Windows 10 Mobile e gerenciamento de dispositivo móvel
Este guia fornece uma visão geral das tecnologias de gerenciamento de dispositivo e aplicativos móveis no sistema operacional Windows 10 Mobile. Ele descreve como os sistemas MDM (gerenciamento de dispositivo móvel) usam o cliente de gerenciamento de dispositivo interno para implantar, configurar, manter e dar suporte a telefones e pequenos tablets que executam o Windows 10 Mobile.
Traga seu próprio dispositivo (BYOD — ou seja, dispositivos pessoais) e dispositivos corporativos são os principais cenários a que os recursos MDM do Windows 10 Mobile dão suporte. O sistema operacional oferece uma abordagem flexível para registrar os dispositivos com sistemas MDM e serviços de diretório, e as organizações de TI podem provisionar perfis de configuração do dispositivo abrangentes com base nas necessidades da sua empresa para controlar e proteger os dados de corporativos móveis.
O Windows 10 Mobile não só oferece definições de configuração mais abrangentes, restritivos, do que o Windows Phone 8.1 oferecia, mas também fornece recursos para implantar e gerenciar aplicativos criados na Plataforma Universal do Windows (UWP). As empresas podem distribuir aplicativos diretamente da Windows Store ou usando o sistema MDM. Eles podem controlar e distribuir aplicativos personalizados de linha de negócios (LOB) da mesma maneira.
Visão geral
Os usuários das organizações cada vez mais dependem de seus dispositivos móveis, mas tablets e telefones trazem desafios novos e desconhecidos para os departamentos de TI. O departamento de TI deve ser capaz de implantar e gerenciar aplicativos rapidamente para dar suporte aos negócios enquanto equilibram a necessidade de crescimento para proteger dados corporativos devido a leis, regulamentos e cibercrime que evoluem cada vez mais. O departamento de TI deve garantir que os aplicativos e dados nesses dispositivos móveis estão seguros, especialmente em dispositivos pessoais. O Windows 10 Mobile ajuda a organizações a lidar com esses desafios, fornecendo um cliente MDM robusto, flexível e interno. Os departamentos de TI podem usar o sistema MDM de sua escolha para gerenciar esse cliente.
Cliente MDM interno
O cliente MDM interno é comum a todas as edições do sistema operacional Windows 10, incluindo a área de trabalho, os dispositivos móveis e a Internet das Coisas (IoT). O cliente fornece uma única interface por meio da qual você pode gerenciar qualquer dispositivo que executa o Windows 10. O cliente tem duas funções importantes: registro de dispositivos em um sistema MDM e o gerenciamento de dispositivos.
Registro de dispositivos. Os usuários podem se registrar no sistema MDM. No Windows 10, um usuário pode registrar um dispositivo no Active Directory do Microsoft Azure (AD do Azure) e se inscrever em um sistema MDM ao mesmo tempo, para que o sistema possa gerenciar o dispositivo, os aplicativos em execução e os dados confidenciais que ele contém. A inscrição estabelece a autoridade de gerenciamento do dispositivo. Apenas uma autoridade de gerenciamento (ou registro no MDM) é possível por vez, oque ajuda a impedir o acesso não autorizado aos dispositivos e garante a estabilidade e a confiabilidade deles.
Gerenciamento de dispositivos. O cliente MDM permite que o sistema MDM configure as definições de política; implante aplicativos e atualizações; e execute outras tarefas de gerenciamento, como apagar remotamente o dispositivo. O sistema MDM envia solicitações de configuração e coleta o inventário por meio do cliente MDM. O cliente usa CSPs (provedores de serviço de configuração) para configurar e inventariar as definições. Um CSP é uma interface para ler, definir, modificar ou excluir definições de configuração no dispositivo. Essas configurações mapeiam para arquivos ou chaves do Registro. (A arquitetura de segurança do Windows 10 Mobile impede o acesso direto às configurações do Registro e aos arquivos do sistema operacional. Para saber mais, veja o Guia de segurança do Windows 10 Mobile.)
O cliente MDM é parte integrante do Windows 10 Mobile. Como resultado, não é necessário um aplicativo MDM adicional, um aplicativo MDM personalizado para registrar o dispositivo ou para permitir que um sistema MDM o gerencie. Todos os sistemas MDM têm o mesmo acesso às APIs (interfaces de programação de aplicativo) de MDM do Windows 10 Mobile, para que você possa escolher o Microsoft Intune ou um produto MDM de terceiros para gerenciar dispositivos Windows 10 Mobile. Para saber mais sobre APIs de gerenciamento de dispositivo do Windows 10 Mobile, veja Gerenciamento de dispositivo móvel.
Edições do Windows 10 Mobile
Cada dispositivo que executa o Windows 10 Mobile inclui todos os recursos de gerenciamento e de segurança de dispositivo móvel corporativo que o cliente MDM fornece. A Microsoft também oferece uma edição Enterprise do Windows 10 Mobile, que inclui três recursos adicionais. Para habilitar esses recursos, você pode provisionar um arquivo de licença sem reinstalar o sistema operacional:
**Capacidade de adiar atualizações de software.**O Windows 10 Mobile recebe atualizações de software diretamente do Windows Update, e você não pode corrigir atualizações antes da implantação. No entanto, o Windows 10 Mobile Enterprise permite que você corrija e valide as atualizações antes de implantá-las.
Não há limite no número de aplicativos LOB autoassinados que você pode implantar em um único dispositivo. Para usar um sistema MDM para implantar aplicativos LOB diretamente em dispositivos, você deve assinar criptograficamente os pacotes de software com um certificado de assinatura de código que a autoridade de certificação (CA) da sua organização gera. Você pode implantar um máximo de 20 aplicativos LOB autoassinados em um dispositivo Windows 10 Mobile, mais de 20 se os dispositivos da sua organização executam o Windows 10 Mobile Enterprise.
Definir a telemetria no nível de segurança. O nível de segurança da telemetria configura o sistema operacional para coletar somente as informações de telemetria necessárias para manter os dispositivos protegidos.
Observação
Sua organização pode optar por adquirir um certificado de assinatura de código da Verisign para conectar aplicativos LOB ou usar o Windows Store para Empresas para obter aplicativos. Com ambos os métodos, você pode distribuir mais de 20 aplicativos um único dispositivo sem ativar o Windows 10 Mobile Enterprise no dispositivo usando seu sistema MDM.
Para ativar o Windows 10 Mobile Enterprise em qualquer dispositivo Windows 10 Mobile, use o sistema MDM da sua empresa ou um pacote de provisionamento para injetar uma licença no dispositivo. Você pode baixar uma licença do Windows 10 Mobile Enterprise do Portal do Suporte de Negócios.
Gerenciamento do ciclo de vida
O Windows 10 Mobile oferece suporte ao gerenciamento de dispositivo de ciclo de vida de ponta a ponta para dar às empresas o controle de seus dispositivos, dados e aplicativos. Os sistemas MDM abrangentes usam o cliente MDM interno para gerenciar dispositivos durante todo o ciclo de vida, conforme ilustrado na Figura 1. O restante deste guia descreve os recursos de gerenciamento de aplicativo e de dispositivo móvel do sistema operacional durante cada fase do ciclo de vida, mostrando como os sistemas MDM usam recursos específicos.
.png "Figura 1")
Figura 1. Ciclo de vida de gerenciamento de dispositivo
Implantação de dispositivo
A implantação de dispositivo inclui o registro inicial e a configuração do dispositivo, incluindo o registro em um sistema MDM. Às vezes, as empresas pré-instalam aplicativos. Os principais fatores de como implantar dispositivos e quais controles você usa são a propriedade do dispositivo e como o usuário usará o dispositivo. Este guia abrange dois cenários:
As empresas permitem que os usuários personalizem seus dispositivos porque eles possuem os dispositivos ou a política da empresa não requer controles rigorosos (definidos como dispositivos pessoais neste guia).
As empresas não permitem que os usuários personalizem seus dispositivos ou limitam a personalização, geralmente porque a organização possui os dispositivos e as considerações de segurança são altas (definidos como dispositivos corporativos neste guia).
Muitas vezes, os funcionários podem escolher dispositivos em uma lista de modelos com suporte ou as empresas fornecem dispositivos que elas pré-configuram ou inicializam, com uma configuração de linha de base.
A Microsoft recomenda participar do Ingresso no Azure AD e no gerenciamento e registro no MDM para dispositivos corporativos e Registro do Azure AD e gerenciamento e registro no MDM para dispositivos pessoais.
Cenários de implantação
A maioria das organizações oferecem suporte a ambos os cenários de dispositivo pessoais e corporativas. A infraestrutura para esses cenários é semelhante, mas as políticas de configuração e o processo de implantação diferem. Tabela 1 descreve características dos cenários de dispositivo pessoais e corporativas. A ativação de um dispositivo com uma identidade organizacional é exclusiva para Windows 10 Mobile.
Tabela 1. Características de cenários de dispositivo pessoais e corporativas
| Dispositivos pessoais | Dispositivos corporativos | |
| Propriedade | Usuário | Organização |
| Uso principal | Pessoal | Trabalho |
| Implantação | A identidade principal no dispositivo é uma identidade pessoal. Uma conta da Microsoft é a opção padrão para o Windows 10 Mobile. | A identidade principal no dispositivo é uma identidade organizacional. Uma conta do Azure AD é a opção padrão para o Windows 10 Mobile. |
Gerenciamento de identidade
As pessoas podem usar apenas uma conta para ativar um dispositivo, portanto, é importante que a sua organização controle que conta você habilita primeiro. A conta que você escolher determinará quem controla o dispositivo e influencia seus recursos de gerenciamento. A lista a seguir descreve o impacto que as identidades dos usuários têm sobre o gerenciamento (a Tabela 2 resume essas considerações):
Identidade pessoal. Neste cenário, os funcionários usam a conta da Microsoft para ativar o dispositivo. Em seguida, eles usam a conta do Azure AD (identidade organizacional) para registrar o dispositivo no Azure AD e registrá-lo na solução MDM da empresa. Você pode aplicar políticas para ajudar a proteger e manter aplicativos corporativos e dados nos dispositivos, projetados para evitar vazamentos de propriedade intelectual, mas os usuários mantêm controle total sobre atividades pessoais, como baixar e instalar aplicativos e jogos.
Identidade organizacional. Neste cenário, os funcionários usam a conta do Azure AD para registrar o dispositivo no Azure AD e inscrevê-lo automaticamente na solução MDM da organização. Neste caso, as empresas podem bloquear o uso pessoal de dispositivos. Usando identidades organizacionais para inicializar dispositivos proporciona às organizações o controle total sobre dispositivos e permite que elas evitem a personalização.
Tabela 2. Identidade pessoal versus organizacional
| Identidade pessoal | Identidade corporativa | |
| Primeira conta no dispositivo | Conta da Microsoft | Conta do Azure AD |
| Entrada no dispositivo | Os usuários não podem entrar nos dispositivos com credenciais do Azure AD, mesmo se eles adicionarem as credenciais depois da ativação inicial com uma conta da Microsoft. | Os usuários podem desbloquear dispositivos com uma conta do Azure AD. As organizações podem bloquear a adição de uma identidade pessoal. |
| Configurações do usuário e roaming de dados entre dispositivos | As configurações de usuário e aplicativo são transferidas entre dispositivos ativados com a mesma identidade pessoal por meio do OneDrive pessoal. | Atualmente, o Windows 10 Mobile não oferece suporte às configurações de usuários e aplicativos transferidas por meio da nuvem corporativa. Ele pode bloquear o roaming de configurações pessoais na nuvem. |
| A capacidade de bloquear o uso de uma identidade pessoal no dispositivo | Não | Sim |
| Nível de controle | A organização pode aplicar políticas mais * restritivas aos dispositivos, mas ela não pode remover a conta da Microsoft deles. Os usuários de dispositivo podem reivindicar o controle total sobre seus dispositivos, cancelando o registro deles da solução MDM da organização. Observação* A funcionalidade MDM em dispositivos pessoais pode ser limitada no futuro. |
As organizações são livres para aplicar as políticas restritivas aos dispositivos cujos padrões de política e regulamentos de conformidade exijam e impeçam o usuário de cancelar o registro do dispositivo da empresa. |
Requisitos de infraestrutura
Para ambos os cenários de dispositivo, a infraestrutura essencial e as ferramentas necessárias para implantar e gerenciar dispositivos Windows 10 Mobile incluem uma assinatura do Azure AD e um sistema MDM.
O Azure AD é um serviço de diretório baseado na nuvem que fornece gerenciamento de acesso e identidade. Você pode integrá-lo com diretórios locais existentes para criar uma solução híbrida. O Azure AD tem três edições: Free, Basic e Premium (veja Edições do Active Directory do Azure). Todas as edições dão suporte ao registro de dispositivo no Azure AD, mas a edição Premium é necessária para habilitar o registro automático no MDM e o acesso condicional baseado no estado do dispositivo. As organizações que usam o Microsoft Office 365 ou o Intune já estão usando o Azure AD.
Observação
A maioria dos fornecedores MDM líderes do setor já oferecem suporte à integração com o Azure AD ou estão trabalhando na integração. Você pode encontrar os fornecedores de MDM que dão suporte ao Azure AD em Azure Marketplace.
Os usuários podem registrar dispositivos Windows 10 Mobile em sistemas MDM de terceiros sem o uso de uma conta organizacional do Azure AD. (Por padrão, o Intune usa Azure AD e inclui uma licença). Se a sua organização não usar o Azure AD, você deverá usar uma identidade pessoal para ativar dispositivos e habilitar cenários comuns, como baixar aplicativos da Windows Store.
Vários sistemas MDM compatíveis com Windows 10 Mobile estão disponíveis. A maioria dá suporte a cenários de implantação de dispositivo pessoal e corporativo. A Microsoft oferece o Intune, que faz parte do Enterprise Mobility Suite e um sistema MDM baseado em nuvem que gerencia dispositivos externos. Como o Office 365, o Intune usa o Azure AD para gerenciamento de identidades, para que os funcionários usem as mesmas credenciais para registrar dispositivos no Intune ou entrem no Office 365. O Intune oferece suporte a dispositivos que executam outros sistemas operacionais, como iOS e Android, para fornecer uma solução MDM completa.
Também é possível integrar o Intune com o System Center Configuration Manager para obter um único console no qual gerenciar todos os dispositivos — na nuvem e no local. Para saber mais, veja Gerenciar dispositivos móveis com o Configuration Manager e o Microsoft Intune. Para obter orientação sobre como escolher entre uma instalação autônoma do Intune e o Intune integrado com o Configuration Manager, veja Escolher entre o Intune autônomo ou integrar o Intune com o System Center Configuration Manager.
Além do Intune, outros provedores MDM dão suporte ao Windows 10 Mobile. Atualmente, os seguintes sistemas MDM dão suporte ao Windows 10 e ao Windows 10 Mobile: AirWatch, Citrix, Lightspeed Systems, Matrix42, MobileIron, SAP, SOTI e Symantec.
Todos os fornecedores de MDM têm o mesmo acesso às APIs de MDM do Windows 10. A extensão na qual eles implementam essas APIs depende do fornecedor. Contate seu fornecedor de MDM preferencial para determinar o nível de suporte.
Observação
Embora não abordado neste guia, você pode usar o Exchange ActiveSync (EAS) para gerenciar dispositivos móveis em vez de usar um sistema MDM completo. O EAS está disponível no Microsoft Exchange Server 2010 ou posterior e no Office 365.
Além disso, a Microsoft adicionou recentemente recursos MDM oferecidos pelo Intune ao Office 365. O MDM para Office 365 dá suporte apenas a dispositivos móveis, como os que executam o Windows 10 Mobile,o iOS e o Android. O MDM para Office 365 oferece um subconjunto dos recursos de gerenciamento encontrados no Intune, incluindo a capacidade de apagar um dispositivo remotamente, bloquear o acesso de um dispositivo ao email do Exchange Server e configurar as políticas do dispositivo (por exemplo, requisitos de senha). Para saber mais sobre o MDM para recursos do Office 365, veja Visão geral do Gerenciamento de dispositivos móveis para o Office 365.
Provisionamento
O provisionamento é novo no Windows 10 e usa o cliente MDM no Windows 10 Mobile. Você pode criar um pacote de provisionamento do tempo de execução para aplicar configurações, perfis e ativos de arquivo a um dispositivo que executa o Windows 10.
Para ajudar os usuários com o registro do sistema MDM, use um pacote de provisionamento. Para fazer isso, use o Designer de Configuração e Imagens do Windows para criar um pacote de provisionamento e, em seguida, instale esse pacote no dispositivo.
Os usuários podem realizar o registro de autoatendimento no MDM com base nos seguintes cenários de implantação:
Dispositivo corporativo. Durante a configuração inicial pelo usuário (OOBE), você pode instruir o usuário a selecionar Este dispositivo é de propriedade da minha organização e adicionar o dispositivo ao Azure AD e ao sistema MDM.
Dispositivo pessoal. O usuário ativa o dispositivo com uma conta da Microsoft, mas você pode instruí-lo a registrar o dispositivo no Azure AD e inscrever no Intune. Para fazer isso no Windows 10 Mobile, o usuário clica em Configurações, em Contas e em Acesso corporativo.
Para automatizar o registro no MDM, use pacotes de provisionamento da seguinte maneira:
Dispositivo corporativo. Você pode criar um pacote de provisionamento e aplicá-lo a um dispositivo corporativo antes de entregar para o usuário, ou instruir o usuário a aplicar o pacote durante a configuração inicial. Após a aplicação do pacote de provisionamento, o processo de configuração inicial pelo usuário escolhe automaticamente o caminho da empresa e requer que o usuário registre o dispositivo no Azure AD e o inscreva no sistema MDM.
Dispositivo pessoal. Você pode criar um pacote de provisionamento e disponibilizá-lo para os usuários que desejam registrar o dispositivo pessoal na empresa. O usuário registra o dispositivo no MDM corporativo para continuar a configuração, aplicando o pacote de provisionamento. Para fazer isso no Windows 10 Mobile, o usuário clica em Configurações, em Contas e em Provisionamento.
Distribua pacotes de provisionamento para os dispositivos ao publicá-los em um local de fácil acesso (por exemplo, um anexo de email ou uma página da Web). Você pode assinar criptograficamente ou criptografar pacotes de provisionamento e exigir que o usuário digite uma senha para aplicá-los.
Veja Compilar e aplicar um pacote de provisionamento para saber mais sobre como criar pacotes de provisionamento.
Configuração do dispositivo
As seções a seguir descrevem os recursos de configuração de dispositivo embutidos no cliente MDM do Windows 10 Mobile. Esse cliente expõe os recursos para qualquer sistema MDM compatível com o Windows 10. As definições configuráveis incluem:
contas de email;
Restrições de conta
Restrições de bloqueio de dispositivo
Restrições de hardware
Gerenciamento de certificados
Wi-Fi
Proxy
Rede virtual privada (VPN)
Perfis APN (nome do ponto de acesso)
Prevenção contra perda de dados
Gerenciamento de armazenamento
Observação
Embora todas as configurações de MDM que esta seção descreve estejam disponíveis no Windows 10 Mobile, nem todos os sistemas MDM podem mostrá-las na interface do usuário. Além disso, a nomenclatura pode variar entre sistemas MDM. Consulte a documentação do seu sistema MDM para saber mais.
Contas de email
Você pode usar seu sistema MDM corporativo para gerenciar contas de email corporativas. Defina perfis de conta de email no sistema MDM e implante-os nos dispositivos. Você normalmente implantaria essas configurações imediatamente após o registro, independentemente do cenário.
Este recurso se estende a sistemas de email que usam EAS. A Tabela 3 lista as definições que você pode configurar em perfis de email EAS.
Tabela 3. As configurações do Windows 10 Mobile para perfis de email EAS
| Configuração | Descrição |
|---|---|
| Endereço de email | O endereço de email associado à conta EAS |
| Domínio | O nome de domínio da instância do Exchange Server |
| Nome da Conta | Um nome amigável para a conta de email no dispositivo |
| Senha | A senha da conta de email |
| Nome do Servidor | O nome do servidor que usa a conta de email |
| Nome do Usuário | O nome do usuário da conta de email |
| Filtro Idade do Calendário | A idade dos itens de calendário a serem sincronizados com o dispositivo (por exemplo, itens de calendário sincronizados nos últimos 7 dias) |
| Registro em log | O nível de log de diagnóstico |
| Tipo de Corpo de Email | O tipo de corpo de email: texto, HTML, RTF ou Multipurpose Internet Mail Extensions |
| Truncamento de Email em HTML | O tamanho máximo de uma mensagem de email em formato HTML antes que a mensagem seja sincronizada com o dispositivo (qualquer mensagem de email em foramto HTML que exceda esse tamanho é automaticamente truncada). |
| Truncamento de Email com Texto sem Formatação | O tamanho máximo de uma mensagem de email em formato de texto antes que a mensagem seja sincronizada com o dispositivo (qualquer mensagem de email em foramto de texto que exceda esse tamanho é automaticamente truncada). |
| Agendamento | O cronograma de sincronização de email entre a instância do Exchange Server e o dispositivo |
| Usar SSL | Estabelece se a SSL (Secure Sockets Layer) é necessária ao sincronizar |
| Filtro Idade de Email | A idade das mensagens a serem sincronizadas com o dispositivo (por exemplo, mensagens sincronizadas nos últimos 7 dias) |
| Tipos de Conteúdo | O tipo de conteúdo que é sincronizado (por exemplo, email, contatos, calendário, itens de tarefa) |
A Tabela 4 lista as definições que você pode configurar em outros perfis de email.
Tabela 4. As configurações do Windows 10 Mobile para outros perfis de email
| Configuração | Descrição |
|---|---|
| Nome de logon do usuário | O nome de logon do usuário da conta de email |
| Autenticação de saída necessária | Se o servidor de saída requer autenticação |
| Senha | A senha da conta no campo Nome de logon do usuário |
| Domínio | O nome de domínio da conta no campo Nome de logon do usuário |
| Dias para baixar | Quanto email (medido em dias) deve ser baixado do servidor |
| Servidor de entrada | O nome do servidor de entrada e o número da porta, onde é o formato de valor é nome_servidor:número_porta (o número da porta é opcional). |
| Cronograma de envio e recebimento | O período de tempo (em minutos) entre atualizações de envio e recebimento de emails |
| Tamanho máximo de anexo IMAP4 | O tamanho máximo de anexos de mensagem para contas do IMAP4 (Internet Message Access Protocol versão 4) |
| Nome para exibição do email enviado | O nome do remetente exibido em um email enviado |
| Servidor de saída | O nome do servidor de saída e o número da porta, onde é o formato de valor é nome_servidor:número_porta (o número da porta é opcional). |
| Endereço de resposta | Endereço de email de resposta do usuário |
| Nome do serviço de email | O nome do serviço de email |
| Tipo de serviço de email | O tipo de serviço de email (por exemplo, POP3, IMAP4). |
| Tamanho máximo de mensagem recebida | O tamanho máximo (em bytes) de mensagens recuperadas do servidor de email de entrada (mensagens que excedam esse tamanho são truncadas no tamanho máximo). |
| Ação de exclusão de mensagem | Como as mensagens são excluídas no servidor (as mensagens podem ser excluídas permanentemente ou enviadas para a pasta Lixo). |
| Usar apenas celular | Se a conta deve ser usada somente com conexões de rede celular e não conexões Wi-Fi |
| Tipos de conteúdo para sincronizar | Os tipos de conteúdo com suporte para sincronização (em outras palavras, mensagens de email, contatos, itens de calendário) |
| Servidor de sincronização de conteúdo | O nome do servidor de sincronização de conteúdo, se ele for diferente do servidor de email |
| Servidor de sincronização de calendário | O nome do servidor de sincronização de calendário, se ele for diferente do servidor de email |
| Servidor de contato requer SSL | Se o servidor de contato requer uma conexão SSL |
| Servidor de calendário requer SSL | Se o servidor de calendário requer uma conexão SSL |
| Cronograma de sincronização de itens de contato | O cronograma de sincronização de itens de contato |
| Cronograma de sincronização de itens de calendário | O cronograma de sincronização de itens de calendário |
| Conta de email SMTP alternativa | O nome para exibição associado à conta de email SMTP (Simple Mail Transfer Protocol) alternativa do usuário |
| Nome de domínio SMTP alternativo | O nome de domínio da conta de email SMTP alternativa do usuário |
| Conta SMTP alternativa habilitada | Se a conta SMTP alternativa do usuário está habilitada |
| Senha SMTP alternativa | A senha da conta SMTP alternativa do usuário |
| Servidores de entrada e saída requerem SSL | Um grupo de propriedades que especificam se os servidores de email de entrada e saída usam SSL |
Restrições de conta
Em um dispositivo corporativo registrado no Azure AD e inscrito no sistema MDM, você pode controlar se os usuários podem usar uma conta da Microsoft ou adicionar outras contas de email do consumidor. A Tabela 5 lista as configurações que você pode usar para gerenciar contas em dispositivos Windows 10 Mobile.
Tabela 5. Configurações de gerenciamento de conta do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir Conta da Microsoft | Especifica se os usuários têm permissão para adicionar uma conta da Microsoft ao dispositivo após o registro no MDM e usar essa conta para serviços de conexão e autenticação, assim como comprar aplicativos na Windows Store ou serviços de consumidor baseados em nuvem, como Xbox ou Groove. Se um dispositivo foi ativado com uma conta da Microsoft, o sistema MDM não seria capaz de impedir que essa conta seja usada. |
| Permitir Adição de Contas Não Microsoft | Especifica se os usuários têm permissão para adicionar contas de email diferentes das contas da Microsoft após o registro no MDM. Se Permitir Conta da Microsoft for aplicada, o usuário também poderá não usar uma conta da Microsoft. |
| Permitir "Sua Conta" | Especifica se os usuários são capazes de alterar a configuração da conta no painel O Email e as Contas em Configurações. |
Restrições de bloqueio de dispositivo
É senso comum bloquear um dispositivo quando ele não está em uso. A Microsoft recomenda que você proteja os dispositivos Windows 10 Mobile e implemente uma política de bloqueio do dispositivo. Uma senha de dispositivo ou um bloqueio do PIN é uma prática recomendada para proteger dados e aplicativos em dispositivos. Windows Hello é o nome dado à nova opção de entrada biométrica que permite que os usuários usem sua face, íris ou impressões digitais para desbloquear seu dispositivo compatível, tudo com o suporte do Windows 10.
Observação
Além das restrições de bloqueio do dispositivo discutidas nesta seção, o Windows 10 dá suporte ao Microsoft Passport for Work, que permite acessar aplicativos e serviços sem uma senha. O Microsoft Passport for Work só tem suporte no Windows 10 para área de trabalho e requer o Configuration Manager. Além disso, o dispositivo deve ser parte de um domínio. Para saber mais, veja Habilitar Microsoft Passport for Wok na organização.
A Tabela 6 lista as configurações de MDM no Windows 10 Mobile que você pode usar para configurar as restrições de bloqueio do dispositivo.
Tabela 6. Restrições de bloqueio de dispositivo do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Senha do Dispositivo Habilitada | Especifica se os usuários devem usar uma senha de bloqueio de dispositivo Observação
|
| Permitir Senha de Dispositivo Simples | Se os usuários podem usar uma senha simples (por exemplo, 1111 ou 1234) |
| Senha de Dispositivo Alfanumérica Necessária | Se os usuários precisarem usar uma senha alfanumérica quando configurado, o Windows mostrará ao usuário um teclado de dispositivo completo para inserir uma senha complexa. Quando não estiver configurado, o usuário poderá inserir um PIN numérico no teclado. |
| Mínimo de Caracteres de Senha de Dispositivo Complexa | O número de tipos de elementos de senha (em outras palavras, letras maiúsculas, letras minúsculas, números ou pontuação) necessários para criar senhas fortes |
| Expiração de Senha de Dispositivo | O número de dias antes que uma senha expire (dados biométricos não expiram). |
| Histórico de Senhas do Dispositivo | O número de senhas que o Windows 10 Mobile lembra no histórico de senhas (os usuários não podem reutilizar senhas no histórico para criar novas senhas). |
| Tamanho Mínimo de Senha do Dispositivo | O número mínimo de caracteres necessários para criar novas senhas |
| Tempo Máximo de Inatividade de Bloqueio de Dispositivo | O número de minutos de inatividade antes que os dispositivos sejam bloqueados e exijam uma senha para desbloqueio |
| Permitir Retorno de Inatividade sem Senha | Se os usuários precisarem se autenticar novamente quando seus dispositivos retornarem de um estado de suspensão, antes que o tempo de inatividade seja atingido |
| Máximo de Tentativas Falhas de Senha de Dispositivo | O número de falhas de autenticação permitido antes que um dispositivo seja apagado (um valor zero desabilita a funcionalidade de apagamento de dispositivo). |
| Tempo Limite da Tela durante Bloqueio | O número de minutos antes de a tela de bloqueio atingir o tempo limite (essa política influencia o gerenciamento de energia do dispositivo). |
| Configuração de Usuário Permitir Tempo Limite de Tela durante Bloqueio | Se os usuários podem configurar manualmente o tempo limite da tela enquanto o dispositivo está na tela de bloqueio (o Windows 10 Mobile ignora a configuração Tempo Limite de Tela durante Bloqueio se você desabilitá-la). |
Restrições de hardware
Os dispositivos Windows 10 Mobile usam tecnologia de última geração que inclui recursos de hardware populares, como câmeras, sensores de GPS (sistema de posicionamento global), microfones, alto-falantes, rádios NFC (comunicação a curta distância), slots de cartão de armazenamento, interfaces USB, interfaces Bluetooth, rádios da rede celular e Wi-Fi. Você também pode usar restrições de hardware para controlar a disponibilidade desses recursos. A Tabela 7 lista as configurações de MDM que têm suporte do Windows 10 Mobile para configurar as restrições de hardware.
Observação
Algumas dessas restrições de hardware fornecem conectividade e auxiliam na proteção de dados. A proteção de dados corporativos está sendo testada no momento em programas de avaliação de clientes selecionados.
Tabela 7. Restrições de hardware do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir NFC | Se o rádio NFC está habilitado |
| Permitir Conexão USB | Se a conexão USB está habilitada (essa configuração não afeta o carregamento USB) |
| Permitir Bluetooth | Se os usuários podem habilitar e usar o rádio Bluetooth em seus dispositivos |
| Permitir Publicidade Bluetooth | Se o dispositivo pode atuar como uma fonte para anúncios de Bluetooth e ser detectável por outros dispositivos |
| Permitir Modo Detectável Bluetooth | Se o dispositivo pode descobrir outros dispositivos (por exemplo, fones de ouvido) |
| Lista de Permissão de Serviços Bluetooth | A lista de serviços e perfis Bluetooth aos quais o dispositivo pode se conectar |
| Definir Nome de Dispositivo Bluetooth Local | O nome do dispositivo Bluetooth local |
| Permitir Wi-Fi | Se o rádio Wi-Fi está habilitado |
| Permitir Conexão Automática a Hotspots de Sensor de Wi-Fi | Se o dispositivo pode se conectar automaticamente a hotspots Wi-Fi e a redes domésticas dos amigos que são compartilhados por meio de Sensor de Wi-Fi |
| Permitir Configuração Wi-Fi Manual | Se os usuários podem se conectar manualmente a redes Wi-Fi não especificadas na lista do sistema MDM de redes Wi-Fi configuradas |
| Modo de Verificação de WLAN | O quão ativamente o dispositivo verifica redes Wi-Fi (essa configuração depende do hardware). |
| Permitir Câmera | Se a câmera está habilitada |
| Permitir Cartão de Armazenamento | Se o slot de cartão de armazenamento está habilitado |
| Permitir Gravação de Voz | Se o usuário pode usar o microfone para criar gravações de voz |
| Permitir Localização | O dispositivo pode usar o sensor de GPS ou outros métodos para determinar a localização para que os aplicativos possam usar as informações de localização |
Gerenciamento de certificados
O gerenciamento de certificados pode ser difícil para os usuários, mas os certificados são generalizados para uma variedade de usos, incluindo autenticação de conta, autenticação de Wi-Fi, criptografia de VPN e criptografia SSL do conteúdo da Web. Embora os usuários possam gerenciar certificados em dispositivos manualmente, é recomendável usar o sistema MDM para gerenciar esses certificados durante todo seu ciclo de vida, do registro à renovação ou revogação. Você pode usar os arquivos de certificado SCEP (Simple Certificate Enrollment Protocol) e PFX (Personal Information Exchange) para instalar certificados no Windows 10 Mobile. O gerenciamento de certificados por meio de sistemas SCEP e MDM é totalmente transparente para os usuários e não requer intervenção deles, portanto, ele ajuda a melhorar a produtividade do usuário e a reduzir as chamadas de suporte. O sistema MDM pode implantar automaticamente esses repositórios de certificados no dispositivo depois que você registrá-lo. A Tabela 8 lista as configurações de SCEP que o cliente MDM no Windows 10 Mobile fornece.
Tabela 8. Configurações de registro de certificado SCEP do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| URLs de servidor de registro de certificado | Os servidores de registro de certificado (para especificar várias URLs de servidor, separe as URLs com ponto e vírgula [;]) |
| Desafio de registro SCEP | O desafio de registro SCEP codificado em Base64 |
| Identificadores de objeto de uso de chave estendido | Os OIDs (identificadores de objeto) para uso de chave estendido |
| Uso de chave | Os bits de uso da chave do certificado em formato decimal |
| Nome do assunto | Nome do assunto do certificado |
| Armazenamento de chave privada | Onde armazenar a chave privada (em outras palavras, o TPM [Módulo de Plataforma Confiável], um KSP [provedor de armazenamento de chaves de software] ou o Microsoft Passport KSP) |
| Atraso de repetição pendente | Quanto tempo o dispositivo aguardará para repetir quando o servidor SCEP enviar um status pendente |
| Contagem de repetição pendente | O número de vezes que um dispositivo repetirá quando o servidor SCEP enviar um status pendente |
| Nome do modelo | O OID do nome do modelo de certificado |
| Comprimento da chave privada | O comprimento da chave privada (em outras palavras, 1024, 2048 ou 4096 bits; o Microsoft Passport dá suporte apenas ao comprimento de chave 2048 bits) |
| Algoritmo de hash de certificado | A família de algoritmos de hash (em outras palavras, SHA-1, SHA-2, SHA-3; várias famílias de algoritmos de hash são separadas por sinais de adição [+]) |
| Impressão digital da CA raiz | A impressão digital da CA raiz |
| Nomes de assunto alternativos | Nomes de assunto alternativos do certificado (use ponto e vírgula para separar vários nomes de assunto alternativos). |
| Período válido | A unidade de medida do período de tempo em que o certificado é considerado válido (em outras palavras, dias, meses ou anos) |
| Unidades do período válidas | O número de unidades de tempo em que o certificado é considerado válido (use essa configuração com a configuração Período Válido. Por exemplo, se esta configuração for 3 e Período Válido for Anos, o certificado é válido por 3 anos). |
| Texto personalizado para mostrar na solicitação de PIN do Microsoft Passport | O texto personalizado para mostrar na solicitação de PIN do Microsoft Passport PIN durante o registro do certificado |
| Impressão digital | A impressão digital atual do certificado, se o registro do certificado for bem-sucedido |
Além do gerenciamento de certificados SCEP, o Windows 10 Mobile dá suporte à implantação de certificados PFX. A Tabela 9 lista as configurações de implantação do certificado PFX do Windows 10 Mobile.
Tabela 9. A configurações de implantação do certificado PFX do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Armazenamento de chave privada | Onde armazenar a chave privada (em outras palavras, o TPM, um software KSP ou o Microsoft Passport KSP) |
| Nome do contêiner do Microsoft Passport | O identificador de locatário do Azure AD do qual o Microsoft Passport é derivado, obrigatório somente se você selecionar Microsoft Passport KSP em Armazenamento de chave privada |
| Pacote PFX | O pacote PFX com certificados e chaves exportados e criptografados no formato Binary64 |
| Senha do pacote PFX | A senha que protege o blob PFX especificado no Pacote PFX |
| Criptografia de senha de pacote PFX | Se o sistema MDM criptografa a senha do certificado PFX com o certificado MDM |
| Exportação da chave privada PFX | Se a chave privada PFX pode ser exportada |
| Impressão digital | A impressão digital do certificado PFX instalado |
Use a configuração Permitir Instalação Manual do Certificado Raiz para impedir que os usuários instalem manualmente os certificados de CA intermediários e raiz de forma intencional ou acidental.
Observação
Para diagnosticar problemas relacionados ao certificado em dispositivos Windows 10 Mobile, use o aplicativo Certificados gratuito na Windows Store. Este aplicativo do Windows 10 Mobile pode ajudá-lo a:
Exibir um resumo de todos os certificados pessoais.
Exibir os detalhes de certificados individuais.
Exibir os certificados usados para autenticação de email, Wi-Fi e VPN.
Identificar os certificados que podem ter expirado.
Verificar o caminho de certificado e confirmar se você tem os certificados CA intermediários e raiz corretos.
Exibir as chaves de certificado armazenadas no dispositivo TPM.
Wi-Fi
As pessoas usam Wi-Fi em seus dispositivos móveis tanto quanto ou mais do que os dados celulares. A maioria das redes Wi-Fi corporativas exigem certificados e outras informações complexas para restringir e proteger o acesso de usuário. Essas informações de Wi-Fi avançadas são difíceis para os usuários comuns configurarem, mas você pode usar seu sistema MDM para configurar totalmente as definições de Wi-Fi sem intervenção do usuário.
A Tabela 10 lista as configurações de perfil de conexão Wi-Fi do Windows 10 Mobile. Use as informações dessa tabela para ajudá-lo a criar perfis de conexão Wi-Fi em seu sistema MDM.
Tabela 10. Configurações de perfil de conexão Wi-Fi do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| SSID | O nome da rede Wi-Fi que diferencia maiúsculas de minúsculas (SSID [identificador do conjunto de serviços]) |
| Tipo de segurança | O tipo de segurança que a rede Wi-Fi usa; pode ser um dos seguintes tipos de autenticação:
|
| Criptografia de autenticação | O tipo de criptografia que a autenticação usa; pode ser um dos seguintes métodos de criptografia:
|
| Extensible Authentication Protocol Transport Layer Security (EAP-TLS) | Os tipos de segurança WPA-Enterprise 802.11 e WPA2-Enterprise 802.11 podem usar o EAP-TLS com certificados para autenticação |
| Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MSCHAPv2) | Os tipos de segurança WPA-Enterprise 802.11 e WPA2-Enterprise 802.11 podem usar PEAP-MSCHAPv2 com um nome de usuário e senha para autenticação |
| Chave compartilhada | Os tipos de segurança WPA-Personal 802.11 e WPA2-Personal 802.11 podem usar uma chave compartilhada para autenticação. |
| Proxy | A configuração de qualquer proxy de rede que a conexão Wi-Fi requer (para especificar o servidor proxy, use o nome de domínio totalmente qualificado [FQDN], o endereço do Protocolo IP versão 4 [IPv4], o endereço do Protocolo IP versão 6 [IPv6] ou o endereço IPvFuture). |
| Desabilitar verificações de conectividade de Internet | Se a conexão Wi-Fi deve verificar se há conectividade com a Internet |
| URL de configuração automática do proxy | Uma URL que especifica o arquivo de configuração automática de proxy |
| Habilitar Protocolo WPAD WPAD (Descoberta Automática de Proxy da Web) | Especifica se o WPAD está habilitado |
A Tabela 11 lista as configurações do Windows 10 Mobile para gerenciar a conectividade Wi-Fi.
Tabela 11. As configurações de conectividade Wi-Fi do Windows 10 Mobile
| Configuração | Configuração |
|---|---|
| Permitir Conexão Automática a Hotspots de Sensor de Wi-Fi | Se o dispositivo detectará automaticamente e se conectará a redes Wi-Fi |
| Permitir Configuração Wi-Fi Manual | Se o usuário pode definir configurações de Wi-Fi manualmente |
| Permitir Wi-Fi | Se o hardware Wi-Fi está habilitado |
| Modo de Verificação de WLAN | O quão ativamente o dispositivo procura por redes Wi-Fi |
Proxy
Aplicativos em execução no Windows 10 Mobile (por exemplo, Microsoft Edge) podem usar conexões de proxy para acessar conteúdo da Internet, mas as conexões Wi-Fi na intranet corporativa geralmente usam conexões de proxy, em vez disso. Você pode definir vários proxies no Windows 10 Mobile.
Observação
O Windows 10 Mobile também dá suporte a arquivos de configuração automática (PAC) de proxy, que podem automaticamente definir configurações de proxy. O Protocolo WPAD (Descoberta Automática de Proxy da Web) permite usar o Protocolo Dynamic Host Configuration e as pesquisas de DNS (Domain Name System) para localizar o arquivo PAC.
A Tabela 12 lista as configurações do Windows 10 Mobile para conexões de proxy.
Tabela 12. Configurações de conexão de proxy do Windows 10 Mobile
| Definições | Configuração |
|---|---|
| Nome de proxy | O nome exclusivo da conexão de proxy |
| ID de proxy | O identificador exclusivo da conexão de proxy |
| Nome | O nome amigável da conexão de proxy |
| Endereço do servidor | O endereço do servidor proxy, que pode ser o FQDN ou o endereço IP do servidor |
| Tipo de endereço IP | O tipo de endereço IP que identifica o servidor proxy, que pode ser um dos seguintes valores:
|
| Tipo de conexão de proxy | O tipo de conexão de proxy, que pode ser um dos seguintes valores:
|
| Portas | As informações de porta da conexão de proxy; inclui as seguintes configurações:
|
| Referência de configuração | As informações de referência de conexão da conexão de proxy. A empresa determina as informações nessa configuração opcional. |
VPN
Além de Wi-Fi, os usuários costumam usar uma VPN para acessar, de forma segura, aplicativos e recursos na intranet da empresa atrás de um firewall. O Windows 10 Mobile dá suporte a vários fornecedores de VPN além de VPNs nativas da Microsoft (como PPTP [Protocolo de Túnel Ponto a Ponto], L2TP [Protocolo de Túnel de Camada 2] e IKEv2 [Protocolo Internet Key Exchange versão 2]), incluindo:
IKEv2
Segurança de IP
Conexões VPN SSL (que exigem um plug-in baixável do fornecedor do servidor VPN)
Você pode configurar o Windows 10 Mobile para usar conexões VPN disparadas automaticamente também. Você define uma conexão VPN para cada aplicativo que exija conectividade de intranet. Quando os usuários alternam entre aplicativos, o sistema operacional estabelece automaticamente a conexão VPN desse aplicativo. Se o dispositivo interromper a conexão VPN, o Windows 10 Mobile se reconectará automaticamente à VPN sem intervenção do usuário.
Com a VPN sempre ativa, o Windows 10 Mobile também pode iniciar automaticamente uma conexão VPN quando um usuário se conecta. A VPN permanece conectada até o usuário desconectá-la manualmente.
O suporte a MDM para conexões VPN no Windows 10 Mobile inclui provisionar e atualizar perfis de conexão de VPN e associar conexões VPN com aplicativos. Você pode criar e provisionar perfis de conexão VPN e implantá-las em dispositivos gerenciados que executam o Windows 10 Mobile. A Tabela 13 lista os campos do Windows 10 Mobile para perfis de conexão VPN.
Tabela 13. Configurações de perfil de conexão VPN do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Perfil de protocolo VPN nativo | As informações de configuração quando a VPN usa protocolos VPN nativos do Windows 10 Mobile (tais como IKEv2, PPTP ou L2TP); incluem as seguintes configurações:
|
| Perfil do plug-in VPN | Plug-ins VPN baseados na Windows Store para a conexão VPN; inclui as seguintes configurações:
|
| Conexão sempre ativa | Se a VPN se conecta quando o usuário entra e permanece conectada até que o usuário desconecte manualmente a conexão VPN. |
| Lista de gatilhos de aplicativos | Uma lista de aplicativos que iniciam automaticamente a conexão VPN. Cada gatilho de aplicativo na lista inclui as seguintes configurações:
|
| Sufixos DNS | Uma lista separada por vírgulas de sufixos DNS da conexão VPN. Todos os sufixos DNS dessa lista são adicionados automaticamente à Lista de Pesquisa de Sufixos. |
| Perfil VPN de bloqueio | Se essa conexão VPN é um perfil de bloqueio. Um perfil de VPN de bloqueio tem as seguintes características:
Você deve excluir um perfil VPN de bloqueio antes de adicionar, remover ou conectar outros perfis VPN. |
| Regras de Tabela de Políticas de Resolução de Nomes | Uma lista de Tabela de Políticas de Resolução de Nomes da conexão VPN. Cada regra na lista inclui as seguintes configurações:
|
| Proxy | Qualquer suporte ao proxy pós-conexão da conexão VPN; inclui as seguintes configurações:
|
| Lembrar credenciais | Se a conexão de VPN armazena em cache as credenciais. |
| Lista de rotas | Uma lista de rotas para adicionar à tabela de roteamento da conexão VPN. Cada rota na lista inclui as seguintes configurações:
|
| Lista de filtros de tráfego | Uma lista das regras de tráfego que definem o tráfego que pode ser enviada através da conexão VPN. Cada regra na lista inclui as seguintes configurações:
|
| Detecção de rede confiável | Uma lista separada por vírgulas de redes confiáveis que faz com que a VPN não se conecte quando a intranet está diretamente acessível. |
A Tabela 14 lista as configurações do Windows 10 Mobile para gerenciar conexões VPN. Essas configurações ajudam você a gerenciar VPNs em conexões de dados da rede celular, que por sua vez ajudam a reduzir os custos associados a tarifas de plano de roaming ou dados.
Tabela 14. Configurações de gerenciamento de VPN do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir VPN | Se os usuários podem alterar as configurações de VPN |
| Permitir VPN por rede celular | Se os usuários podem estabelecer conexões VPN por redes celulares |
| Permitir VPN por rede celular em roaming | Se os usuários podem estabelecer conexões VPN por redes celulares em roaming |
Perfis APN
Um APN define caminhos de rede para conectividade de dados da rede celular. Normalmente, você define apenas um APN para um dispositivo em colaboração com uma operadora de telefonia celular, mas você pode definir vários APNs se a sua empresa usa várias operadoras de telefonia celular.
Um APN fornece uma conexão privada à rede corporativa que não está disponível para outras empresas da rede da operadora de telefonia celular. As corporações na Europa e no Pacífico Asiático usam APNs, mas eles não são comuns nos Estados Unidos.
Você pode definir e implantar perfis APN em sistemas MDM que configuram a conectividade de dados da rede celular para o Windows 10 Mobile. Dispositivos que executam o Windows 10 Mobile podem ter apenas um perfil APN. A Tabela 15 lista as configurações de MDM as quais o Windows 10 Mobile dá suporte para perfis APN.
Tabela 15. Configurações de perfil APN do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Nome do APN | O nome do APN |
| Tipo de conexão IP | O tipo de conexão IP; defina como um dos seguintes valores:
|
| LTE conectado | Se o APN deve ser conectado como parte de uma conexão LTE |
| ID de classe APN | O identificador globalmente exclusivo que define a classe APN para o modem |
| Tipo de autenticação APN | O tipo de conexão APN; defina como um dos seguintes valores:
|
| Nome do usuário | A conta de usuário quando os usuários selecionam a autenticação PAP (Protocolo de Autenticação de Senha), CHAP ou MSCHAPv2 em Tipo de autenticação APN |
| Senha | A senha da conta de usuário especificada em Nome de usuário |
| ID da placa de circuito integrado | A ID da placa de circuito integrado associada com o perfil de conexão da rede celular |
Proteção contra perda de dados
Algumas experiências do usuário podem colocar em risco os dados corporativos armazenados em dispositivos corporativos. Por exemplo, permitir que os usuários copiem e colem informações do aplicativo LOB da organização pode colocar os dados em risco. Para minimizar o risco, você pode restringir a experiência do usuário do Windows 10 Mobile para ajudar a proteger os dados corporativos e evitar a perda de dados. Por exemplo, você pode impedir a sincronização de configurações, operações de copiar e colar e capturas de tela. A Tabela 16 lista as configurações de MDM no Windows 10 Mobile que você pode usar para ajudar a evitar a perda de dados.
Tabela 16. As configurações de proteção contra perda de dados do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir copiar e colar | Se os usuários podem copiar e colar o conteúdo |
| Permitir a Cortana | Se os usuários podem usar a Cortana no dispositivo, quando disponível |
| Permitir a descoberta de dispositivo | Se a experiência de usuário de descoberta de dispositivo estiver disponível na tela de bloqueio (por exemplo, essa configuração pode controlar se um dispositivo pode descobrir um projetor [ou outros dispositivos] quando a tela de bloqueio é exibida). |
| Permitir personalização de entrada | Se informações identificáveis pessoalmente podem deixar o dispositivo ou ser salvas localmente (por exemplo, aprendizagem, escrita à tinta, ditado da Cortana) |
| Permitir cancelamento de registro manual no MDM | Se os usuários têm permissão para excluir a conta da empresa (em outras palavras, cancelar o registro do dispositivo no sistema MDM) |
| Permitir a captura de tela | Se os usuários têm permissão para fazer capturas de tela do dispositivo |
| Permitir aviso de caixa de diálogo de erro do SIM | Especifica se um aviso de caixa de diálogo deve ser exibido quando não houver cartão SIM instalado |
| Permitir sincronizar minhas configurações | Se as configurações de experiência do usuário são sincronizadas entre os dispositivos (funciona somente com contas da Microsoft) |
| Permitir notificações do sistema acima da tela de bloqueio | Se os usuários são capazes de ver a notificação do sistema na tela de bloqueio do dispositivo |
| Permitir gravação de voz | Se os usuários podem realizar gravações de voz. |
Gerenciamento de armazenamento
Proteger aplicativos e dados armazenados em um dispositivo é crítico para a segurança do dispositivo. Um método para ajudar a proteger seus aplicativos e dados é criptografar o armazenamento interno do dispositivo usando a criptografia de dispositivo no Windows 10 Mobile. Essa criptografia ajuda a proteger dados corporativos contra acesso não autorizado, mesmo quando um usuário não autorizado tem posse física do dispositivo.
Um recurso no Windows 10 Mobile é a capacidade de instalar aplicativos em um cartão SD (secure digital). O sistema operacional armazena aplicativos em uma partição especificamente designada para essa finalidade. Este recurso está sempre ativo, portanto, você não precisa definir uma política explicitamente para habilitá-lo.
O cartão SD é emparelhado exclusivamente com um dispositivo. Outros dispositivos não podem ver os aplicativos ou os dados na partição criptografada, mas eles podem acessar os dados armazenados na partição não criptografada do cartão SD, como músicas ou fotos.
Você pode desabilitar a configuração Permitir Cartão de Armazenamento para impedir que os usuários usem cartões SD, mas a principal vantagem do recurso de partição–criptografia de aplicativo de cartão SD é que as empresas podem dar aos usuários a flexibilidade de usar um cartão SD e continuar protegendo os aplicativos confidenciais e os dados existentes nele.
Se não criptografar o armazenamento, você poderá ajudar a proteger seus dados e aplicativos corporativos usando as configurações Restringir os dados de aplicativo ao volume do sistema e Restringir aplicativos ao volume do sistema. Elas ajudam a garantir que os usuários não consigam copiar seus aplicativos e dados para cartões SD.
A Tabela 17 lista as configurações de gerenciamento de armazenamento do MDM que o Windows 10 Mobile oferece.
Tabela 17. Configurações de gerenciamento de armazenamento do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir Cartão de Armazenamento | Se os usuários podem usar cartões de armazenamento para o armazenamento do dispositivo (essa configuração não impede o acesso programático aos cartões de armazenamento). |
| Exigir Criptografia do Dispositivo | Se o armazenamento interno é criptografado (quando um dispositivo é criptografado, você não pode usar uma política para desativar a criptografia). |
| Método de criptografia | Especifica o método de criptografia de unidade BitLocker e o nível de codificação; pode ser um dos seguintes valores:
|
| Permitir política de algoritmo FIPS (Federal Information Processing Standard) | Se o dispositivo permite ou não a política de algoritmo FIPS |
| Conjuntos de codificação SSL | Especifica uma lista dos algoritmos de codificação criptográfica permitidos para conexões SSL |
| Restringir dados de aplicativo ao volume do sistema | Especifica se os dados do aplicativo são restritos à unidade do sistema |
| Restringir aplicativos ao volume do sistema | Especifica se os aplicativos são restritos à unidade do sistema |
Gerenciamento de aplicativo
Os aplicativos ajudam a melhorar a produtividade do usuário em dispositivos móveis. A capacidade de as organizações comprarem aplicativos da Windows Store para seus funcionários e implantarem esses aplicativos da Windows Store ou de um sistema MDM é nova no Windows 10. O gerenciamento de aplicativos está se tornando um recurso essencial dos sistemas MDM, ajudando a reduzir o esforço necessário para executar tarefas comuns relacionadas ao aplicativo, como distribuir aplicativos e proteger dados por meio de políticas de aplicativos. Esta seção descreve os recursos de gerenciamento de aplicativos no Windows 10 Mobile e inclui os seguintes tópicos:
UWP (Plataforma Universal do Windows)
Fornecimento do aplicativo certo
Windows Store para Empresas
Políticas de gerenciamento de aplicativos móveis (MAM)
Microsoft Edge
Plataforma Universal do Windows
O Windows 10 apresenta a UWP, convergindo a plataforma de aplicativo para todos os dispositivos que executam alguma edição do Windows 10. Os aplicativos UWP são executados sem modificação em todas as edições do Windows 10, e a Windows Store agora tem aplicativos que você pode licenciar e comprar para todos os seus dispositivos Windows 10. Os aplicativos do Windows Phone 8.1 e do Windows 8.1 ainda são executados em dispositivos Windows 10, mas as melhorias do MAM no Windows 10 funcionam somente com aplicativos UWP. Veja o Guia para aplicativos UWP (Plataforma Universal do Windows) para obter informações adicionais.
Fornecimento do aplicativo certo
A primeira etapa no gerenciamento de aplicativos é obter os aplicativos de que os usuários precisam, e agora você pode adquirir aplicativos da Windows Store. Os desenvolvedores também podem criar aplicativos específicos para uma organização, conhecidos como line-of-business (LOB) apps (os desenvolvedores desses aplicativos são LOB publishers). Um desenvolvedor LOB (interno ou externo) agora pode publicar esses aplicativos na Windows Store ao seu pedido, ou você pode obter os pacotes de aplicativos offline e distribuí-los por meio de seu sistema MDM.
Para instalar aplicativos da Windows Store ou LOB, use o serviço de nuvem da Windows Store ou seu sistema MDM para distribuir os pacotes de aplicativos. Seu sistema MDM pode implantar aplicativos online, redirecionando o usuário para um aplicativo licenciado na Windows Store, ou offline, distribuindo um pacote que você baixou da Windows Store (também chamado de sideloading) em dispositivos Windows 10 Mobile. Você pode automatizar totalmente o processo de implantação do aplicativo para que nenhuma intervenção do usuário seja necessária.
Os administradores de TI podem obter aplicativos por meio da Loja para Empresas. A maioria dos aplicativos podem ser distribuídos online, o que significa que o usuário deve estar conectado ao dispositivo com uma conta do Azure AD e ter acesso à Internet no momento da instalação. Para distribuir um aplicativo offline, o desenvolvedor deve aceitar. Se o desenvolvedor do aplicativo não permitir o download do aplicativo da Windows Store, você deve obter os arquivos diretamente do desenvolvedor ou usar o método online. Veja Windows Store para Empresas para obter informações adicionais sobre aplicativos obtidos por meio da Loja para Empresas.
Os aplicativos da Windows Store são automaticamente confiáveis. Para aplicativos LOB personalizados desenvolvidos internamente ou por um fornecedor de software confiável, certifique-se de que o dispositivo confia no certificado de autenticação do aplicativo. Há duas maneiras de estabelecer essa confiança: usar um certificado de autenticação de uma fonte confiável, ou gerar seu próprio certificado de autenticação e adicionar sua cadeia de confiança aos certificados confiáveis no dispositivo. Você pode instalar até 20 aplicativos autoassinados em um dispositivo Windows 10 Mobile. Ao adquirir um certificado de autenticação de uma autoridade de certificação pública, você pode instalar mais de 20 aplicativos em um dispositivo, embora possa instalar mais de 20 aplicativos autoassinados por dispositivo com o Windows 10 Mobile Enterprise.
Os usuários podem instalar aplicativos da Windows Store que a organização compra por meio do aplicativo da Loja nos dispositivos deles. Se você permitir que os usuários façam logon com uma conta da Microsoft, o aplicativo da Loja no dispositivo fornecerá um método unificado para instalar aplicativos pessoais e corporativos.
Loja para Empresas
Windows Store para Empresas é um portal da Web que os profissionais de TI e os compradores usam para encontrar, adquirir, gerenciar e distribuir aplicativos para dispositivos Windows 10. Esse portal online oferece aos gerentes autenticados do Azure AD acesso às funcionalidades e às configurações da Loja para Empresas. Os gerentes da Loja podem criar uma seção privada da Windows Store em que as organizações podem gerenciar aplicativos específicos e privados para elas. A Loja para Empresas permite que as organizações disponibilizem aplicativos para seus usuários e comprem licenças de aplicativos para eles. Eles também podem integrar suas assinaturas da Loja para Empresas com seus sistemas MDM, para que o sistema MDM possa implantar aplicativos a partir da assinatura gratuita da Loja para Empresas.
O processo para o uso da Loja para Empresas é o seguinte:
Crie uma assinatura da Loja para Empresas para a sua organização.
No portal da Loja para Empresas, adquira aplicativos da Windows Store (apenas aplicativos gratuitos estão disponíveis no momento).
Na Loja para Empresas, distribua aplicativos para os usuários e gerencie as licenças dos aplicativos adquiridos na etapa anterior.
Integre seu sistema MDM com a assinatura da Loja para Empresas da sua organização.
Use seu sistema MDM para implantar os aplicativos.
Para saber mais sobre a Loja para Empresas, veja Windows Store para Empresas.
Políticas de gerenciamento de aplicativos móveis (MAM)
Com o MDM, você pode gerenciar o Device Guard no Windows 10 Mobile e criar uma lista de aplicativos permitidos (lista branca) ou negados (lista negra). Esse recurso também se estende para aplicativos nativos, como telefone, SMS, email e calendário. A capacidade de permitir ou negar aplicativos ajuda a garantir que as pessoas usem seus dispositivos móveis para suas finalidades pretendidas.
Você também pode controlar o acesso dos usuários à Windows Store e se o serviço da Loja atualiza os aplicativos automaticamente. Você pode gerenciar todos esses recursos por meio de seu sistema MDM. A Tabela 18 lista as configurações de gerenciamento de aplicativo do Windows 10 Mobile.
Tabela 18. Configurações de gerenciamento de aplicativo do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir Todos os Aplicativos Confiáveis | Se os usuários podem fazer o sideload de aplicativos no dispositivo |
| Permitir Atualização Automática da App Store | Se as atualizações automáticas dos aplicativos da Windows Store são permitidas |
| Permitir Desbloqueio do Desenvolvedor | Se o desenvolvedor tem permissão para desbloquear |
| Permitir Dados Compartilhados do Aplicativo do Usuário | Se vários usuários do mesmo aplicativo podem compartilhar dados |
| Permitir Loja | Se o aplicativo da Windows Store tem permissão para ser executado |
| Permitir Execução da Ponte do Windows para Aplicativo Android | Se a Ponte do Windows para aplicativos Android tem permissão para ser executada |
| Restrições de aplicativo | Um blob XML que define as restrições de aplicativo para um dispositivo (o blob XML pode conter uma lista de permissão ou negação de aplicativo. Você pode permitir ou negar aplicativos com base na ID ou editor do aplicativo). |
| Exigir Repositório Particular Somente | Se o repositório particular está disponível exclusivamente para os usuários (se habilitado, somente o repositório particular está disponível. Se desabilitado, o catálogo de varejo e repositório particular estão disponíveis). |
| Restringir Dados do Aplicativo ao Volume do Sistema | Se os dados do aplicativo são permitidos apenas na unidade do sistema |
| Restringir Aplicativo ao Volume do Sistema | Se a instalação do aplicativo é permitida apenas na unidade do sistema |
| Layout da tela inicial | Um blob XML usado para configurar a tela inicial (veja Layout da tela inicial das edições do Windows 10 Mobile para saber mais). |
Um possível problema de segurança é que os usuários podem se registrar como os desenvolvedores de aplicativos do Windows 10 Mobile e ativar recursos de desenvolvedor no dispositivo, potencialmente instalar aplicativos de fontes desconhecidas e abrir o dispositivo para ameaças de malware. Para impedir que os usuários ativem recursos para desenvolvedores em seus dispositivos, defina a política Desabilitar desbloqueio do desenvolvedor (sideload), que você pode configurar por meio de seu sistema MDM.
Microsoft Edge
Os sistemas MDM oferecem a capacidade de gerenciar o Microsoft Edge em dispositivos móveis. A Tabela 19 lista as configurações do Microsoft Edge para Windows 10 Mobile.
Tabela 19. Configurações do Microsoft Edge para Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Permitir Scripts Ativos | Se o script ativo é permitido |
| Permitir Autopreenchimento | Se os valores são preenchidos automaticamente em sites |
| Permitir Navegador | Se o Internet Explorer é permitido no dispositivo |
| Permitir Cookies | Se os cookies são permitidos |
| Permitir cabeçalhos Não Rastrear | Se cabeçalhos Não Rastrear são permitidos |
| Permitir InPrivate | Se os usuários podem usar a navegação InPrivate |
| Permitir Gerenciador de Senhas | Se os usuários podem usar o Gerenciador de Senhas para salvar e gerenciar senhas localmente |
| Permitir Sugestões de Pesquisa na Barra de Endereços | Se as sugestões de pesquisa são mostradas na barra de endereços |
| Permitir SmartScreen | Se o Filtro SmartScreen está habilitado |
| URL de Primeira Execução | A URL que é aberta quando um usuário inicia o Microsoft Edge pela primeira vez |
| Incluir Sites Ignorando o Proxy em Sites da Intranet | Se os sites que ignoram o servidor proxy são capazes de usar a zona de segurança da Intranet |
| Incluir Caminhos UNC nos Sites da Intranet | Se os caminhos de URL podem representar caminhos UNC (Convenção de Nomenclatura Universal) na zona de segurança da Intranet |
| Sites da Intranet | Uma lista de sites que estão na zona de segurança da Intranet |
| Impedir Substituição de Aviso do Smart Screen para Arquivos | Se os usuários podem substituir os avisos do Filtro SmartScreen sobre o download de arquivos não verificados |
Operações de dispositivo
Nesta seção, você aprende como as configurações do MDM no Windows 10 Mobile permitem os seguintes cenários:
Atualização de dispositivo
Monitoramento de conformidade do dispositivo
Inventário de dispositivo
Assistência remota
Serviços de nuvem
Atualização de dispositivo
Para ajudar a proteger seus dados e dispositivos móveis, você deve manter os dispositivos atualizados. O Windows Update instala automaticamente as atualizações quando elas são disponibilizadas.
Os recursos de atualização de dispositivo descritos nesta seção estão disponíveis apenas no Windows 10 Mobile Enterprise. Você pode usar seu sistema MDM para adiar atualizações do sistema quando você ativa uma licença Enterprise em dispositivos Windows 10 Mobile gerenciados e controlar como as atualizações são aplicadas. Por exemplo, você pode desabilitar as atualizações completamente, adiar as atualizações e agendar o dia e a hora para instalar as atualizações, como você faria com o WSUS (Windows Server Update Services) em áreas de trabalho do Windows 10 executando a Ramificação Atual para Empresas. A Tabela 20 lista as configurações do Windows 10 Mobile Enterprise que você pode usar para configurar de atualizações.
Tabela 20. Configurações de gerenciamento de atualização do Windows 10 Mobile Enterprise
| Configuração | Descrição |
|---|---|
| Permitir atualização automática | O comportamento de atualização automática para verificar, baixar e instalar as atualizações; o comportamento pode ser um dos seguintes:
|
| Permitir atualização assinada não Microsoft | Se as atualizações automáticas aceitarão atualizações assinadas por entidades não Microsoft |
| Permitir serviço de atualização | Se os dispositivos podem obter atualizações do Windows Update, WSUS ou da Windows Store |
| Atualizações de segurança mensais adiadas | Se as atualizações mensais (por exemplo, patches de segurança) são adiadas (você pode adiar atualizações por até 4 semanas). |
| Atualizações de que não são de segurança adiadas | Se as atualizações que não são de segurança são adiadas (você pode adiar as atualizações por até 8 meses). |
| Pausar adiamentos de atualização | Se o dispositivo deve ignorar um ciclo de atualização (essa configuração é válida somente quando você configurar os dispositivos para adiar atualizações). |
| Exigir aprovação de atualização | Se a aprovação é necessária antes que as atualizações possam ser instaladas em dispositivos (se for necessária a aprovação, as atualizações que têm um EULA [Contrato de Licença de Usuário Final] serão aceitas automaticamente em nome do usuário). |
| Agendar a hora da instalação | A hora agendada em que as atualizações são instaladas |
| Dia de instalação agendado | O agendamento de dias em que as atualizações são instaladas |
| Período de adiamento de atualização | Quanto tempo as atualizações devem ser adiadas |
| URL do serviço de atualização | O nome de um servidor WSUS do qual baixar atualizações em vez do Windows Update |
| Período de adiamento de upgrade | Quanto tempo os upgrades do Windows 10 Mobile devem ser adiados |
Além de configurar como o Windows 10 Mobile Enterprise obtém atualizações, você pode gerenciar atualizações individuais do Windows 10 Mobile. A Tabela 21 fornece informações sobre atualizações aprovadas para ajudá-lo a controlar a distribuição de novas atualizações para dispositivos Windows 10 Mobile Enterprise.
Tabela 21. Informações de atualizações aprovadas do Windows 10 Mobile Enterprise
| Configuração | Descrição |
|---|---|
| Atualizações aprovadas | Uma lista de atualizações aprovadas. Cada atualização na lista inclui a configuração Tempo de Aprovação, que especifica o tempo de aprovação de atualização. As atualizações aprovadas automaticamente aceitam o EULA em nome dos usuários. |
| Atualizações com falha | Uma lista das atualizações que falharam durante a instalação. Cada atualização na lista inclui as seguintes configurações:
|
| Atualizações instaladas | Uma lista das atualizações que são instaladas no dispositivo. |
| Atualizações instaláveis | Uma lista das atualizações que estão disponíveis para instalação. Cada atualização na lista inclui as seguintes configurações:
|
| Atualizações de reinicialização pendente | Uma lista de atualizações que exigem uma reinicialização para concluir a instalação da atualização. Cada atualização nas lista tem a configuração Tempo de Instalação habilitada, que especifica o tempo de instalação da atualização. |
| Hora da última verificação bem-sucedida | A última vez em que uma verificação de atualização bem-sucedida foi concluída. |
| Adiar atualização | Se a atualização é adiada até o próximo ciclo de atualização. |
Monitoramento de conformidade do dispositivo
Você pode usar seu sistema MDM para monitorar a conformidade. O Windows 10 Mobile fornece informações de auditoria para rastrear problemas ou realizar ações corretivas. Essas informações ajudam a garantir que os dispositivos são configurados para estar em conformidade com padrões organizacionais.
Você também pode avaliar a integridade dos dispositivos que executam o Windows 10 Mobile e realizar ações de política da empresa. O processo que o recurso de atestado de integridade no Windows 10 Mobile usa é o seguinte:
O cliente de atestado de integridade coleta dados usados para verificar a integridade do dispositivo.
O cliente encaminha os dados para o HAS o (Serviço de Atestado de Integridade).
O HAS gera um certificado de atestado de integridade.
O cliente encaminha o certificado de atestado de integridade e as informações relacionadas ao sistema MDM para verificação.
Para saber mais sobre o atestado de integridade no Windows 10 Mobile, veja o Guia de segurança do Windows 10 Mobile.
Dependendo dos resultados da validação de estado de integridade, um sistema MDM pode realizar uma das seguintes ações:
Permitir que o dispositivo acesse os recursos.
Permitir que o dispositivo acesse os recursos mas identificar o dispositivo para ampliar a investigação.
Impedir que o dispositivo acesse os recursos.
A Tabela 21 lista os pontos de dados que o HAS coleta e avalia nos dispositivos que executam o Windows 10 Mobile para determinar a ação a ser executada. Para a maioria dos pontos de dados a seguir, o sistema MDM pode realizar uma das seguintes ações:
Não permitir todo o acesso.
Não permitir acesso aos ativos de alto impacto de negócios.
Permitir acesso condicional com base em outros pontos de dados que estão presentes no tempo de avaliação — por exemplo, outros atributos no histórico de confiança ou atividades passadas do dispositivo e o certificado de integridade.
Realize uma das ações anteriores e coloque o dispositivo em uma lista de inspeção para monitorar mais de perto os possíveis riscos.
Realize uma ação corretiva, como informar aos administradores de TI para contatar o proprietário e investigar o problema.
Tabela 21. Pontos de dados HAS do Windows 10 Mobile
| Ponto de dados | Descrição |
|---|---|
| AIK (Chave de Identidade de Atestado) presente | Indica que uma AIK está presente (em outras palavras, o dispositivo pode ser mais confiável que um dispositivo sem uma AIK). |
| DEP (Prevenção de Execução de Dados) habilitada | Se uma política DEP está habilitada para o dispositivo, indicando que o dispositivo pode ser mais confiável que um dispositivo sem uma política DEP. |
| Status de BitLocker | O BitLocker ajuda a proteger o armazenamento no dispositivo. Um dispositivo com o BitLocker pode ser mais confiável que um dispositivo sem o BitLocker. |
| Inicialização Segura habilitada | Se a Inicialização Segura está habilitada no dispositivo. Um dispositivo com Inicialização Segura habilitada pode ser mais confiável que um dispositivo sem a Inicialização Segura. A Inicialização Segura está sempre habilitada em dispositivos Windows 10 Mobile. |
| Integridade de código habilitada | Se a integridade de código de um arquivo de unidade ou do sistema é validada cada vez que ele é carregado na memória. Um dispositivo com integridade de código habilitada pode ser mais confiável que um dispositivo sem integridade de código. |
| Modo de segurança | Se o Windows está sendo executado no modo de segurança. Um dispositivo que está executando o Windows no modo de segurança não é tão confiável como um dispositivo em execução no modo padrão. |
| Executando o Windows PE (Ambiente de Pré-Instalação do Windows) | Se o dispositivo está executando o Windows PE. Um dispositivo que executa o Windows PE não é tão seguro quanto um dispositivo que executa o Windows 10 Mobile. |
| Depuração de inicialização habilitada | Se o dispositivo tem a depuração de inicialização habilitada. Um dispositivo que tem a depuração de inicialização habilitada é menos seguro (confiável) que um dispositivo sem depuração de inicialização habilitada. |
| Depuração do kernel do sistema operacional habilitada | Se o dispositivo tem a depuração do kernel do sistema operacional habilitada. Um dispositivo que tenha a depuração do kernel do sistema operacional habilitada é menos seguro (confiável) que um dispositivo com a depuração do kernel do sistema operacional desabilitada. |
| Assinatura de teste habilitada | Se a assinatura de teste está desabilitada. Um dispositivo que tenha a assinatura de teste desabilitada é mais confiável que um dispositivo que tenha a assinatura de teste habilitada. |
| Versão do Gerenciador de Inicialização | A versão do Gerenciador de Inicialização em execução no dispositivo. O HAS pode verificar essa versão para determinar se o Gerenciador de Inicialização mais atual está em execução, o que é mais seguro (confiável). |
| Versão de integridade do código | Especifica a versão do código que está realizando verificações de integridade durante a sequência de inicialização. O HAS pode verificar essa versão para determinar se a versão do código mais atual está em execução, o que é mais seguro (confiável). |
| SBCP (Política de Configuração da Inicialização Segura) presente | Se o hash da SBCP personalizada está presente. Um dispositivo com um hash da SBCP presente é mais confiável que um dispositivo sem um hash da SBCP. |
| Lista branca do ciclo de inicialização | O modo de exibição da plataforma host entre os ciclos de inicialização conforme definido pelo fabricante em comparação com uma lista branca publicada. Um dispositivo que esteja em conformidade com a lista branca é mais confiável (seguro) que um dispositivo que não esteja em conformidade. |
Inventário de dispositivo
O inventário de dispositivo ajuda as organizações a melhor gerenciar os dispositivos, pois ele fornece informações detalhadas sobre esses dispositivos. Os sistemas MDM coletam informações de inventário remotamente, e você pode usar os recursos de relatório do sistema para analisar informações e recursos do dispositivo. Com essas informações, você pode determinar os recursos de hardware e software atuais do dispositivo (por exemplo, atualizações instaladas).
A Tabela 22 lista exemplos das informações de hardware e software do Windows 10 Mobile que um inventário de dispositivo fornece. Além dessas informações, o sistema MDM pode ler todas as definições de configuração descritas neste guia.
Tabela 22. Exemplos de inventário de software e hardware do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Aplicativos corporativos instalados | Lista de aplicativos corporativos instalados no dispositivo |
| Nome do dispositivo | O nome de dispositivo configurado para o dispositivo |
| Versão do firmware | Versão do firmware instalado no dispositivo |
| Versão do sistema operacional | Versão do sistema operacional instalado no dispositivo |
| Hora local do dispositivo | Hora local no dispositivo |
| Tipo de processador | Tipo de processador do dispositivo |
| Modelo de dispositivo | Modelo do dispositivo, conforme definido pelo fabricante |
| Fabricante do dispositivo | O fabricante do dispositivo |
| Arquitetura do processador do dispositivo | Arquitetura do processador do dispositivo |
| Idioma do dispositivo | Idioma em uso no dispositivo |
| Número de telefone | Número de telefone atribuído ao dispositivo |
| Status de roaming | Indica se o dispositivo tem uma conexão de rede celular em roaming |
| IMEI (International mobile equipment identityI) e IMSI (international mobile subscriber identity) | Identificadores exclusivos da conexão de rede celular do telefone; redes Global System for Mobile Communications identificam dispositivos válidos, usando o IMEI e todas as redes celulares usam o IMSI para identificar o dispositivo e o usuário |
| Endereço IP de Wi-Fi | Endereços IPv4 e IPv6 atualmente atribuídos ao adaptador Wi-Fi no dispositivo |
| Endereço MAC (controle de acesso à mídia) Wi-Fi | Endereço MAC atribuído ao adaptador Wi-Fi no dispositivo |
| Sufixo DNS Wi-Fi e máscara de sub-rede | O sufixo DNS e uma máscara de sub-rede IP atribuídos ao adaptador Wi-Fi no dispositivo |
| Estado de Inicialização Segura | Indica se a Inicialização Segura está habilitada |
| Conformidade com a política de criptografia da empresa | Indica se o dispositivo é criptografado |
Assistência remota
Os recursos de assistência remota no Windows 10 Mobile ajudam a resolver problemas que os usuários podem encontrar mesmo quando o suporte técnico não tem acesso físico ao dispositivo. Esses recursos incluem:
Bloqueio remoto. A equipe de suporte pode bloquear remotamente um dispositivo. Essa capacidade pode ajudar quando um usuário perde o dispositivo móvel dele e pode recuperá-lo, mas não imediatamente (por exemplo, deixando o dispositivo em um local de cliente).
Redefinição de PIN remota. A equipe de suporte pode redefinir o PIN remotamente, o que é útil quando os usuários esquecem o PIN e não conseguem acessar o dispositivo. Dados corporativos ou do usuário não serão perdidos, e os usuários serão capazes de acessar seus dispositivos rapidamente.
Toque remoto. A equipe de suporte pode remotamente fazer os dispositivos tocarem. Essa capacidade pode ajudar os usuários a localizarem dispositivos extraviados e, em conjunto com o recurso de bloqueio remoto, ajudar a garantir que usuários não autorizados não consigam acessar o dispositivo se eles o encontrarem.
Localização remota. A equipe de suporte pode localizar remotamente um dispositivo em um mapa, o que ajuda a identificar a localização geográfica do dispositivo. Para configurar a localização remota do Windows 10 Mobile, use as configurações da Tabela 23. O recurso de localização remota retorna a latitude, a longitude e a altitude mais atuais do dispositivo.
Esses recursos de gerenciamento remoto ajudam as organizações a reduzirem o esforço de TI necessário para gerenciar dispositivos. Eles também ajudam os usuários a recuperarem rapidamente o uso do respectivo dispositivo, caso eles o percam ou esqueçam a senha.
Tabela 23. Configurações de localização remota do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Precisão da localização desejada | A precisão desejada como um valor de raio em metros; tem um valor entre 1 e 1.000 metros |
| Máximo de localização remota | Tempo máximo em minutos em que o servidor aceitará uma localização remota bem-sucedida; tem um valor entre 0 e 1.000 minutos |
| Tempo limite da localização remota | O número de segundos que os dispositivos devem aguardar que uma localização remota seja concluída; tem um valor entre 0 e 1.800 segundos |
Serviços de nuvem
Em dispositivos móveis que executam o Windows 10 Mobile, os usuários podem se conectar facilmente aos aplicativos e dados. Consequentemente, eles podem frequentemente se conectar a serviços em nuvem que fornecem notificações de usuário e coletam telemetria (dados de uso). O Windows 10 Mobile permite que as organizações gerenciem como os dispositivos consomem esses serviços em nuvem.
Gerenciar notificações por push
Os Serviços de Notificação por Push do Windows permitem que os desenvolvedores de software enviem atualizações de notificações do sistema, de blocos, de selos e brutas pelo próprio serviço de nuvem. Isso proporciona um mecanismo para entregar atualizações aos usuários de forma eficaz e confiável.
No entanto, as notificações por push podem afetar a duração da bateria, sendo assim, a economia de bateria no Windows 10 Mobile limita a atividade em segundo plano nos dispositivos para estender a duração da bateria. Os usuários podem configurar a economia de bateria para ativar automaticamente quando a bateria cai abaixo de um limite definido. Quando a economia de bateria está ativada, o Windows 10 Mobile desabilita o recebimento de notificações por push para economizar energia.
No entanto, há uma exceção a esse comportamento. No Windows 10 Mobile, as configurações de economia de bateria Sempre permitido (encontradas no aplicativo Configurações) permitem que o aplicativo receba notificações por push, mesmo quando a economia de bateria está ativada. Os usuários podem configurar essa lista manualmente, ou você pode usar o sistema MDM para configurá-la — ou seja, você pode usar o esquema de URI das configurações de economia de bateria no Windows 10 Mobile (ms-settings:batterysaver-settings) para definir essas configurações.
Para saber mais sobre as notificações por push, veja a Visão geral das notificações dos Serviços de Notificação por Push do Windows (WNS).
Gerenciar telemetria
Quando as pessoas usam o Windows 10 Mobile, ele pode coletar a telemetria de uso e de desempenho que ajuda a Microsoft a identificar e solucionar problemas, bem como melhorar seus produtos e serviços. A Microsoft recomenda que você selecione Completo para essa configuração.
Os funcionários, prestadores de serviços, fornecedores e parceiros da Microsoft podem ter acesso a partes relevantes das informações que o Windows 10 Mobile coleta, mas eles têm permissão para usar as informações apenas para reparar ou melhorar os produtos e serviços Microsoft ou software e hardware de terceiros projetado para uso com os serviços e produtos da Microsoft.
Você pode controlar o nível de dados que os sistemas MDM coletam. A Tabela 24 lista os níveis de dados que o Windows 10 Mobile coleta e fornece uma breve descrição de cada um. Para configurar dispositivos, especifique um destes níveis na configuração Permitir Telemetria.
Tabela 24. Níveis de coleta de dados do Windows 10 Mobile
| Nível de dados | Descrição |
|---|---|
| Segurança | Coleta apenas as informações necessárias para manter a segurança corporativa do Windows 10 Mobile, incluindo informações sobre configurações de cliente de telemetria, a Ferramenta de Remoção de Software Mal-Intencionado e o Windows Defender. Esse nível está disponível apenas no Windows 10 Enterprise, Windows 10 Education e Windows 10 IoT Core. Para Windows 10 Mobile, essa configuração desabilita a telemetria do Windows 10 Mobile. |
| Básico | Fornece apenas os dados vitais para a operação do Windows 10 Mobile. Esse nível de dados ajuda a manter o Windows 10 Mobile e os aplicativos corretamente em execução, permitindo que a Microsoft conheça as funcionalidades do dispositivo, o que está instalado e se o Windows está operando corretamente. Esta opção também ativa o relatório de erro básico para a Microsoft. Ao selecionar essa opção, você permite que a Microsoft forneça atualizações através do Windows Update, incluindo a proteção de software mal-intencionado por meio da Ferramenta de Remoção de Software Mal-Intencionado. |
| Avançado | Inclui todos os dados básicos além de dados sobre como os usuários usam o Windows 10 Mobile como, por exemplo, com frequência ou por quanto tempo eles usam determinados recursos ou aplicativos, e quais aplicativos eles usam com mais frequência. Esta opção também permite que o sistema operacional colete informações de diagnóstico avançadas, como, por exemplo, o estado da memória de um dispositivo quando ocorre uma falha de sistema ou aplicativo, e meça a confiabilidade dos dispositivos, do sistema operacional e dos aplicativos. |
| Completo | Inclui todos os dados básicos e avançados e também ativa recursos avançados de diagnóstico que coletam dados adicionais dos dispositivos, como arquivos do sistema ou instantâneos da memória, que podem incluir inadvertidamente partes de documentos em que o usuário estava trabalhando quando ocorreu um problema. Essas informações ajudam a Microsoft a solucionar e a corrigir problemas. Se um relatório de erro contiver dados pessoais, a Microsoft não usará essas informações para identificar, contatar ou enviar publicidade para os usuários. |
Aposentadoria de dispositivo
A aposentadoria de dispositivo (cancelamento de registro) é a última fase do ciclo de vida do dispositivo. Historicamente, a aposentadoria de dispositivo móvel tem sido um processo complexo e difícil para as organizações. Quando a organização não precisa mais dos dispositivos, ela deve remover (apagar) os dados corporativos deles. Cenários BYOD tornam a aposentadoria ainda mais complexa porque os usuários esperam que seus aplicativos e dados pessoais permaneçam intocados. Portanto, as organizações devem remover seus dados sem afetar os dados dos usuários.
Você pode remover remotamente todos os dados corporativos de dispositivos que executam o Windows 10 Mobile sem afetar os dados existentes do usuário (apagamento parcial ou corporativo). O suporte técnico ou os usuários dos dispositivos podem iniciar a aposentadoria do dispositivo. Quando a aposentadoria estiver concluída, o Windows 10 Mobile retorna os dispositivos para um estado de consumidor, como eles estavam antes do registro. A lista a seguir resume os dados corporativos removidos de um dispositivo quando ele é aposentado:
Contas de email
Certificados emitidos pela empresa
Perfis de rede
Aplicativos implantados pela empresa
Todos os dados associados com os aplicativos implantados pela empresa
Observação
Todos esses recursos são além dos recursos de redefinição de fábrica do hardware e do software do dispositivo, que os usuários podem usar para restaurar os dispositivos para a configuração de fábrica.
Para especificar se os usuários podem excluir a conta da empresa no Painel de Controle e cancelar o registro no sistema MDM, habilite a configuração Permitir cancelamento de registro manual no MDM. A Tabela 25 lista as configurações adicionais de apagamento remoto do Windows 10 que você pode usar o sistema MDM para configurar.
Tabela 25. Configurações de apagamento remoto do Windows 10 Mobile
| Configuração | Descrição |
|---|---|
| Apagamento | Especifica que um apagamento remoto do dispositivo deve ser realizado |
| Permitir cancelamento de registro manual no MDM | Se os usuários têm permissão para excluir a conta da empresa (em outras palavras, cancelar o registro do dispositivo no sistema MDM) |
| Permitir que o usuário redefina o telefone | Se os usuários têm permissão para usar o Painel de Controle ou as combinações de teclas do hardware para retornar o dispositivo aos padrões de fábrica |
Tópicos relacionados
Gerenciamento de dispositivos móveis
Visão geral do Gerenciamento de Dispositivos Móvel para o Office 365