchange Server
Em Exchange Server, você pode criar políticas de caixa de correio de dispositivo móvel para aplicar um conjunto comum de políticas ou configurações de segurança a uma coleção de usuários. Depois de implantar Exchange ActiveSync em sua organização Exchange Server, você pode criar novas políticas de caixa de correio de dispositivo móvel ou modificar políticas existentes. Quando você instala Exchange Server, uma política de caixa de correio de dispositivo móvel padrão é criada. Essa política padrão de caixa de correio para dispositivos móveis é atribuída automaticamente a todos os usuários.
Visão geral de políticas de caixa de correio para dispositivos móveis
Você pode usar políticas de caixa de correio para dispositivos móveis para gerenciar várias configurações diferentes. Eles incluem:
- Exigir uma senha
- Especificar o comprimento mínimo da senha
- Exigir um número ou caractere especial na senha
- Determinar por quanto tempo um dispositivo pode ficar inativo antes de se exigir que o usuário digite uma senha novamente
- Apagar um dispositivo após um determinado número de falhas em tentativas de senha
Para obter mais informações sobre todas as configurações que podem ser definidas, consulte Configurações de política para dispositivos móveis.
Políticas de caixa de correio do dispositivo móvel do Exchange
Exchange ActiveSync é um protocolo de cliente que permite sincronizar um dispositivo móvel com sua caixa de correio do Exchange. Exchange ActiveSync é habilitado por padrão quando você instala Exchange Server.
Você pode criar políticas de caixa de correio de dispositivo móvel no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange. Se você criar uma política no EAC, poderá definir apenas um subconjunto das configurações disponíveis. Você pode configurar o restante das configurações usando o Shell de Gerenciamento do Exchange.
Configurações e biometria de dispositivo móvel
Muitos dispositivos móveis dão suporte à biometria, como Apple Touch ID ou Face ID. As políticas de caixa de correio do dispositivo móvel do Exchange não controlam se a biometria pode ser usada em vez de digitar o PIN do dispositivo. As políticas da caixa de correio do dispositivo móvel podem ser configuradas para exigir um PIN de dispositivo, mas os usuários controlam se usam a biometria após cumprirem o requisito pin do dispositivo.
Configurações de senha do dispositivo móvel e Android
O Android 9.0 e versões anteriores utilizam a funcionalidade de administrador de dispositivo do Android para gerenciar as configurações de senha do dispositivo definidas em uma política de caixa de correio do dispositivo móvel.
Com o Android 10.0 e posterior, o Android removeu a funcionalidade de administrador do dispositivo. Em vez disso, aplicativos que exigem um bloqueio de tela consultam a complexidade de bloqueio de tela do dispositivo (ou do perfil de trabalho). Aplicativos que exigem um bloqueio de tela mais forte direcionam o usuário para as configurações de bloqueio de tela do sistema, permitindo que o usuário atualize as configurações de segurança para se tornar compatível. Em nenhum momento o aplicativo está ciente da senha do usuário; o aplicativo só está ciente do nível de complexidade da senha. O Android dá suporte aos quatro níveis de complexidade de senha a seguir:
| Nível de complexidade de senha | Requisitos de senha |
|---|---|
| Nenhum | Nenhum requisito de senha está configurado |
| Baixo | A senha pode ser um padrão ou um PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) |
| Médio | Senhas que atendem a um dos seguintes critérios:
|
| Alto | Senhas que atendem a um dos seguintes critérios:
|
Na perspectiva de uma política de caixa de correio de dispositivo móvel do Exchange, os níveis de complexidade de senha do Android são mapeados para as seguintes configurações de política:
| Configuração da política de caixa de correio do dispositivo móvel | Nível de complexidade de senha do Android |
|---|---|
| Senha habilitada = false | Nenhum |
| Permitir senha simples = true Comprimento da senha < min 4 |
Baixo |
| Permitir senha simples = true Comprimento da < senha min 6 |
Médio |
| Permitir senha simples = false Senha alfanumérica necessária = true Comprimento da < senha min 6 |
Médio |
| Permitir senha simples = true Comprimento da > senha min 6 |
Alto |
| Permitir senha simples = false Senha alfanumérica necessária = true Tamanho da >senha min = 6 |
Alto |
Configurações de política de caixa de correio do dispositivo móvel
A tabela a seguir resume as configurações que podem ser especificadas usando políticas de caixa de correio para dispositivos móveis.
| Setting | Descrição |
|---|---|
| Permitir Bluetooth | Esta configuração especifica se um dispositivo móvel permite conexões Bluetooth. As opções disponíveis são Disable, HandsfreeOnly e Allow. O valor padrão é Allow. |
| Permitir Navegador | Essa configuração especifica se o Pocket Internet Explorer é permitido no dispositivo móvel. Esta configuração não afeta navegadores de terceiros instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir Câmera | Esta configuração especifica se o dispositivo móvel da câmera pode ser utilizado. O valor padrão é $true. |
| Permitir Email do Consumidor | Esta configuração especifica se o usuário do dispositivo móvel pode configurar uma conta de email pessoal (POP3 ou IMAP4) no dispositivo móvel. O valor padrão é $true. Essa configuração não controla o acesso a contas de email que estão usando programas de email de dispositivo móvel de terceiros. |
| Permitir Sincronização da Área de Trabalho | Esta configuração especifica se o dispositivo móvel pode ser sincronizado com um computador através de um cabo, Bluetooth ou conexão IrDA. O valor padrão é $true. |
| Permitir Gerenciamento de Dispositivo Externo | Esta configuração especifica se um programa de gerenciamento de dispositivo externo tem permissão para gerenciar o dispositivo móvel. |
| Permitir Email em HTML | Esta configuração especifica se o email sincronizado com o dispositivo móvel pode estar no formato HTML. Se essa configuração estiver definida como $false, todo o email será convertido em texto sem formatação. |
| Permitir Compartilhamento da Internet | Esta configuração especifica se o dispositivo móvel pode ser utilizado como um modem para um desktop ou computador portátil. O valor padrão é $true. |
| AllowIrDA | Esta configuração especifica se as conexões infravermelho são permitidas para e do dispositivo móvel. |
| Permitir Atualização de OTA Móvel | Esta configuração especifica se as configurações de política de caixa de correio para dispositivos móveis podem ser enviadas ao dispositivo móvel por uma conexão de dados de celular. O valor padrão é $true. |
| Permitir dispositivos não configurados | Essa configuração especifica se dispositivos móveis que podem não dar suporte ao aplicativo de todas as configurações de política podem se conectar ao Exchange Server usando Exchange ActiveSync. Permitir dispositivos móveis não provisionáveis tem implicações de segurança. Por exemplo, alguns dispositivos não provisionáveis podem não ser capazes de implementar os requisitos de senha de uma organização. |
| Permitir POPIMAPEmail | Esta configuração especifica se o usuário pode configurar uma conta de email POP3 ou IMAP4 no dispositivo móvel. O valor padrão é $true. Essa configuração não controla o acesso por programas de email de terceiros. |
| Permitir Área de Trabalho Remota | Esta configuração especifica se o dispositivo móvel pode iniciar uma conexão de área de trabalho remota. O valor padrão é true. |
| Permitir senha simples | Esta configuração habilita ou desabilita a capacidade de utilizar senhas simples, como 1111 ou 1234. O valor padrão é $true. |
| Permitir negociação de algoritmo de criptografia S/MIME | Essa configuração especifica se o aplicativo de mensagens no dispositivo móvel pode negociar o algoritmo de criptografia se o certificado de um destinatário não for compatível com o algoritmo de criptografia especificado. |
| Permitir certificados de software S/MIME | Esta configuração especifica se certificados de software S/MIME são permitidos no dispositivo móvel. |
| Permitir cartão de armazenamento | Esta configuração especifica se o dispositivo móvel pode acessar informações armazenadas em um cartão de armazenamento. |
| Permitir mensagem de texto | Esta configuração especifica se mensagens de texto são permitidas a partir do dispositivo móvel. O valor padrão é $true. |
| Permitir aplicativos não assinados | Esta configuração especifica se aplicativos não assinados podem ser instalados no dispositivo móvel. O valor padrão é $true. |
| Permitir pacotes de instalação não assinados | Esta configuração especifica se um pacote de instalação não assinado pode ser executado no dispositivo móvel. O valor padrão é $true. |
| Permitir Wi-Fi | Esta configuração especifica se o acesso à Internet sem fio é permitido no dispositivo móvel. O valor padrão é $true. |
| Senha alfanumérica necessária | Esta configuração exige que a senha contenha caracteres numéricos e não-numéricos. O valor padrão é $true. |
| Lista de aplicativos aprovados | Esta configuração armazena uma lista de aplicativos aprovados que podem ser executados no dispositivo móvel. |
| Anexos habilitados | Esta configuração permite que anexos sejam baixados para o dispositivo móvel. O valor padrão é $true. |
| Criptografia de dispositivo habilitada | Esta configuração permite criptografia no dispositivo móvel. Nem todos os dispositivos móveis podem aplicar criptografia. Para obter mais informações, consulte a documentação do sistema operacional do dispositivo e do dispositivo móvel. |
| Intervalo de atualização da política do dispositivo | Esta configuração especifica com que frequência a política de caixa de correio para dispositivos móveis é enviada do servidor para o dispositivo móvel. |
| IRM habilitado | Esta configuração especifica se o Gerenciamento de Direitos de Informação (IRM) está habilitado no dispositivo móvel. |
| Tamanho máximo do anexo | Esta configuração controla o tamanho máximo de anexos que podem ser baixados para o dispositivo móvel. O valor padrão é Unlimited. |
| Filtro de duração máxima do calendário | Esta configuração especifica o intervalo máximo de dias de calendário que podem ser sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: 1: Todos 2: OneDay 3: ThreeDays 4: OneWeek 5: TwoWeeks 6: OneMonth |
| Filtro de duração máxima de email | Esta configuração especifica o número máximo de dias para que itens de email sejam sincronizados com o dispositivo móvel. Os seguintes valores são aceitos: 1: Todos 2: OneDay 3: ThreeDays 4: OneWeek 5: TwoWeeks 6: OneMonth |
| Tamanho máximo para truncamento do corpo do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email são truncadas quando sincronizadas com o dispositivo móvel. O valor está em quilobytes (KB). |
| Tamanho máximo para truncamento do corpo em HTML do email | Esta configuração especifica o tamanho máximo a partir do qual mensagens de email em HTML são truncadas quando sincronizadas com o dispositivo móvel. O valor está em quilobytes (KB). |
| Tempo de inatividade máximo para bloqueio | Este valor especifica o período em que o dispositivo móvel pode ficar inativo antes que a senha seja solicitada para reativá-lo. Insira qualquer intervalo entre 30 segundos e 1 hora. O valor padrão é 15 minutos. |
| Máximo de tentativas fracassadas de senha | Esta configuração especifica quantas tentativas um usuário pode fazer para inserir a senha correta do dispositivo móvel. É possível inserir qualquer número entre 4 e 16. O valor padrão é 8. |
| Mínimo de caracteres complexos na senha | Essa configuração especifica o número de conjuntos de caracteres necessários na senha do dispositivo móvel. Os conjuntos de caracteres são:
Você pode inserir qualquer número de 1 a 4. O valor padrão é 1. |
| Tamanho mínimo da senha | Esta configuração especifica o número mínimo de caracteres da senha do dispositivo móvel. É possível digitar qualquer número entre 1 e 16. O valor padrão é 4. |
| Senha habilitada | Esta configuração habilita a senha do dispositivo móvel. |
| Expiração da senha | Esta configuração permite que o administrador configure um período após o qual uma senha de dispositivo móvel deve ser alterada. |
| Histórico da senha | Esta configuração especifica o número de senhas antigas que podem ser armazenadas em uma caixa de correio do usuário. Um usuário não pode reutilizar uma senha armazenada. |
| Recuperação de senha habilitada | Quando essa configuração está habilitada, o dispositivo móvel gera uma senha de recuperação que é enviada ao servidor. Se o usuário esquecer a senha do dispositivo móvel, a senha de recuperação poderá ser utilizada para destravar o dispositivo móvel e permitir que o usuário crie uma nova senha para ele. |
| Exigir Criptografia do Dispositivo | Esta configuração especifica se a criptografia do dispositivo é necessária. Se definido como $true, o dispositivo móvel deve ser capaz de dar suporte e implementar a criptografia para sincronizar com o servidor. |
| Exigir mensagens S/MIME criptografadas | Esta configuração especifica se as mensagens S/MIME devem ser criptografadas. O valor padrão é $false. |
| Exigir algoritmo de criptografia S/MIME | Esta configuração especifica qual algoritmo obrigatório deve ser usado ao criptografar mensagens S/MIME. |
| Exigir sincronização manual durante o roaming | Esta configuração especifica se o dispositivo móvel deve ser sincronizado manualmente enquanto estiver em roaming. Permitir sincronização automática em roaming frequentemente leva a custos de dados maiores que os esperados para o plano de dados do dispositivo móvel. |
| Exigir algoritmo S/MIME assinado | Esta configuração especifica qual algoritmo obrigatório deve ser usado ao assinar uma mensagem. |
| Exigir mensagens S/MIME assinadas | Esta configuração especifica se o dispositivo móvel deve enviar mensagens S/MIME assinadas. |
| Exigir criptografia do cartão de armazenamento | Esta configuração especifica se o cartão de armazenamento deve ser criptografado. Nem todos os sistemas operacionais dos dispositivos móveis suportam criptografia de cartão de repositório. Para obter mais informações, consulte a documentação do dispositivo móvel e do sistema operacional do dispositivo. |
| Lista de aplicativos InROM não aprovados | Esta configuração especifica uma lista de aplicativos que não podem ser executados em ROM. |